EUA impõe novas regras para proteger sistemas de abastecimento de água

A Agência de Proteção Ambiental dos EUA anunciou na sexta-feira novos requisitos para instalações públicas de água para aumentar sua segurança cibernética, expressando preocupação de que muitas instalações falharam em tomar medidas básicas para se proteger de hackers.

O novo memorando da EPA exige que os governos estaduais auditem as práticas de segurança cibernética dos sistemas públicos de água – e, em seguida, usem as autoridades reguladoras estaduais para forçar os sistemas de água a adicionar medidas de segurança se as existentes forem consideradas insuficientes.

“Os ataques cibernéticos direcionados aos sistemas de água representam uma ameaça real e significativa à nossa segurança”, disse a administradora assistente da EPA, Radhika Fox, a repórteres na quinta-feira.

É o mais recente movimento em uma imprensa judicial do governo Biden para usar seus poderes regulatórios e políticos para tentar aumentar as defesas cibernéticas da infraestrutura crítica dos EUA que é frequentemente alvo de cibercriminosos e hackers apoiados por governos estrangeiros.

O memorando da EPA vem um dia depois que a Casa Branca divulgou uma estratégia nacional de segurança cibernética que exige que os fabricantes de software sejam responsabilizados quando seus produtos deixarem brechas para os hackers explorarem.

Um alerta para a segurança cibernética no setor de água ocorreu poucas semanas após o início do governo Biden, em fevereiro de 2021, quando um hacker se infiltrou em uma estação de tratamento de água da Flórida e tentou aumentar a quantidade de hidróxido de sódio para um nível potencialmente perigoso, segundo autoridades locais.

A instalação interrompeu o ataque antes que o dano pudesse ser causado, mas o episódio alarmou as autoridades em Washington e levou a um maior escrutínio federal das práticas de segurança do setor de água.

O FBI e a Agência de Segurança Cibernética e Infraestrutura dos EUA alertaram sobre vários ataques de ransomware nas redes de computadores de instalações de água e esgoto da Califórnia ao Maine.

Que a maior atenção do público sobre o assunto trouxe melhorias; o Water Information Sharing and Analysis Center (WaterISAC), um centro da indústria para dados de ameaças cibernéticas e melhores práticas, diz que sua associação agora inclui instalações que fornecem água para a maior parte dos EUA.

“Várias associações do setor de água abraçam a necessidade de ajudar os sistemas de água a reforçar a resiliência cibernética”, disse Jennifer Lyn Walker, diretora de defesa cibernética de infraestrutura da WaterISAC, à CNN. “Os sistemas maiores lideram a cobrança há anos, então acho que podemos adaptar esse esforço para os sistemas médios e menores para o bem maior do setor.”

Mas o crescente setor de água dos EUA, que inclui mais de 148.000 sistemas públicos de água, às vezes tem dificuldades com financiamento e pessoal para proteger os sistemas.

Nos sistemas públicos de água, “a autorização de cima para baixo para grandes projetos de segurança cibernética, infelizmente, geralmente só acontece após um incidente”, disse Chris Grove, diretor de estratégia de segurança cibernética da empresa de segurança industrial Nozomi Networks, à CNN.

“Nos municípios que gerenciam os sistemas públicos de água, eles estão escolhendo entre uma expansão de biblioteca, câmeras para a polícia ou segurança cibernética para sistemas de tratamento de água e esgoto”, disse Grove.