Empresas de abastecimento de água no Reino Unido são alvo de múltiplos ataques cibernéticos, expondo fragilidades nos sistemas

Hackers realizaram cinco ataques cibernéticos contra empresas responsáveis pelo fornecimento de água potável no Reino Unido desde o início de 2024, segundo registros enviados ao órgão regulador Drinking Water Inspectorate (DWI) e parcialmente divulgados ao Recorded Future News por meio das leis de liberdade de informação.

Embora nenhum dos incidentes tenha comprometido diretamente a segurança ou o abastecimento da água, as invasões atingiram as organizações que operam a infraestrutura crítica do setor — um número recorde em um período de dois anos. As ocorrências reforçam os alertas da inteligência britânica sobre o aumento das ameaças digitais direcionadas a sistemas essenciais do país.

Os dados do DWI mostram que, entre janeiro de 2024 e outubro de 2025, foram recebidos 15 relatórios de empresas fornecedoras. Desses, cinco estavam relacionados a incidentes de segurança cibernética em sistemas “fora do escopo do NIS” — o conjunto de normas que regula oficialmente a segurança das redes e sistemas de informação essenciais. Os outros casos envolveram falhas operacionais não cibernéticas.

Atualmente, as normas do Network and Information Systems Regulations exigem que apenas incidentes que causem interrupção real de serviços sejam formalmente reportados. Isso significa que ataques de infiltração ou campanhas de pré-posicionamento, como as atribuídas ao grupo chinês Volt Typhoon, podem não ser legalmente comunicados, mesmo que representem ameaças significativas.

De acordo com o DWI, os cinco ataques reportados foram compartilhados “para fins informativos”, por estarem associados a riscos de resiliência no abastecimento de água. O governo britânico planeja revisar essa regra de notificação no aguardado Cyber Security and Resilience Bill, previsto para ser apresentado ao Parlamento ainda neste ano.

Um porta-voz do governo declarou que as ameaças cibernéticas enfrentadas pelo país são “sofisticadas, persistentes e custosas” e que a nova legislação busca “reforçar as defesas digitais e proteger os serviços essenciais dos quais a população depende para sua vida cotidiana.”

Don Smith, vice-presidente de pesquisa de ameaças da Sophos, avaliou positivamente o fato de as empresas terem reportado os incidentes, mesmo não sendo obrigadas pelas normas atuais. “Empresas de infraestrutura crítica sofrem ataques diários. É importante que compartilhem essas informações, pois isso ajuda o setor a compreender o tipo de ameaça, seja uma campanha oportunista ou uma operação de invasor avançado”, afirmou.

Casos de ataques cibernéticos que de fato comprometem o fornecimento de água continuam sendo raros. Em dezembro de 2023, um grupo hacker pró-Irã interrompeu o abastecimento em uma região da costa oeste da Irlanda após atacar equipamentos industriais de origem israelense. O episódio acendeu o alerta para a vulnerabilidade de PLCs (controladores lógicos programáveis), componentes fundamentais em sistemas de controle industrial.

Nos Estados Unidos, tentativas do governo de reforçar a segurança cibernética no setor hídrico enfrentaram resistência de associações industriais e parlamentares republicanos, apesar do aumento de ataques de ransomware e invasões patrocinadas por Estados. No Canadá, autoridades confirmaram recentemente que hacktivistas chegaram a alterar a pressão da água em uma companhia local, comprometendo o funcionamento do sistema.

O National Cyber Security Centre (NCSC) do Reino Unido recomenda que as operadoras de infraestrutura crítica mantenham segmentação entre seus sistemas de TI e de tecnologia operacional (OT) para reduzir o impacto de possíveis invasões. Em agosto, a agência publicou um novo Cyber Assessments Framework com diretrizes para aprimorar a resiliência das empresas do setor.

“Os ataques mais prováveis contra a infraestrutura crítica são aqueles do tipo comum, e não os altamente direcionados”, disse Smith. “As empresas precisam se proteger do cotidiano, não apenas do exótico. O verdadeiro risco é perdermos parte essencial da nossa infraestrutura por causa de um ataque de ransomware, enquanto gastamos recursos monitorando sistemas que raramente são explorados.”

Via - TR