根据国土安全部监察长办公室最近的一份报告，国家网络防御机构需要更好地与环境保护局和外部合作伙伴合作，以减轻对关键水和废水服务的数字威胁。

OIG于1月9日发布的报告称，网络安全和基础设施安全局“为其利益相关者提供了广泛的产品和服务，以管理风险并减轻对关键水和废水基础设施的网络安全威胁”，但该机构未能始终“利用和整合其网络安全专业知识与利益相关者的水专业知识”。

美国的供水和污水处理系统是CISA帮助保护的16个关键基础设施部门之一。监察机构的审计指出，全国大约有50,000个社区供水系统和16,000多个公共污水处理系统。

最近针对供水系统的网络入侵凸显了通过更直接的机构-部门合作来增强该部门弹性的必要性。该报告强调了几起令人担忧的网络事件，其中包括2021年1月发生的一起事件，“一名身份不明的黑客据称试图未经授权访问旧金山湾区的一家水处理厂的系统。”

由于针对公共供水系统的网络攻击有所增加，美国环保署于2023年3月发布了一份备忘录，要求各州将网络安全评估纳入相关供水系统的安全评估。随后，在几个州的法律挑战下，该机构于10月撤回了该提案。

作为水务部门的主要风险管理机构，EPA在一定程度上负责与CISA协调，以“识别漏洞并帮助减轻事故”。尽管监察长办公室的审计指出，“EPA对其与中钢协的合作基本满意”，但它强调了“中钢协与EPA沟通不佳的情况”。

报告称，这些机构之间“不一致的合作”之所以发生，是因为“中钢协没有建立与EPA互动的正式机制，包括与EPA的书面谅解备忘录以及有关其合作的内部政策和程序”。

监察长还指出，“中钢协与其他水务部门利益相关者之间的合作无效”，包括相关部门协调委员会(SCC)。监察长表示，这种情况的发生“是因为中钢协没有管理与水务部门利益相关者直接互动的政策和程序”。

水务部门官员在报告中对他们与相关机构的接触提出了一些担忧，包括说“中钢协与EPA之间的关系导致信息过滤”，中钢协缺乏专门的水务部门联络人，“角色明确”，在水务行业缺乏经验。

报告称:“一名中钢协官员承认，中钢协没有与水务SCC保持一致的沟通，并表示水务SCC应该向EPA报告，但水务SCC官员指出，在如何直接向中钢协和EPA提出问题方面，缺乏明确的指导。”

该监督机构指出，中钢协已经着手解决其中一些问题，包括“最近聘请了一位拥有20多年水务行业经验的全职水务部门联络员”。

OIG的报告向CISA提出了三项建议，包括要求该机构实施与EPA的书面谅解备忘录，制定“与EPA和其他水和废水系统部门利益相关者合作的综合政策和程序”，并制定标准操作程序以改善机构与水务部门代表之间的沟通。

中钢协同意监察长组的所有三项建议。