Nos últimos anos, temos visto empresas em todo o mundo adotarem modelos operacionais digitais, e as empresas de serviços públicos não são exceção. Estas empresas nacionais que mantêm infraestruturas críticas em funcionamento, fornecendo serviços de água, gás, eletricidade e tratamento de resíduos, estão a utilizar uma infinidade de sistemas diferentes, plataformas online e aplicações para gerir os seus negócios. Estes sistemas trazem uma riqueza de benefícios, tornam simples para os clientes acompanhar o seu consumo e faturas online e organizar pagamentos, simplificam os modelos operacionais e facilitam a estruturação de processos e a recolha e partilha de dados em toda a organização. Mas esta dependência da infraestrutura digital também aumentou o âmbito para ciberataques no setor energético e forneceu novos pontos de entrada.

Recentes avisos da agência de classificação de crédito Moody’s lançaram luz sobre o risco elevado que as empresas de serviços públicos enfrentam de ciberataques visando as suas operações. A Moody’s afirmou que “Os setores de infraestruturas críticas como eletricidade, água e outros serviços públicos têm a maior exposição ao risco” devido a uma “crescente dependência da digitalização”. Eles destacam que isso “não significa necessariamente que lhes faltem fortes defesas cibernéticas. No entanto, um ataque bem-sucedido aos seus ativos e serviços pode ter consequências significativas” tanto para lares como para empresas.

O setor de serviços públicos está a tornar-se cada vez mais digitalizado através da introdução de contadores inteligentes, portais online e aplicações de software de terceiros, ampliando a superfície de ataque para cibercriminosos que procuram infiltrar-se nos sistemas, comprometer dados e interromper fornecimentos. Não são apenas os dados dos clientes que os hackers procuram roubar e explorar, eles também procuram visar tecnologia operacional insegura para interromper o fornecimento, causando perturbações generalizadas como cortes de energia e contaminação da água potável.

Leia o nosso blog sobre 10 formas de melhorar a sua cibersegurança.

Ciberataques a Empresas de Água Estão a Fazer Manchetes
O relatório da Moody’s enviou uma mensagem clara, os ciberataques a empresas de água têm sido prevalentes e ninguém está imune. Ataques recentes atingiram players bem conhecidos que provavelmente já têm uma forte postura de cibersegurança. Recentemente, a Southern Water, que fornece mais de 4 milhões de clientes no Reino Unido, afirmou que o grupo de ransomware Black Basta alegou ter acedido aos seus sistemas e publicou uma “quantidade limitada” dos seus dados na dark web. Além disso, a Staffordshire Water emitiu um pedido de desculpas depois de hackers terem roubado dados pessoais relativos aos seus clientes, a Moody’s estima que os custos relacionados com o hack, incluindo potenciais ações civis, possam chegar aos 10 milhões de libras. Na Irlanda, 180 pessoas ficaram sem água quando hackers visaram um sistema de bombagem de água, assumindo o controlo de um sistema de controlo industrial mal protegido.

Nos EUA, estão a enfrentar problemas semelhantes. Em 2023, hackers atacaram o sistema municipal de água de Aliquippa e conseguiram desligar uma bomba numa linha de abastecimento que serve mais de 6 mil clientes. Também se soube de um incidente de cibersegurança na Veolia North America, que fornece água à cidade de Rahway em New Jersey. A Moody’s salientou que o uso de inteligência artificial (IA) poderia acelerar ainda mais esta tendência preocupante de ciberataques a fornecedores de serviços públicos.

No entanto, a Moody’s advertiu que, embora os ciberataques como violações de dados tenham um impacto significativo na privacidade dos dados e na reputação, “O maior risco para o setor, e para a sociedade, é se terceiros mal-intencionados conseguirem aceder aos sistemas de tecnologia operacional para prejudicar as instalações de tratamento de água potável ou de águas residuais.” Estes sistemas frequentemente dependem de Tecnologia Operacional (TO) mais antiga e equipamentos de controlo que foram criados antes da internet e que muitas vezes foram adaptados para acesso remoto. Isto torna-os mais fáceis de hackear, pois este equipamento mais antigo carece de protocolos modernos de cibersegurança. Se os fornecimentos de água potável forem contaminados ou completamente interrompidos, isso pode causar um impacto significativo na saúde da população e pode causar ameaça à vida, criando a máxima perturbação e impacto destes ataques maliciosos.

Como é que os reguladores estão a abordar os desafios de cibersegurança enfrentados pelas empresas de serviços públicos?
Reconhecendo a criticidade da situação, os fornecedores de água, os organismos governamentais e os reguladores reconheceram a necessidade de reforçar as defesas cibernéticas. A Ofwat, que regula o setor da água no Reino Unido, está a avaliar planos para aumentar as faturas de 2025 a 2030 para cobrir custos adicionais, permitindo às empresas de água prestar um melhor serviço aos clientes e melhorar o ambiente, e parte disto provavelmente incluirá investimentos em cibersegurança. Esta direção surge numa altura em que a indústria da água está a enfrentar um escrutínio adicional por várias questões, incluindo a descarga de esgotos e a remuneração dos executivos.

Na sequência dos ciberataques ao setor da água, a Agência de Proteção Ambiental (EPA) está a defender que as empresas de água integrem voluntariamente medidas cibernéticas fundamentais nos seus processos de planeamento e operacionais. O resumo de cibersegurança do setor da água da EPA sugere uma série de controlos que as empresas de água podem implementar para se protegerem contra ataques de ransomware.

Alterações regulamentares recentes introduziram novas regulações cibernéticas para organizações que fornecem Infraestruturas Nacionais Críticas (INC), estas incluem a Lei de Segurança das Telecomunicações introduzida em 2021, DORA, a Lei de Resiliência Operacional Digital que afetará as organizações de serviços financeiros e os seus fornecedores de serviços de Tecnologia de Informação e Comunicação (TIC), e a diretiva NIS 2.

É essencial que as empresas de água e outras do setor de serviços públicos reconheçam estas vulnerabilidades destacadas pelos reguladores e tomem medidas proativas para proteger as suas operações e os dados dos clientes.

O que podem as empresas de serviços públicos fazer para reforçar as medidas de cibersegurança?
Há uma série de passos que as empresas de serviços públicos podem dar para obter visibilidade das ameaças de cibersegurança, fortalecer a infraestrutura de TI e reduzir o impacto quando ocorrem incidentes.

Claro que há disposições técnicas que as empresas podem tomar, como instalar atualizações de segurança e patches, limitar o acesso a dispositivos e endereços IP desconhecidos, e restringir a partilha de dados entre dispositivos para reduzir a superfície de ataque. Mas as empresas também precisam de identificar as ameaças cibernéticas antecipadamente e implementar controlos para as mitigar. Devem implementar políticas e formação rigorosas em cibersegurança, gerir a conformidade com os regulamentos de privacidade de dados, implementar processos para resolver rapidamente incidentes cibernéticos e garantir que todo o software, hardware e licenças estão atualizados e têm as medidas de segurança corretas.

Para ajudar a controlar os seus riscos de cibersegurança e proteger a sua infraestrutura de TI, as empresas de serviços públicos devem implementar procedimentos de governança rigorosos, introduzir um programa de gestão de risco cibernético de melhores práticas, aplicar procedimentos de conformidade rigorosos para garantir o alinhamento com as leis de privacidade de dados e implementar planos robustos de continuidade de negócio.

As mais recentes soluções tecnológicas de GRC podem formalizar estes procedimentos. O software permite às empresas gerir todos os aspetos do risco de TI e conformidade numa plataforma centralizada e oferece as seguintes capacidades:

  • Gestão de Risco: As equipas podem criar um registo de risco cibernético para capturar riscos digitais, criar formulários de avaliação de risco online personalizados e definir controlos e realizar testes de controlo.
  • Conformidade: As organizações podem criar uma biblioteca de obrigações de conformidade para gerir requisitos regulamentares relacionados com privacidade de dados e cibersegurança. Podem implementar procedimentos de governança rigorosos e fluxos de trabalho de gestão de políticas, gerir mudanças regulatórias e aceder a frameworks prontos a usar para alinhar processos com requisitos de privacidade de dados como RGPD, ISO 27001 e a diretiva NIS.
  • Gestão de Risco de Terceiros: As empresas podem criar uma biblioteca online de fornecedores, facilitando a gestão e o acompanhamento das relações com fornecedores e a compreensão dos riscos que representam. Podem implementar avaliações de risco de fornecedores, simplificar o processo de benchmarking de fornecedores e implementar a monitorização automatizada de métricas-chave como SLAs, KPIs e padrões de referência da indústria.
  • Gestão de Ativos: Os registos online de gestão de ativos permitem às equipas acompanhar a idade e o uso de hardware, licenças de software e ativos físicos, garantindo que todos os equipamentos e licenças estão atualizados e adequados para o trabalho. As equipas podem obter uma visão abrangente de equipamentos e licenças desatualizados, simplificando o planeamento orçamental.
  • Gestão de Políticas: Todas as políticas e procedimentos de TI podem ser geridos de forma consistente e armazenados num repositório online central com fluxos de trabalho para sinalizar datas de expiração e automatizar assinaturas, processos de aprovação e atestados.
  • Planeamento Estratégico: Crie uma estratégia de TI, divida os objetivos de topo em tarefas menores, projetos e ações que podem ser alocados em toda a organização para conclusão. À medida que as tarefas são cumpridas, o progresso é indicado, tornando fácil ver como a estratégia está a progredir em todos os níveis do negócio.
  • Auditorias: As empresas no setor de serviços públicos estão sujeitas a uma grande variedade de auditorias, inspeções e verificações. Usando software de GRC, as organizações podem agendar e gerir auditorias cibernéticas e formalizar os resultados e ações necessárias, fornecendo um histórico completo de todas as auditorias e suas conclusões e ações pendentes.
  • BCM e Resiliência Operacional: O software pode apoiar a criação de planos de BCM, avaliações de impacto no negócio e modelagem de processos de negócio, tornando fácil entender o impacto de um incidente em termos de custo, tempo de inatividade e horas-homem perdidas, e os planos de BCM podem ser acionados com base em incidentes registados.

Descubra o software de gestão de risco de TI da Riskonnect.

As Empresas de Serviços Públicos Devem Agir Agora para Garantir as Suas Operações Comerciais e Infraestrutura Digital
Os recentes avisos da Moody’s e as crescentes ameaças cibernéticas às empresas de serviços públicos destacam a urgência de priorizar a cibersegurança. À medida que o setor enfrenta a necessidade de investimentos massivos em cibersegurança, a proteção da infraestrutura crítica é primordial.

Na Riskonnect, compreendemos a importância de gerir eficazmente os riscos cibernéticos e garantir a conformidade com a privacidade dos dados. A nossa experiência em governança, risco e conformidade (GRC) de TI permite-nos oferecer soluções personalizadas para abordar os desafios específicos enfrentados pelos setores da água e dos serviços públicos.

Ao colaborar com a Riskonnect, as empresas de serviços públicos podem antecipar-se às ameaças emergentes e garantir a segurança da sua infraestrutura crítica. Podemos apoiar as empresas do setor de serviços públicos na gestão e mitigação do risco cibernético, assegurando simultaneamente a conformidade com os regulamentos de privacidade de dados. Contacte-nos hoje para uma demonstração.