Artigo: Cinco passos para aumentar a resiliência cibernética em sistemas hídricos

Alexandre Freire* – 01.12.2022 –

A indústria das águas geralmente não é associada às ameaças de segurança cibernética, mas, com a automatização do setor ao longo dos últimos anos, isso vem mudando. Criminosos estão cada vez mais atentos ao valor que pode ser extraído da infraestrutura crítica.

Embora a conectividade digital nas concessionárias de águas tenha aumentado com a integração da tecnologia da informação (TI), tecnologia operacional (OT) e a Internet das Coisas (IoT), a mentalidade em relação à segurança não acompanhou o ritmo, e isso é muito preocupante. A segurança das redes OT e IoT são realizadas de maneiras diferentes e muitas vezes mais desafiadoras para a TI, na qual a maior parte do foco de segurança é direcionada.

Como provedor de um serviço essencial, os efeitos de um ciberataque em concessionárias de água e saneamento têm o potencial de causar grandes danos à população atendida. Nessa atual transformação digital, as empresas do setor têm duas opções: priorizar a segurança cibernética ou arriscar perdas financeiras, vazamentos de dados e até mesmo comprometer o fornecimento de água potável e prejudicando também o tratamento de esgotos afetando a soberania de uma nação com a possibilidade de comprometimento de serviços essenciais à sociedade.

Entenda os riscos

O setor de água e esgoto é avaliado globalmente em cerca de 500 bilhões de dólares, mas não era um alvo monetário para hackers até pouco tempo. Havia pouca automação ou necessidade de acesso remoto aos sistemas e o valor para os hackers era limitado a praticamente apenas desligar fisicamente o maquinário.

O acesso remoto permite a conectividade de qualquer lugar do mundo para gerar ideias inovadoras ou solucionar problemas complexos. A automação e a IoT agora são partes essenciais das estruturas modernas de operações críticas.

No entanto, a proteção acabou ficando para trás e nos EUA estima-se que apenas 1% do orçamento do setor seja voltado para a segurança cibernética. Além disso, a avaliação de riscos, os planos de mitigação e recuperação também são negligenciados. Muitos operadores de serviços públicos não estão cientes dos tipos de ameaças que podem enfrentar. Além disso, as redes OT e IoT são frequentemente consideradas muito difíceis de proteger.

Nos últimos anos vimos diversos ataques, como a invasão ao Maroochy Shire em Queensland, que liberou mais de um milhão de litros de esgoto em parques, ruas e rios locais; a violação em computadores que controlam as comportas de uma empresa no Irã; e a sabotagem que mais chamou a atenção em Oldsmar, na Flórida, com a tentativa de alterar os níveis químicos na água, colocando a vida de milhões de pessoas em risco.

Mitigação

De acordo com a IBM, as violações de dados agora custam às empresas pesquisadas US$ 4,24 milhões por incidente em média. O erro humano é uma das principais causas de violações, seja por senhas fracas, compartilhamento de informações de segurança ou clique em e-mails de phishing podem contribuir para o sucesso de um ciberataque. Diversos ataques que atingiram os ambientes de OT foram bem sucedidos a partir da exploração da superfície de sistemas e redes de TI muitas vezes em ataques direcionados na indução de falhas humanas a partir de spear phishing e outras técnicas de engenharia social.

A abordagem preventiva é fundamental para reduzir os riscos de ataques. Mesmo nas menores concessionárias, é fundamental estar previamente preparado para lidar com uma violação e manter a atualização e monitoramento de novas ameaças. Se uma empresa de tratamento de Água e Esgoto puder identificar um ataque antecipadamente, será possível evitar alguns dos danos. A proteção de ambientes OT e IoT requer respostas proativas e reativas, como:

Planejamento: Esteja preparado para um ataque. É preciso agir agora para proteger os sistemas críticos e implementar planos para impedir uma violação e ser capaz de recuperar os dados, tratar da continuidade de negócios e restaurar rapidamente os processos operacionais

Treinamento: É fundamental manter um treinamento consistente e atualizado para a equipe, descrevendo os procedimentos de segurança, como detectar uma ameaça e o que fazer caso sofram um ciberataque. O lado humano sempre será explorado por criminosos como busca de superfície de ataques e facilitadores de roubos, fraudes em geral ou sabotagens.

Colaboração: Os hackers identificaram vulnerabilidades comuns em diferentes empresas do setor de Utilities (Energia, Água e Esgotos). O compartilhamento de informações sobre ameaças crescentes aumenta a conscientização dos líderes de segurança das empresas e permite que cada instalação tenha todas as informações relevantes com antecedência. Se os criminosos identificam e compartilham amaças, precisamos ser mais velozes compartilhando também o conhecimento dessas ameaças e sobretudo as contramedidas necessárias para sua rápida identificação ou, preferencialmente, mitigação.

Higiene cibernética: Essa prática regular ajuda a identificar o footprint dos sistemas da empresa para detectar pontos de vulnerabilidade e fraquezas. Aplicações legadas e não monitoradas são particularmente suscetíveis a ataques, assim como dispositivos de legado desatualizados e que não possuem mais cobertura para correções de patches por parte dos fabricantes (depreciados).

Investimento: Os investimentos das concessionárias de água e esgoto em cibersegurança precisam subir para o topo das agendas rapidamente. Afinal, as estratégias de mitigação de riscos custam dinheiro, mas são muito mais baratas do que lidar com os grandes prejuízos de um ataque cibernético.

*Alexandre Freire é Technical Sales Engineering da Nozomi Networks para a América Latina.