.
O governo dos EUA está a apelar às autoridades estatais para que se unam para melhorar a segurança cibernética do sector da água do país, face às crescentes ameaças de adversários estrangeiros.
A Agência de Proteção Ambiental (EPA) anunciou que está buscando estabelecer uma Força-Tarefa de Segurança Cibernética do Setor Hídrico para reforçar o trabalho atual de implementação de soluções “imediatas” para evitar a interrupção de um dos serviços mais críticos dos EUA.
As vulnerabilidades prevalentes comuns em todo o setor serão consideradas pelo grupo de trabalho, assim como os métodos para adotar as melhores práticas em todo o setor. Também planeia desenvolver iniciativas existentes, como o Roteiro 2023 para um Setor de Água e Águas Residuais Seguro e Resiliente.
As recomendações resultantes de uma reunião em 21 de março entre os secretários estaduais de meio ambiente, saúde e segurança interna também serão apresentadas e consideradas pela força-tarefa a ser criada. Os secretários de estado relevantes foram convidados através de uma carta enviada a eles por Michael Regan, administrador da EPA, e Jake Sullivan, conselheiro de segurança nacional, que descreve a ameaça cibernética à indústria.
Os recentes ataques à Autoridade Municipal de Águas de Aliquippa, bem como a um conjunto de empresas de serviços públicos não identificadas, provocaram um período de maior sensibilização por parte das autoridades de segurança nos últimos meses.
Um grupo apoiado pelo Irão foi apontado como o culpado pelo incidente de Aliquippa, enquanto a tripulação chinesa do Volt Typhoon estava ligada a uma série de intrusões em infra-estruturas críticas em vários sectores, incluindo sistemas de água e águas residuais.
Com o histórico recente do Irão de planear um ataque disruptivo contra as instalações da Pensilvânia, e com o Volt Typhoon a ser observado como pré-posicionado dentro de redes críticas – suspeito de lançar ataques prejudiciais durante conflitos geopolíticos ou militares – pensa-se que ambos os países apresentam um risco agudo de conduzir “desativando ataques cibernéticos” contra o setor hídrico dos EUA.
“Os sistemas de água potável e de águas residuais são uma tábua de salvação para as comunidades, mas muitos sistemas não adotaram práticas importantes de segurança cibernética para impedir potenciais ataques cibernéticos”, disse Regan.
“EPA e [the National Security Council] levamos essas ameaças muito a sério e continuaremos a fazer parceria com líderes estaduais de meio ambiente, saúde e segurança interna para enfrentar o risco generalizado e desafiador de ataques cibernéticos aos sistemas de água.”
De acordo com a carta [PDF], em muitos casos, mesmo os princípios básicos da cibersegurança não estão a ser implementados em todo o setor. Deixar as senhas definidas com os padrões do fabricante e não atualizar o software para versões seguras são dois fundamentos de segurança que foram mencionados como não sendo adotados tão amplamente quanto deveriam.
“A administração Biden construiu a nossa abordagem de segurança nacional na integração fundamental da política externa e interna, o que significa elevar o nosso foco em desafios transversais como a segurança cibernética”, disse Sullivan.
“Trabalhámos em todo o governo para implementar padrões significativos de segurança cibernética nas infra-estruturas críticas do nosso país, incluindo no sector da água, enquanto permanecemos vigilantes aos riscos e custos das ameaças cibernéticas. Esperamos continuar a nossa parceria com a EPA para reforçar a segurança cibernética dos sistemas de água e águas residuais da América.”
EPA realiza seu desejo
Esta não é a primeira vez que a EPA tenta pressionar as autoridades estaduais a intensificarem as práticas de segurança cibernética das suas respectivas instalações de água.
Em Março de 2023, introduziu uma nova regra que exige que os estados realizem avaliações dos sistemas tecnológicos operacionais do seu sector da água, apenas para serem confrontados com uma enxurrada de ações judiciais meses depois.
Em Outubro, a EPA foi forçada a abandonar a sua regra depois de os procuradores-gerais dos estados do Arkansas, Iowa e Missouri terem processado a agência, alegando que estava a infringir a soberania do estado.
Mas, como tantas vezes acontece, tudo o que aparentemente era necessário era que um grande ataque cibernético realmente acontecesse antes que algo concreto fosse feito a respeito. Apenas um mês depois, aconteceu o ataque em Aliquippa, e então surgiram as notícias sobre o Volt Typhoon.
Lembre-se, tudo isso aconteceu depois da tentativa de envenenamento na Flórida, então não é como se não houvesse precedente aqui.
Não está claro como tudo isso acontecerá desta vez, mas com o apoio da administração Biden-Harris, poderá levar à ação concertada que aparentemente é necessária. ®
.
