Quase 70% dos sistemas comunitários de água potável nos Estados Unidos não estão em conformidade com a Lei de Água Potável Segura, de acordo com a Agência de Proteção Ambiental (EPA) – incluindo os padrões de cibersegurança que ela estabelece. Novos planos de fiscalização da EPA visam reverter essa situação.
De acordo com um alerta da EPA divulgado esta semana, Rússia e Irã, em particular, intensificaram os ciberataques aos sistemas de água do país, “a um ponto em que ação adicional é crítica”. A agência apontou uma série de vulnerabilidades críticas de segurança cibernética preocupantes, incluindo senhas padrão que não foram atualizadas e logins únicos que podem ser facilmente comprometidos.
Os riscos são notavelmente altos. “Possíveis impactos incluem interrupção do tratamento, distribuição e armazenamento de água para a comunidade, danificação de bombas e válvulas e alteração nos níveis de produtos químicos para quantidades perigosas”, disse a agência.
Em resposta, a EPA disse que aumentará o número de inspeções planejadas para garantir que os sistemas de água estejam avaliando regularmente a resiliência de sua segurança cibernética e desenvolvendo planos de resposta de emergência. Como parte da iniciativa, a EPA divulgou seu esboço “Principais Ações para Proteger os Sistemas de Água”, que inclui as seguintes etapas:
– Reduzir a exposição à Internet voltada para o público
– Realizar avaliações regulares de segurança cibernética
– Alterar imediatamente as senhas padrão
– Realizar um inventário de ativos de OT/IT
– Desenvolver e exercitar planos de resposta e recuperação de incidentes de segurança cibernética
– Reduzir a exposição a vulnerabilidades e realizar treinamento de conscientização em segurança cibernética
A agência também afirmou que está estabelecendo uma força-tarefa para identificar ações e estratégias adicionais de curto prazo para reduzir o risco cibernético de sistemas de água e esgoto em todo o país; e, quando apropriado, também disse que tomará medidas de fiscalização civil e criminal se os sistemas não se conscientizarem.
Ataques contínuos e preocupações no setor de água fazem parte de um conjunto de alarmes sobre a segurança cibernética da água emitidos pelo governo nos últimos meses, em resposta a ataques como um em novembro passado na Autoridade de Água Municipal de Aliquippa, na Pensilvânia, por um grupo patrocinado pelo estado iraniano chamado CyberAv3ngers. Em seu alerta, a EPA não ofereceu detalhes sobre os ataques recentes, mas observou que “governos estrangeiros interromperam alguns sistemas de água com ciberataques e podem ter a capacidade de desativá-los no futuro”.
Apesar da resistência à regulamentação de grupos da indústria de água, o governo também tomou medidas como propor US$ 7,5 milhões em novos recursos de cibersegurança para sistemas de água em áreas rurais.
Chris Warner, estrategista de segurança OT na GuidePoint Security, afirma que parte do problema persistente é a escassez de pessoal qualificado em segurança cibernética específica do setor.
“O desafio na segurança de nossas instalações de água e esgoto é a falta de pessoal qualificado em segurança OT e os desafios de segurança de TI em entender os sistemas de controle que operam os sistemas de água representam desafios significativos”, explica. “Para resolver essas questões, formar equipes multifuncionais, colaborar com Liason de Setores de Infraestrutura Crítica e construir relacionamentos sólidos com a polícia local são cruciais”.
Para atender a essa necessidade específica, a EPA disse que está trabalhando com a CISA para oferecer orientação, ferramentas, treinamento, recursos e assistência técnica para ajudar os sistemas de água a fortalecer suas posturas cibernéticas. Em janeiro, a CISA também lançou um extenso guia específico do setor de água com 27 páginas de melhores práticas de cibersegurança.
Warner destaca que é imperativo que o governo continue a destacar e desempenhar um papel ativo na segurança cibernética de água e esgoto.
“Essas medidas podem melhorar a coordenação, melhorar os tempos de resposta e fornecer uma abordagem abrangente para a segurança dos sistemas de água”, diz ele. “Sem mandatos e esforços colaborativos, o risco de ataques a infraestruturas críticas, incluindo sistemas de água e esgoto, aumenta significativamente”.