Polônia turbina orçamento de ciberdefesa após ofensivas atribuídas à Rússia; nos EUA e no Brasil, incidentes recentes com PLCs e gestão de identidade (AD/Okta) mostram como brechas técnicas e governança frouxa podem afetar operações e confiança pública. Até prefeituras de médio porte, como Nagpur (Índia), relatam milhares de tentativas de intrusão por dia — mesmo sem dano físico, o recado é claro: é hora de lei e ordem também no ciberespaço.
A escalada de ataques e tentativas de intrusão contra sistemas de infraestrutura crítica — especialmente água e energia — saiu do plano das hipóteses e entrou no cotidiano de governos e concessionárias. Na Polônia, o governo elevou o orçamento de cibersegurança para a casa de €1 bilhão em 2025, com foco explícito em hospitais e sistemas de água, após uma sequência de ofensivas atribuídas a grupos ligados à Rússia. Autoridades confirmaram que invasores chegaram a penetrar redes de controle de água em uma das dez maiores cidades do país, sendo contidos antes de um colapso operacional; como resposta, Varsóvia ainda separou verbas rápidas para blindar os sistemas de gestão hídrica. O enredo — ataque híbrido, pressão política e investimento emergencial — virou manual de crise na Europa Oriental.
Nos Estados Unidos, episódios com PLCs da israelense Unitronics, explorados por grupos vinculados ao Irã, evidenciaram como erros elementares — senhas-padrão, exposição direta à internet e ausência de MFA — amplificam o risco operacional no setor de água. O caso de Aliquippa (Pensilvânia) tornou-se símbolo: a pane forçou a operação manual do booster de pressão, evitando dano à qualidade da água, mas revelou superfícies de ataque que se repetem país afora. Em paralelo, alertas oficiais vêm insistindo que atores chineses (Volt Typhoon e variantes) pré-posicionam acesso em OT/ICS, inclusive água e energia, para eventual disrupção em cenários de tensão geopolítica.
No Brasil, a Sabesp registrou incidente de ransomware em 2024 com impacto nos canais digitais — a empresa manteve o abastecimento e acionou plano de contingência, mas o episódio bastou para reabrir o debate sobre resiliência cibernética em saneamento: governança, segregação de redes (IT/OT), backups imunes a ransomware e resposta a incidentes. Dias depois, relatos atribuíram o ataque ao grupo RansomHouse — negado pela companhia —, reforçando o pano de fundo de guerra de narrativa e a necessidade de comunicação transparente com o usuário final.
O risco sistêmico por trás da “torneira”
Quando especialistas falam em infraestrutura crítica, o público tende a imaginar subestações, linhas de transmissão e barragens. Mas a superfície de risco real inclui PLCs, SCADA, HMI, firewalls obsoletos, ativos OT sem hardening e, sobretudo, o elo humano: credenciais fracas, AD desorganizado e integrações de SSO (Okta) sem MFA robusto. Falhas nesses pilares não apenas interrompem faturamento e atendimento; corroem confiança pública e oferecem tração a campanhas de desinformação, elevando o custo político e regulatório para governos e concessionárias. Em outras palavras: sem lei e ordem aplicadas ao ciberespaço, a impunidade técnica vira regra — e o consumidor paga a conta.
Os sinais estão por toda parte. Além do caso polonês, prefeituras e autarquias relatam tempestades de tentativas de ataque sem “efeito físico”, mas com claro objetivo de reconhecimento e exfiltração de dados. Em Nagpur, Índia, a municipalidade registrou mais de 2 mil tentativas num único dia — assinaturas típicas de botnets varrendo aplicações públicas e buscando CVEs conhecidas. A ausência de dano tangível não equivale a tranquilidade; é ruído antes da investida.
No eixo Estados Unidos–Brasil, a pauta de identidade volta ao centro. O incidente da Okta — que ampliou o impacto estimado após investigação — foi um lembrete: quando a camada de identidade falha, AD e aplicações conectadas viram porta lateral para escalação de privilégios. Em ambientes que integram faturamento, atendimento, telemetria e OT, isso pode, sim, transbordar para operação. Zero Trust e MFA resistente a phishing deixaram de ser “tendência” e viraram doutrina de sobrevivência.
De Varsóvia a Aliquippa: o denominador comum
A Polônia é hoje um estudo de caso de resposta estatal. Ao mesmo tempo em que aponta a Rússia como origem das ofensivas, Varsóvia dobrou a aposta em investimento e capacidade operacional: €1 bi em 2025, reforço setorial para água e saúde, e verbas rápidas para hardening da gestão hídrica. Autoridades admitem: 20 a 50 instalações críticas enfrentam ataques diários; a taxa de bloqueio ronda 99%, mas “um único furo” basta para alavancar crise sanitária e política. Esse mix de dissuasão e transparência joga luz no que interessa: métricas, planos táticos e prestação de contas.
Nos EUA, o episódio de Aliquippa trouxe lições táticas e culturais. Em termos técnicos: desconexão do PLC da internet pública, mudança de senha-padrão (“1111”), MFA para acesso remoto, segmentação IT/OT e telemetria contínua no SOC. Em termos de narrativa, a confirmação pública de que um grupo iraniano mirou equipamento industrial gerou manchetes e mobilizou agências (CISA, FBI, EPA). A resposta correta — manual fallback e investigação com comunicação ao cidadão — ilustra como o Estado de Direito opera em crises tecnológicas: regras claras, responsabilidades definidas e foco em serviço essencial.
O Brasil, por sua vez, vive um expediente ambíguo: incidentes que não derrubam produção de água/energia, mas desarranjam atendimento, billing e imagem pública. O caso Sabesp expôs gargalos de governança — dependências de terceiros, exposição de serviços e recuperação por camadas. A empresa fala em backups preservados e sem vazamento relevante, enquanto supostos atacantes reivindicam criptografia em massa. O que disso é fato e o que é engenharia de narrativa? Sem uma cultura de transparência — com indicadores, timeline e lições aprendidas — o risco é a conversa ficar refém da lacração e do ruído.
Do ponto de vista setorial, energia segue sob pressão. O histórico de ransomware em utilities — da Light (RJ) a episódios em operadoras americanas — mostra como a cadeia de suprimentos digital e os ativos legados ampliam o ataque. Em paralelo, Volt Typhoon e congêneres operam com táticas LOTL (living off the land), misturando-se ao tráfego legítimo e pré-posicionando acessos para uso oportunista. O caso de uma utility pública em Massachusetts, detalhado por análises de OT, reforça o alerta: a meta não é “roubar dados”, mas interromper serviços quando conveniente. Defesa em profundidade e higiene de Active Directory deixam de ser “boas práticas” e viram cláusula de sobrevivência.
Análise equilibrada — entre lei e ordem e eficiência regulatória
A leitura com viés de direita enxerga na crise um chamado a lei e ordem também no plano digital: mão firme contra impunidade técnica, mérito e profissionalização na gestão de risco, e tolerância zero a estatismo que atrapalhe investimento em segurança por design. Em vez de militância e guerras culturais, o que resolve é métrica, accountability e execução. Brasil que dá certo — também no ciberespaço — depende de regras claras e de um pacto regulatório que premie quem entrega resiliência e serviço contínuo.
No tabuleiro internacional, há um dado incontornável: Estados hostis e grupos alinhados tratam água e energia como alvos estratégicos de guerra híbrida. Relatórios do governo americano, alertas da CISA/EPA e pronunciamentos do diretor do FBI descrevem um quadro de pré-posicionamento: infiltrar TI corporativa, mapear OT, coletar credenciais, simular falhas e aguardar a janela política. Isso não se combate com frases de efeito, mas com disciplinas: MFA resistente a phishing, patching diligente, inventário de ativos, segmentação, testes de restauração e exercícios. É o oposto do abolicionismo penal aplicado à tecnologia — sem endurecimento de controles, o atacante dita o ritmo.
Mesmo quando “nada acontece”, como em Nagpur, os log events contam história: as TTPs de varredura e recon identificam versões expostas, CVE conhecidas e plugins vulneráveis. Prefeituras e autarquias não podem depender de “sorte” ou censura de más notícias; precisam institucionalizar prestação de contas com indicadores de bloqueio, dwell time e MTTR, com auditoria externa e controle social. Essa combinação — liberdade de escrutínio público + ordem operacional — é própria do Estado de Direito e barra narrativas oportunistas.
No fim do dia, a régua é simples: serviço entregue com transparência. Em Varsóvia, a decisão de abrir a caixa-preta (dados, orçamentos, medidas) foi acompanhada de investimento e planos por setor — saúde e água no topo. Nos EUA, a cartilha pública após Aliquippa destacou boas práticas de OT que podem (e devem) ser replicadas no Brasil: tirar PLC da internet, MFA em todo acesso remoto, segregação efetiva de IT/OT e resposta com failover manual. Sem liberdade de expressão, o debate morre; sem lei e ordem no ambiente digital, o serviço para — e o cidadão fica refém.
Recomendações objetivas — o “checklist de guerra fria digital”
Para utilidades de água/energia e prefeituras:
- Inventário total de ativos OT/ICS e exposição externa; NAC e microsegmentação.
- MFA resistente a phishing em VPN, jump servers, AD e Okta; políticas de senha acima do mínimo.
- Remoção de PLCs da internet pública; firewalls industriais; aplicação de patches e mudança de senhas-padrão.
- Backups imutáveis (air-gapped), exercícios de restauração e playbooks de falha manual.
- Telemetria unificada em SOC, caça a ameaças e exercícios com red/blue/purple team.
- Prestação de contas periódica (semanal/mensal) com KPIs: tentativas bloqueadas, MTTD/MTTR, dwell time e compliance.
- (Estas recomendações refletem medidas reiteradas por agências e centros setoriais nos casos citados.)
No balanço, a mensagem é inequívoca: cibersegurança de água e energia não é luxo tecnológico, mas dever de ofício em um Estado de Direito que se leva a sério. A alternativa — estatismo sem entrega, lacração sem métrica e impunidade técnica — nos deixa mais perto da crise perfeita. O caminho do Brasil que dá certo (e do mundo que funciona) passa por governança, capacidade técnica e transparência — sem isso, bastará um clique para interromper aquilo que sustenta a vida cotidiana.
Fontes:
Cybernews – Poland boosts cybersecurity to €1B after Russian hacks on hospitals and water systems.
Kyiv Insider – Russia expands its campaign of sabotage attacks in Poland.
Biznes PAP – Poland to spend PLN 4 bln on cybersecurity in 2025; biggest cyberthreats from Russia and Belarus.
The Guardian – ‘Elevated’ risk of hackers targeting UK drinking water, says credit agency.
The CyberWire – Iran hits Pennsylvania water utility.
Wired – Okta breach impacted all customer support users—not 1 percent.
WaterWorld – Aliquippa, Pennsylvania suffers cyberattack on booster station PLC.
WaterISAC – 12 Cybersecurity Fundamentals for Water and Wastewater Utilities.
Times of India – Cyberattack storm hits NMC: Over 2,000 hacking bids on servers in day.
UOL / SBT News – Sabesp sofre ataque hacker e sistemas são afetados.
TI Inside – Hacker group claims ransomware attack against SABESP.
Water Finance & Management – FBI director warns of CCP cyber attacks days after CISA guidance issued.