Jornais Houston Chronicle/hearst via Getty Images | Jornais Hearst | Imagens Getty
A cidade de Wichita teve recentemente uma experiência que se tornou muito comum: o seu sistema de água foi hackeado. O ataque cibernético, que teve como alvo a medição de água, a faturação e o processamento de pagamentos, seguiu-se aos ataques às empresas de abastecimento de água nos EUA nos últimos anos.
Ao perseguir a água dos EUA, os hackers não estão fazendo nada de especial. Apesar dos temores crescentes do uso de IA em ameaças cibernéticas, a forma criminosa de entrar nos sistemas continua se aproveitando das fraquezas humanas, seja por meio de phishing, engenharia social ou um sistema que ainda funciona com uma senha padrão – ataques cibernéticos da “velha escola”, de acordo com Ryan Witt, vice-presidente da empresa de segurança cibernética Proofpoint.
A onda crescente de crimes cibernéticos que visam infra-estruturas essenciais levou a Agência de Protecção Ambiental a emitir um alerta de fiscalização alertando que 70% dos sistemas de água que inspeccionou não cumprem integralmente os requisitos da Lei da Água Potável Segura. Sem quantificar um número exato, a EPA disse que alguns “vulnerabilidades alarmantes de segurança cibernética” — senhas padrão que não foram atualizadas, configurações de login único vulneráveis e ex-funcionários que mantiveram o acesso aos sistemas.
Embora os métodos possam ser simples, um ataque no ano passado por um Grupo ativista apoiado pelo Irã contra 12 empresas de abastecimento de água nos EUA reforçou o quão proposital pode ser a “mentalidade de um invasor”, de acordo com Witt. Todos os serviços públicos visados continham equipamentos de fabricação israelense.
FBI, NSA, CISA expressam preocupação
Em Fevereiro, o FBI alertou o Congresso que os hackers chineses penetraram profundamente na infra-estrutura cibernética dos Estados Unidos, numa tentativa de causar danos, visando planos de tratamento de água, a rede eléctrica, sistemas de transporte e outras infra-estruturas críticas. Um hack ligado à Rússia em janeiro de uma planta de filtragem de água em uma pequena cidade do Texas, Muleshoe – localizada perto de uma base da Força Aérea dos EUA – causou o transbordamento de um tanque de água. “A água está entre as menos maduras em termos de segurança”, disse recentemente Adam Isles, chefe de práticas de segurança cibernética do Chertoff Group, à CNBC.
O impacto psicológico na população também é um objetivo estratégico, visto não apenas no direcionamento de recursos hídricos, mas também no ataque à Colonial Pipeline, que ganhou as manchetes nacionais em 2021 e, nas palavras da Agência Federal de Segurança Cibernética e de Infraestrutura, apresentou “filas sinuosas de carros em postos de gasolina na costa leste e americanos em pânico enchendo sacos de combustível, com medo de não conseguirem ir ao trabalho ou levar seus filhos à escola”.
Ataques aos sistemas de TI de concessionárias de água dos EUA podem ter um impacto psicológico semelhante e, mesmo que os ataques não interfiram diretamente nas operações da concessionária, ainda diminuem a confiança pública no fornecimento de água. Nenhum hack até o momento cortou o fornecimento de água para uma população, mas essa é a maior preocupação, disse Stuart Madnick, professor de sistemas de engenharia do MIT e cofundador de Segurança Cibernética no MIT Sloan.
Intrometer-se no abastecimento de água através de ataques direcionados à TI (tecnologia informacional), como o sistema de Wichita, é menor em comparação com um ataque bem-sucedido à TO (tecnologia operacional) que controla as estações de tratamento de água. Esse é um risco enorme, disse Madnick, e a ameaça de que isso aconteça não é zero.
“Demonstramos em nosso laboratório como operações, como uma estação de tratamento de água, poderiam ser interrompidas não apenas por horas ou dias, mas por semanas. É definitivamente tecnicamente possível”, disse ele.
Uma carta recente enviada pelo administrador da EPA, Michael Regan, e pelo conselheiro de Segurança Nacional, Jake Sullivan, aos governadores dos países detalhou a urgência da ameaça. Mas Madnick desconfia da capacidade do governo de agir de forma rápida ou robusta o suficiente para evitar tal ocorrência. Orçamentos, infra-estruturas desactualizadas e a relutância em avançar numa questão que pode parecer vital e assustadora sugerem que as soluções podem, de facto, não ocorrer com a rapidez suficiente. “Isso ainda não aconteceu, e ações sérias para prevenir o ‘provável’ não acontecerão até depois de acontecer”, disse ele.
Tecnologia desatualizada de concessionárias de água
Como qualquer sistema moderno, as concessionárias de água dependem da tecnologia para monitoramento, operações e comunicação com os clientes. A tecnologia cria vulnerabilidades – para fornecedores e utilizadores – pelo que a necessidade de medidas de segurança reforçadas é urgente. “O risco comunitário de ataques cibernéticos inclui um invasor obter o controle das operações de um sistema para danificar a infraestrutura, interromper a disponibilidade ou o fluxo de água ou alterar os níveis de produtos químicos, o que poderia permitir que águas residuais não tratadas fossem despejadas em um curso de água ou contaminassem a água potável. fornecido a uma comunidade”, disse um porta-voz da EPA.
Witt diz que há algumas etapas iniciais a serem tomadas para melhorar a higiene cibernética de sistemas desatualizados. “Melhorar a força das senhas, reduzir a exposição à Internet pública e a necessidade de treinamento de conscientização sobre segurança cibernética” ajudaria muito a reforçar as defesas, disse ele. Outra solução potencial é a implantação do que é chamado sistemas sem ar que separam os sistemas de supervisão e controle de outras redes. Como a maneira mais fácil de entrar nesses sistemas é obter credenciais e depois explorar o sistema, “um administrador de sistemas não deve ser capaz de acessar sistemas de escritório, como e-mail, e operar um painel de controle de um sistema de água a partir do mesmo laptop”, Witt disse.
Na maior parte, os ataques ocorridos foram evitáveis, de acordo com a EPA. “Os sistemas foram vítimas de ataques cibernéticos destrutivos e dispendiosos porque não conseguiram adotar práticas básicas de resiliência cibernética”, disse o porta-voz da EPA. “Todos os sistemas de água potável e de águas residuais estão em risco – grandes e pequenos, urbanos e rurais”, disse ele.
Embora não tenha sido uma ferramenta necessária até à data nestes ataques às empresas de abastecimento de água, a IA está a acompanhar os esforços cibernéticos concertados dos rivais geopolíticos. “Os rápidos avanços na inteligência artificial estão a dar aos actores de ameaças cibernéticas tácticas, técnicas e procedimentos mais sofisticados para penetrar na tecnologia operacional que controla instalações de infra-estruturas críticas”, disse o porta-voz da EPA. “Esses ataques têm sido associados a uma variedade de tipos de atores mal-intencionados, incluindo hackers que trabalham em nome ou em apoio a outras nações que poderiam usar interrupções na infraestrutura crítica dos EUA em sua vantagem estratégica”.