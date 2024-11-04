A American Water, a maior concessionária de água e esgoto de capital aberto dos Estados Unidos, sofreu recentemente um incidente de cibersegurança que forçou a empresa a desconectar sistemas-chave, incluindo sua plataforma de faturamento para clientes. À medida que a investigação da empresa continua, há preocupações crescentes sobre as vulnerabilidades que persistem no setor de água, que tem se tornado cada vez mais um alvo de ataques cibernéticos.
A violação é um forte lembrete sobre os riscos de infraestrutura crítica que há muito atormentam o setor. Embora a empresa de serviços de água tenha confirmado que suas operações e a qualidade da água não foram afetadas, o desligamento do sistema de faturamento e do portal do cliente pela American Water destaca a interseção crítica entre a tecnologia operacional (TO) e as vulnerabilidades de tecnologia da informação (TI) em serviços essenciais.
Os sistemas de água e esgoto nos EUA são vitais para a saúde pública e o meio ambiente, mas também sofrem com o subfinanciamento crônico, infraestrutura legada e uma superfície de ataque cada vez maior. A dependência de sistemas de TO, muitos dos quais não possuem proteções de segurança modernas, tornou essas empresas de serviços públicos particularmente suscetíveis a ameaças cibernéticas.
De acordo com um relatório da CISA, os hacktivistas pró-Rússia têm visado cada vez mais os Industrial Control Systems (ICS) dentro dos serviços públicos de fornecimento de água, muitas vezes utilizando a exploração de senhas padrão, acesso remoto não seguro e outras práticas fracas de segurança cibernética.
Os sistemas de água são únicos, pois dependem de redes complexas de ICS para gerenciar funções críticas, como processos de tratamento e distribuição. Esses sistemas não foram projetados inicialmente com a cibersegurança em mente, levando a uma colcha de retalhos de proteções que não atendem ao cenário de ameaças atual.
Os invasores, especialmente os invasores de Estados, veem os serviços de água como alvos valiosos devido ao seu potencial de perturbar a infraestrutura civil e causar pânico generalizado. E por causa da falta de segurança robusta, os sistemas de água são mais fáceis de violar. No geral, as vulnerabilidades do setor de água o tornam um alvo importante para adversários que buscam ganhos monetários ou exercer pressão geopolítica.
A decisão da American Water de divulgar o ataque cibernético por meio de um formulário 8-K destaca seu papel como infraestrutura crítica e os requisitos regulatórios vinculados a esse status. A lei de Cyber Incident Reporting for Critical Infrastructure Act de 2022 (CIRCIA) exige que as entidades de infraestrutura crítica relatem incidentes cibernéticos à CISA dentro de 72 horas após a detecção. Isso faz parte de uma iniciativa federal mais ampla para garantir a comunicação e a resposta em tempo hábil às ameaças cibernéticas que têm como alvo os serviços essenciais.
No âmbito da CIRCIA, as organizações são obrigadas a notificar não apenas as agências federais como a CISA, mas também o público, especialmente quando interrupções de serviço ou violação de dados afetam os consumidores. Nesse caso, o relatório 8-K da American Water serve como uma notificação legal e pública, já que a Securities and Exchange Commission (SEC) exige que empresas de capital aberto relatem eventos relevantes que possam afetar sua posição financeira.
Este processo de notificação é crucial para manter a confiança do público nos serviços críticos. Embora a American Water tenha garantido ao público que a qualidade da água e os processos operacionais não foram afetados, a transparência na divulgação do ataque cibernético fala sobre o ambiente regulatório aprimorado em que os operadores de infraestrutura crítica agora operam.
O setor de água, assim como muitos outros setores de infraestrutura crítica, opera sob um framework de padrões de cibersegurança voluntários e obrigatórios. Em 2023, a Environmental Protection Agency (EPA) dos EUA tentou introduzir auditorias obrigatórias de cibersegurança para os serviços de água sob a aplicação da lei da água potável segura.
Essas auditorias foram projetadas para avaliar a postura de cibersegurança de utilitários, muitos dos quais tiveram dificuldades para implementar medidas básicas de segurança, como autenticação multifatores (MFA) e segmentação de rede. No entanto, desafios legais de vários estados atrasaram a implementação completa dessas normas e o cenário regulatório permanece instável.
A CISA também publicou orientações abrangentes sobre como proteger os sistemas ICS e TO nos setores de água e esgoto. Essa orientação, descrita na Cross-Sector Cybersecurity Performance Goals (CPGs), inclui recomendações para reduzir a exposição de sistemas críticos à Internet, aplicar políticas de senhas fortes e garantir que dispositivos desatualizados sejam substituídos ou gerenciados com segurança.
A crescente frequência de ataques cibernéticos no setor de água levou a uma discussão nacional mais ampla sobre a necessidade de regulamentações mais rigorosas e padrões em todo o setor. Em resposta, a administração Biden enfatizou a importância de desenvolver resiliência nos sistemas de água por meio de treinamento em cibersegurança, compartilhamento de ameaças e investimento em tecnologias de segurança.
O ataque cibernético da American Water ressalta as vulnerabilidades que continuam a atormentar os setores de água e esgoto, particularmente na interseção entre TI e TO. Com ameaças contínuas de invasores de Estados e grupos hacktivistas, o setor de água deve fortalecer com urgência sua postura de cibersegurança.
A transparência da American Water ao relatar o incidente, a cooperação com a CISA e as autoridades policiais estabeleceu um precedente necessário para outros provedores de infraestrutura crítica. À medida que as regulamentações de cibersegurança continuam evoluindo, os serviços de água precisarão priorizar a higiene cibernética, adotar as melhores práticas de agências federais e se preparar para a inevitabilidade de futuros ataques.