Seu abastecimento de água está sob ataque cibernético

Os ataques cibernéticos no setor de água tornaram-se cada vez mais comuns nos últimos anos, impulsionados pelo aumento do crime cibernético. A indústria da água é um alvo particularmente vulnerável para hackers, pois abriga uma infraestrutura crítica valiosa, mas carece de medidas avançadas de segurança cibernética. Uma análise dos principais ataques nos últimos anos mostra algumas tendências significativas. O que está causando o aumento dos ataques cibernéticos no setor de água e quais medidas estão sendo tomadas para resolver o problema?

Principais ataques cibernéticos no setor de água

O custo global do cibercrime acabou nove vezes maior em 2022 em comparação com 2018, estimado em $ 8,44 trilhões de dólares. Atualmente, todos correm um risco maior de um ataque cibernético, incluindo fornecedores de serviços públicos, como empresas de abastecimento e tratamento de água. O setor de água dos EUA foi atingido por vários ataques cibernéticos importantes nos últimos anos, representando uma séria ameaça à saúde e segurança pública.

Por exemplo, em 2018, a Onslow Water and Sewer Activity Authority na Carolina do Norte teve que desligar sua rede de TI após dois ataques consecutivos de ransomware. A organização em Jacksonville distribui água para mais de 100.000 residentes da Carolina do Norte. Felizmente, os ataques de ransomware não interromperam o serviço para esses residentes, mas comprometeram a segurança dos dados e da infraestrutura dos serviços públicos.

Em 2019, um jovem de 22 anos invadiu remotamente a rede do distrito rural de água do condado de Ellsworth, no Kansas. O hacker tentou adulterar os níveis de desinfetante na estação de tratamento de água, mas o ataque foi interrompido antes de causar danos. Posteriormente, as autoridades identificaram e indiciaram o perpetrador, que foi considerado um ex-funcionário da instalação do condado de Ellsworth.

Da mesma forma, em 2021, ataques cibernéticos gêmeos atingiram instalações do setor de água em São Francisco, Califórnia, e Oldsmar, Flórida. Ambos os ataques envolveram o uso de um programa de acesso remoto chamado TeamViewer. Este aplicativo é comumente usado na indústria de serviços públicos para tarefas como monitoramento remoto de tratamento de água e dados de abastecimento. No entanto, os hackers abusam dele para manipular ilegalmente os sistemas das empresas do setor de água. Felizmente, ambos os ataques foram interrompidos antes que causassem algum dano.

Táticas e motivos dos hackers

O que está motivando todos esses ataques ao setor de água? Existem alguns fatores que fazem com que os hackers mudem para alvos menos convencionais, como organizações do setor de água.

Ransomware-as-a-Service torna mais fácil do que nunca para hackers se envolverem em hackers. Um hacker amador pode acessar um sofisticado programa de ransomware pagando uma pequena taxa ao criador do malware. Como resultado, mais hackers estão participando ativamente do crime hoje do que há cinco ou 10 anos.

Uma população maior de hackers leva muitos a considerar novos tipos de alvos. O ideal para um hacker é uma organização com poucos ou nenhum recurso de segurança ao lado de algum tipo de infraestrutura crítica. A indústria da água precisa de uma abordagem centralizada para a segurança e muitas instalações de tratamento e distribuição exigem uma consciência cibernética mais crítica. Eles geralmente têm poucas proteções contra acesso não autorizado à rede, expondo uma infraestrutura valiosa.

Por exemplo, três dos quatro ciberataques do setor de água descritos acima envolveram a exploração de programas de acesso remoto e credenciais de funcionários. Especialistas estimam que pelo menos 25% das violações de dados são causados por credenciais roubadas, como as usadas nos ataques cibernéticos gêmeos de 2021 no setor de água.

Nos ataques de San Francisco e Oldsmar, os hackers usaram credenciais roubadas e negociadas na dark web. Na Oldsmar, todos os funcionários da instalação usaram a mesma senha para acessar o aplicativo TeamViewer. No ataque de Ellsworth County, Kansas em 2019, o hacker abusou dos privilégios de um funcionário de um antigo emprego no setor de água. Nesses casos, maiores medidas de controle de identidade e acesso podem ter impedido que os hackers acessassem sistemas e dados confidenciais.

Os motivos de muitos ataques cibernéticos no setor de água parecem ser baseados em danos ou medo. Os hackers tentaram envenenar o abastecimento público de água por meio de vários métodos em vários ataques. Por exemplo, eles podem usar ferramentas de acesso remoto para alterar a quantidade de produtos químicos de tratamento de água para níveis tóxicos.

O ganho financeiro provavelmente também é um grande incentivo, como no caso dos dois ataques de ransomware de 2018 em uma instalação de Jacksonville, Carolina do Norte. Profissionais do setor de água e líderes da indústria devem ter em mente que o FBI aconselha as organizações a nunca pagarem resgates em ataques de ransomware. O pagamento incentiva os hackers a continuarem as campanhas criminosas e não há garantia de que eles realmente restaurarão os dados da vítima após o pagamento.

Como os EUA estão avançando para defender o setor de água

O governo federal dos EUA está se empenhando para melhorar a segurança em resposta às crescentes ameaças cibernéticas contra o setor de água. Por exemplo, em 2018, o Congresso aprovou a Lei de Infraestrutura de Água dos Estados Unidos. Isto estabelece requisitos de avaliação de risco para instalações de água que atendem 3.300 ou mais pessoas. A lei também descreve a orientação e o suporte técnico que a EPA deve fornecer às organizações do setor de água.

Em 2023, a EPA lançou requisitos mínimos de segurança cibernética atualizados para instalações públicas de água. Os novos requisitos incluem auditorias obrigatórias de segurança cibernética para garantir que as instalações em todo o país implementem defesas resilientes. Os requisitos atualizados seguem seis iniciativas de 2021 sugeridas pelo Gabinete de Responsabilidade do Governo, incluindo o apoio da Iniciativa Nacional de Educação em Cibersegurança.

A EPA também está tomando medidas para ajudar as organizações do setor de água a melhorar suas práticas de segurança. Por exemplo, o programa de treinamento All-Hazards Bootcamp da Water and Wastewater Utility que a EPA fornece inclui treinamento de funcionários sobre conscientização cibernética e resposta a emergências. O treinamento dos funcionários é uma parte vital da melhoria da segurança cibernética em qualquer organização. As empresas do setor de água podem usar estratégias como gamificação e simulações para maximizar o impacto de tais programas.

Além disso, o Centro de Compartilhamento e Análise de Informações sobre a Água experimentou um aumento no número de membros. A organização fornece dados de segurança e orientação para instalações do setor de água em todo o país. Conectar profissionais do setor de água por meio de organizações como essa pode aumentar a conscientização cibernética e o desenvolvimento de soluções de segurança específicas do setor.

Protegendo o Setor de Água

Todos dependem da indústria da água para saúde, segurança e alimentação, portanto, defendê-la das ameaças digitais é fundamental. As organizações do setor de água devem tomar medidas proativas para proteger seus sistemas e dados contra ataques, principalmente porque os hackers visam cada vez mais o setor. A US EPA e as organizações do setor fornecem orientação e ajuda para apoiar as empresas do setor de água à medida que se adaptam às necessidades de segurança mais avançadas.