WASHINGTON – Os ataques cibernéticos contra empresas de abastecimento de água em todo o país estão a tornar-se mais frequentes e mais graves, alertou a Agência de Protecção Ambiental na segunda-feira, ao emitir um alerta de fiscalização instando os sistemas de água a tomarem medidas imediatas para proteger a água potável do país.
Cerca de 70% dos serviços públicos inspecionados por autoridades federais no último ano violaram padrões destinados a evitar violações ou outras intrusões, disse a agência. As autoridades instaram até mesmo os pequenos sistemas de água a melhorar as proteções contra hacks. Os recentes ataques cibernéticos perpetrados por grupos afiliados à Rússia e ao Irão tiveram como alvo comunidades mais pequenas.
Alguns sistemas de água estão falhando em aspectos básicos, disse o alerta, incluindo a falha na alteração de senhas padrão ou no corte do acesso ao sistema de ex-funcionários. Como as concessionárias de água muitas vezes dependem de software de computador para operar estações de tratamento e sistemas de distribuição, proteger a tecnologia da informação e os controles de processos é crucial, disse a EPA. Os possíveis impactos dos ataques cibernéticos incluem interrupções no tratamento e armazenamento de água; danos em bombas e válvulas; e alteração dos níveis químicos para quantidades perigosas, disse a agência.
“Em muitos casos, os sistemas não estão fazendo o que deveriam estar fazendo, que é ter concluído uma avaliação de risco de suas vulnerabilidades que inclui segurança cibernética e garantir que esse plano esteja disponível e informe a maneira como eles fazem negócios”, disse a EPA. Administradora Adjunta Janet McCabe.
As tentativas de grupos privados ou indivíduos de entrar na rede de um fornecedor de água e derrubar ou desfigurar sites não são novas. Mais recentemente, porém, os invasores não atacaram apenas sites, mas também atacaram operações de serviços públicos.
Os ataques recentes não são apenas perpetrados por entidades privadas. Alguns ataques recentes a empresas de abastecimento de água estão ligados a rivais geopolíticos e podem levar à interrupção do fornecimento de água potável a residências e empresas.
McCabe nomeou a China, a Rússia e o Irão como os países que estão “procurando activamente a capacidade de desativar infra-estruturas críticas dos EUA, incluindo água e águas residuais”.
No final do ano passado, um grupo ligado ao Irão chamado “Cyber Av3ngers” teve como alvo diversas organizações, incluindo um fornecedor de água de uma pequena cidade da Pensilvânia, forçando-o a mudar de uma bomba remota para operações manuais. Eles estavam perseguindo um dispositivo de fabricação israelense usado pela empresa de serviços públicos após a guerra de Israel contra o Hamas.
No início deste ano, um “hacktivista” ligado à Rússia tentou interromper as operações em várias empresas de serviços públicos do Texas.
Um grupo cibernético ligado à China e conhecido como Volt Typhoon comprometeu a tecnologia da informação de vários sistemas de infra-estruturas críticas, incluindo água potável, nos Estados Unidos e nos seus territórios, disseram autoridades norte-americanas. Os especialistas em segurança cibernética acreditam que o grupo alinhado com a China está a posicionar-se para potenciais ataques cibernéticos em caso de conflito armado ou de aumento de tensões geopolíticas.
“Ao trabalhar nos bastidores com estes grupos hacktivistas, agora estes (Estados-nação) têm uma negação plausível e podem permitir que estes grupos realizem ataques destrutivos. E isso para mim é uma virada de jogo”, disse Dawn Cappelli, especialista em segurança cibernética da empresa industrial de segurança cibernética Dragos Inc.
Acredita-se que as potências cibernéticas mundiais tenham se infiltrado na infraestrutura crítica dos rivais durante anos, plantando malware que poderia ser acionado para interromper serviços básicos.
O alerta de fiscalização visa enfatizar a gravidade das ameaças cibernéticas e informar as concessionárias de que a EPA continuará suas inspeções e aplicará penalidades civis ou criminais caso encontrem problemas graves.
“Queremos ter certeza de que divulgamos às pessoas que ‘Ei, estamos encontrando muitos problemas aqui’”, disse McCabe.
A EPA não informou quantos incidentes cibernéticos ocorreram nos últimos anos, e o número de ataques bem-sucedidos até agora é pequeno. A agência emitiu quase 100 ações de fiscalização desde 2020 em relação a avaliações de risco e resposta a emergências, mas disse que este é um pequeno retrato das ameaças que os sistemas hídricos enfrentam.
A prevenção de ataques contra fornecedores de água faz parte do esforço mais amplo da administração Biden para combater ameaças contra infraestruturas críticas. Em fevereiro, o presidente Joe Biden assinou uma ordem executiva para proteger os portos dos EUA. Os sistemas de saúde foram atacados. A Casa Branca também pressionou as empresas de electricidade a aumentarem as suas defesas. O administrador da EPA, Michael Regan, e o conselheiro de segurança nacional da Casa Branca, Jake Sullivan, pediram aos estados que elaborassem um plano para combater ataques cibernéticos a sistemas de água potável.
“Os sistemas de água potável e de águas residuais são um alvo atraente para ataques cibernéticos porque são um setor vital de infraestrutura crítica, mas muitas vezes carecem de recursos e capacidade técnica para adotar práticas rigorosas de segurança cibernética”, escreveram Regan e Sullivan em uma carta de 18 de março a todos os 50 governadores dos EUA. .
Algumas das soluções são simples, disse McCabe. Os fornecedores de água, por exemplo, não devem usar senhas padrão. Eles precisam desenvolver um plano de avaliação de riscos que aborde a segurança cibernética e criar sistemas de backup. A EPA afirma que treinará gratuitamente as concessionárias de água que precisam de ajuda. As concessionárias maiores geralmente têm mais recursos e experiência para se defenderem contra ataques.
“Em um mundo ideal… gostaríamos que todos tivessem um nível básico de segurança cibernética e pudessem confirmar que o possuem”, disse Alan Roberson, diretor executivo da Associação de Administradores Estaduais de Água Potável. “Mas isso está muito longe.”
Algumas barreiras são fundamentais. O sector da água está altamente fragmentado. Existem cerca de 50.000 fornecedores comunitários de água, a maioria dos quais atende cidades pequenas. O pessoal modesto e os orçamentos anémicos em muitos locais tornam já bastante difícil manter o básico – fornecer água potável e manter-se em dia com as regulamentações mais recentes.
“Certamente, a segurança cibernética faz parte disso, mas essa nunca foi a sua especialidade principal. Então, agora você está pedindo a uma concessionária de água que desenvolva todo esse novo tipo de departamento” para lidar com ameaças cibernéticas, disse Amy Hardberger, especialista em água da Texas Tech University.
A EPA enfrentou reveses. Os estados analisam periodicamente o desempenho dos fornecedores de água. Em março de 2023, a EPA instruiu os estados a adicionar avaliações de segurança cibernética a essas revisões. Se encontrassem problemas, o estado deveria forçar melhorias.
Mas Missouri, Arkansas e Iowa, aos quais se juntaram a American Water Works Association e outro grupo da indústria da água, contestaram as instruções em tribunal alegando que a EPA não tinha autoridade ao abrigo da Lei da Água Potável Segura. Após um revés judicial, a EPA retirou as suas exigências, mas instou os estados a tomarem medidas voluntárias de qualquer maneira.
A Lei da Água Potável Segura exige que certos fornecedores de água desenvolvam planos para algumas ameaças e certifiquem que o fizeram. Mas seu poder é limitado.
“Simplesmente não há autoridade para (segurança cibernética) na lei”, disse Roberson.
Kevin Morley, gerente de relações federais da American Water Works Association, disse que algumas concessionárias de água possuem componentes conectados à Internet – uma vulnerabilidade comum, mas significativa. A revisão desses sistemas pode ser um trabalho significativo e caro. E sem financiamento federal substancial, os sistemas hídricos lutam para encontrar recursos.
O grupo industrial publicou orientações para serviços públicos e defende o estabelecimento de uma nova organização de especialistas em segurança cibernética e água que desenvolveria novas políticas e as aplicaria, em parceria com a EPA.
“Vamos trazer todos de maneira razoável”, disse Morley, acrescentando que pequenas e grandes empresas têm necessidades e recursos diferentes.
___
Phillis relatou de St.
___
A Associated Press recebe apoio da Walton Family Foundation para cobertura de políticas hídricas e ambientais. A AP é a única responsável por todo o conteúdo. Para toda a cobertura ambiental da AP, visite https://apnews.com/hub/climate-and-environment