O uso de ferramentas de acesso remoto para fins de controlo e alteração dos níveis químicos nas redes de abastecimento de água é agora uma real possibilidade para agentes do cibercrime.
No estado da Flórida, em Oldsmar, foi precisamente isso que aconteceu recentemente, o que fez aumentar a preocupação sobre potenciais ataques no futuro contra sistemas de fornecimento menos robustos. Os criminosos usaram ferramentas de acesso remoto para tomarem posse e alterar os níveis químicos no abastecimento de água, elevando-os a níveis potencialmente perigosos. No caso do ataque documentado, a boa notícia é que existiam outros sistemas instalados que notificaram a equipa a tempo de travar a invasão. A má notícia é que pode ter acontecido o sistema estar a ser atacado secretamente durante semanas ou meses antes da detetada tentativa de intromissão na qualidade da água.
Ataques deste tipo obedecem por norma a um período grande de recolha de informação e a um bom plano estratégico. Para melhor compreender, os criminosos procuram formas de ganhar acessos sobre os sistemas, vasculhando depois pela rede para detetar os sistemas de controlo que interagem diretamente com os métodos de tratamento das águas.
Uma vez identificados os sistemas, os agentes tentam perceber qual é o processo químico e que acessos os sistemas têm nos equipamentos físicos envolvidos na produção, sejam válvulas, sensores de nível ou outros controlos.
Em seguida, criam um ataque específico dentro do contexto que avaliaram e lançam esse ataque tentando manter-se indetetáveis pelo maior tempo possível.
A ESET salienta que medidas como a autenticação de dois-fatores e outros controlos semelhantes obedecem a modos de conduta precaucionais extremamente úteis para pequenas estações de tratamento sem acesso a especialistas em cibersegurança – que podem ser muito dispendiosos. Em todo o caso, é expectável que se descubram outras tentativas do género, incluindo esquemas de ransomware.
O que se pode fazer? Compreender e implementar as medidas orientadoras disponíveis, que podem ser tão simples como acrescentar a autenticação de dois-fatores, fazer patching aos sistemas, implementar bons processos de controlo de mudança e formar pessoal em “ciberhigiene”.
Além disso, fazer um exercício de simulação assumindo uma invasão e "pensar como um hacker" para impedir a sua entrada pode ser fundamental. É também importante ter um plano para o caso de acontecer um ataque do tipo ransomware. Assim, não será preciso ser confrontado com a perspetiva insustentável de explicar aos cidadãos porque é que eles gastaram dinheiros públicos para impedir um ataque que não deveria sequer ter ocorrido.