Hạ nghị sĩ Rick Crawford và John Duarte đều thuộc đảng Cộng hòa đã đề xuất dự luật thành lập một cơ quan quản lý về số hóa gồm các biện pháp an ninh mạng cho hệ thống nước và hợp tác với Cơ quan Bảo vệ môi trường (EPA) để thực thi các quy tắc mới.
Ông Kevin Morley, Giám đốc quan hệ liên bang tại Hiệp hội Công trình nước của Mỹ, cho biết, nhiều cơ sở cung cấp nước cần trợ giúp để bảo mật hệ thống vì không có ngân sách cho các công cụ số hóa hoặc nhân viên an ninh mạng. Hiện chi phí đảm bảo số hóa và an ninh mạng nằm ngoài khả năng chi trả của nhiều cơ sở cung cấp nước ở Mỹ.
Theo ông Kevin Morley, hiện còn thiếu nhiều chương trình đào tạo về bảo vệ an ninh mạng cơ bản cho nhân viên các cơ sở cấp nước. Trong khi đó, có thể mất vài năm và tiêu tốn hàng triệu USD để nâng cấp thiết bị cũ - đây là một áp lực lớn đối với nhiều bang. Các cơ sở hạ tầng quan trọng trong ngành nước sử dụng công nghệ chuyên dụng cho các quy trình công nghiệp, thường đã có tuổi đời nhiều thập niên và do đó thiếu các biện pháp số hóa và bảo vệ an ninh mạng hiện đại.
Theo Giám đốc Cục Điều tra Liên bang Mỹ (FBI) Christopher Wray, tin tặc dễ nhắm vào các cơ sở nước và cơ sở hạ tầng khác, từ đó phá hủy hoặc làm các hỏng hệ thống.
Ông Frank Ury, Chủ tịch Hội đồng quản trị Công ty cấp nước Santa Margarita, miền Nam California, cho biết, mối lo ngại chính là tin tặc đang ẩn náu trong hệ thống của các cơ sở cấp nước và cuối cùng có thể tiến hành một cuộc tấn công phối hợp ảnh hưởng đến nhiều khu vực cùng một lúc. Ví dụ như cơ sở Santa Margarita, không có giám đốc an ninh thông tin, chi khoảng 15% ngân sách công nghệ cho an ninh mạng và hầu hết các cơ sở cấp nước ở nước Mỹ đều không biết họ đã bị xâm nhập mạng.
Các quan chức thực thi pháp luật và an ninh mạng của Mỹ gần đây đã cảnh báo một số tin tặc được các chính phủ nước ngoài tài trợ đang nhắm mục tiêu vào các cơ sở cung cấp nước ở Mỹ. Vào tháng 2, FBI cho biết đã ngăn chặn các tin tặc đang ẩn náu bên trong các hệ thống nước và cơ sở hạ tầng quan trọng của Mỹ, một số kẻ xâm nhập đã ẩn náu ít nhất 5 năm. Các chuyên gia về an ninh nước đã cảnh báo, tin tặc cũng có thể điều chỉnh nồng độ hóa chất trong nước, ngừng dòng nước hoặc ngừng hoạt động của hệ thống nước thải.
Hiện EPA chưa ban hành các yêu cầu ràng buộc về an ninh mạng đối với ngành nước. Cơ quan này đã rút lại các hướng dẫn về số hóa và an ninh mạng với hệ thống cấp nước Mỹ vào năm 2023, sau khi các công ty cấp nước và các bang đệ đơn kiện, cáo buộc các quy định này sẽ gây ra chi phí cao cho các cơ sở của họ.