Por Michael Rothschild
29 de agosto de 2025
Doze anos atrás, o incidente de segurança na Represa Bowman revelou o quão vulneráveis estão nossos sistemas de abastecimento de água. Esse ataque aconteceu há anos, mas aqui está a verdade inegável: pouca coisa mudou desde então. A tecnologia evoluiu, os agentes de ameaça ficaram mais sofisticados e as apostas se tornaram inimaginavelmente maiores, mas muitas das nossas defesas continuam presas ao passado.
Hoje, não é preciso muito para causar estragos. Um único ajuste manipulado em um sistema SCADA pode tornar a água potável imprópria para consumo. Uma pequena falha em uma estação de tratamento de esgoto pode transformar esgoto não tratado em uma arma biológica. Esses cenários não são hipotéticos; são plausíveis e já foram comprovados. E agora, com a inteligência artificial impulsionando a ofensiva cibernética, atacantes estão construindo vulnerabilidades e backdoors em nível de código, em escala, de uma forma que os defensores não conseguem acompanhar.
Estados/Nações têm a água como alvo
Basta observar o que está acontecendo na Europa. Hackers ligados à Rússia atacaram repetidamente a infraestrutura hídrica, abrindo válvulas, inundando sistemas e exibindo o acesso em redes sociais. Na Polônia, concessionárias enfrentam hoje 300 ataques por dia, o triplo da taxa do ano passado. Os serviços de inteligência da Noruega confirmaram que hackers controlaram a válvula de uma represa por quase quatro horas. Já nos Estados Unidos, suspeitos de ligação com a Rússia causaram transbordamento em um reservatório no Texas, em pleno 2024.
Esses não são ataques oportunistas. São testes de conceito, sondando os pontos fracos de sistemas essenciais, muitas vezes em cidades menores com orçamentos de cibersegurança extremamente limitados. Cada invasão bem-sucedida corrói a confiança pública e expõe falhas estruturais.
Por que o “Inventário de Ativos” já não é suficiente
Há poucas semanas, a CISA voltou a pedir que operadores de infraestrutura crítica adotem inventários abrangentes de ativos de OT. Isso é importante, mas sejamos realistas: atacantes, e a comunidade de cibersegurança, já deveriam estar muito além disso. Um inventário de ativos é apenas o ponto de partida. Ele mostra o que existe dentro da planta de tratamento de água, mas não revela quais desses ativos estão vulneráveis, como estão interconectados, quais riscos realmente importam ou como um invasor pode se mover lateralmente uma vez dentro do sistema.
Enquanto isso, a IA não espera. Estados-nação já a utilizam para encontrar falhas mais rápido do que qualquer humano, gerar malware polimórfico e até inserir código malicioso diretamente em projetos open source. Se os defensores ainda estiverem ocupados catalogando ativos, já estarão vários passos atrás.
CTEM: O modelo que precisamos agora
É aqui que entra o Cyber Threat Exposure Management (CTEM). O CTEM não se trata de criar outro inventário, mas de avaliar continuamente, validar e priorizar as exposições que mais importam — permitindo que as concessionárias ajam antes que Estados-nação transformem a água em arma.
Aqui estão cinco práticas críticas de CTEM que instalações de água devem adotar imediatamente:
- Visibilidade Abrangente Além do TI
Em 2023, 80% das concessionárias pesquisadas pela AWWA admitiram não ter um inventário completo de ativos cibernéticos. É hora de parar de tratar OT e SCADA como “sensíveis demais para tocar”. Já existem tecnologias, como consultas ativas inteligentes, que permitem verificar com segurança cada ativo sem impactar operações. É preciso ter visibilidade unificada e contínua em sistemas de TI, OT, IoT e BMS, com contexto de risco em tempo real.
- Priorização Contínua Baseada em Risco
Nem toda vulnerabilidade merece a mesma atenção. Um PLC de controle de válvula com uma CVE não corrigida é muito mais crítico do que uma violação de política de senha em uma estação de trabalho de escritório. CTEM significa compreender quais exposições ameaçam diretamente a segurança e a disponibilidade da água, e tratá-las de acordo com o impacto real.
- Validação de Caminhos de Ataque
Se Estados-nação testam movimentos laterais, as concessionárias precisam fazer o mesmo. Em 2024, invasores no Texas não precisaram “dominar” a planta; manipularam o transbordamento de um reservatório explorando conexões fracas entre TI e OT. Simular como um atacante pode pivotar do TI para o OT já não é opcional — é absolutamente essencial.
- Caça e Detecção de Ameaças com IA
Se os adversários usam IA, os defensores também precisam usá-la. Centros de Operações de Segurança não podem depender apenas de detecções estáticas quando ataques podem se transformar em segundos. Plataformas CTEM que aplicam detecção antecipada com IA e threat hunting guiado estão à frente das ferramentas legadas.
- Governança e Planejamento de Resiliência
Em 2024, 70% das concessionárias avaliadas pela CISA não possuíam um plano testado de resposta a incidentes cibernéticos. CTEM não é um projeto pontual, mas sim uma validação contínua de pessoas, processos e políticas para resistir a interrupções. Isso inclui exercícios de mesa, avaliações de risco na cadeia de suprimentos e manuais de recuperação. E, acima de tudo, significa ajustar estratégias com base nas novas TTPs dos atacantes e garantir que a comunidade de defesa possa vencê-los com o mínimo de impacto.
As apostas não poderiam ser maiores
Água é vida. E, em tempos de conflito cibernético patrocinado por Estados, ela também se tornou uma das armas mais fáceis de manipular. Não podemos esperar até que outro incidente ocorra para reconhecer que inventários de ativos, sozinhos, não vão nos salvar.
O CTEM oferece às instalações de água e esgoto um framework para ir além da “visibilidade” e alcançar a verdadeira resiliência, onde exposições são continuamente gerenciadas, priorizadas e corrigidas antes de serem exploradas por adversários. Se as concessionárias não elevarem suas defesas agora, atacantes continuarão tratando nosso abastecimento de água como um campo de testes — e esse é um risco que não podemos aceitar.Se quiser conhecer como a Armis pode fortalecer a resiliência da sua infraestrutura crítica, permitindo total controle e visibilidade sobre seus ambientes OT, IoT e IT, visite cybergate.solutions.