As tecnologias mais antigas estão chegando ao fim de sua vida útil e, diante dos sistemas cada vez mais digitalizados e da cibercriminalidade cada vez mais implacável, as empresas de água estão expostas a riscos significativos.
A missão de uma empresa de água é clara: garantir a confiabilidade e segurança do abastecimento de água para residências e empresas. Mas, em um mundo cada vez mais digitalizado, estes princípios estão em perigo.
O número de ciberataques em todo o mundo está aumentando e os cibercriminosos estão se tornando mais sofisticados a cada dia. E as concessionárias de água são um alvo privilegiado, tal como as usinas, os transportadores e fornecedores de energia.
Na segunda-feira, 19 de agosto, a South Staffordshire Water, que controla o abastecimento de água para cerca de 1,6 milhões de pessoas, confirmou ter sido vítima de um ataque de ransomware. Embora o ataque pareça ter sido limitado à rede de computadores, o bando alegava ter acesso à rede OT (tecnologia operacional) e, em particular, aos sistemas de monitoramento dos níveis de produtos químicos na água.
Com a atual seca no Reino Unido, o pessoal dos serviços de distribuição de água já está trabalhando sob pressão para manter um abastecimento seguro. Sem dúvida, este ataque lhes custou um tempo valioso.
Outros ataques a empresas de distribuição de água em todo o mundo foram manchetes de jornal nos últimos anos. Em abril de 2020, os cibercriminosos tentaram aumentar o nível de cloro em cinco instalações da Autoridade da Água de Israel. Em fevereiro de 2021, um hacker tentou aumentar a quantidade de hidróxido de sódio além dos limites de segurança em uma rede de água municipal na Flórida.
Uma multiplicidade de desafios
Atualmente, muitas instalações operam com tecnologias mais antigas que foram projetadas para serem eficientes e não necessariamente seguras. Mas à medida que as empresas investem na digitalização e automação, a Internet Industrial das Coisas (IIoT) e a hiperconectividade dos sistemas (para acesso remoto ou análise) oferecem maiores ‘superfícies’ para ataque. Embora estas tecnologias sejam muito promissoras, particularmente em eficiência, a segurança deve ser privilegiada no momento de instalar estas tecnologias.
Está certo que as mentalidades estão mudando em relação à cibersegurança industrial e à proteção das tecnologias operacionais, mas os serviços públicos de água têm outros imperativos a considerar para enfrentar os riscos e alocar seus investimentos, principalmente a atual escassez de pessoal e habilidades.
O pessoal operacional atual frequentemente se depara com o dilema de manter o sistema funcionando, enquanto implementa mudanças de concepção e atualizações complexas, ficando com pouco tempo para se concentrar na gestão de ativos e vulnerabilidades. Algumas entidades implementaram políticas que atendem superficialmente às exigências da Diretiva NIS (Security of Network & Information Systems, Segurança de Redes e Sistemas de Informação) de 2018, mas carecem de pessoal para implementá-las e mantê-las.
Uma assistência disponível
Garantir a cibersegurança das OT (Operational technologies) é mais fácil quando você compreende completamente os processos e sistemas de controle. Como empresa líder em automatização no Reino Unido (através da marca Actemium) e um dos principais players em TIC (através da Axians), a VINCI Energies UK & RoI está em uma posição privilegiada para apoiar as empresas britânicas de água que procuram proteger seus ativos e seus clientes.
Trabalhamos com empresas do setor da água e saneamento para avaliar o impacto de um potencial ciberataque em suas OT e implementar medidas de cibersegurança de forma faseada, dependendo de seu orçamento e nível de risco.
A cibersegurança é mais fácil de gerenciar quando é incorporada a um sistema OT logo na fase de projeto, mas também podemos fornecer cibersegurança para os sistemas existentes de tratamento e fornecimento de água de nossos clientes. O mais importante é ter visibilidade e monitoramento no local, para entender o que está acontecendo na rede e o que precisa ser protegido.
Em ambos os casos, a solução técnica é apenas uma parte da equação. Muitas vezes é necessária uma revisão dos procedimentos da empresa, para estabelecer uma governança adequada e implementar políticas para apoiar os controles técnicos.
13/10/2022