“O software que usamos é mais antigo que eu, e parte do hardware é mais antigo que meu pai”, diz Siddharth*. Ele faz parte de uma equipe que trava uma batalha diária para sustentar a antiga infraestrutura de TI em Água do Tâmisa.
Às vezes, as defesas são violadas. A Thames, a maior empresa de tratamento de água e resíduos do Reino Unido, está no “fio da navalha”, segundo fontes, com a sua resiliência em dúvida porque depende de uma série de infra-estruturas deterioradas – muitas vezes vitorianas.
Embora muita atenção tenha sido dada às suas tubulações, redes principais e transbordamentos de esgoto, outro grande problema é menos compreendido: seus sistemas de computador. Alguns sistemas de TI datam da década de 1980 e há muito foram declarados obsoletos.
De acordo com fontes que falaram com o Guardian, os sistemas são tão antiquados que têm sido fáceis de atacar pelos cibercriminosos.
“O hardware realmente está desmoronando diante dos seus olhos”, diz Siddharth, que está na casa dos 20 anos. “Temos mantido as máquinas funcionando usando peças de máquinas antigas semelhantes, uma vez que elas desistem do fantasma. Mas ficamos sem nossas lojas. Não estamos apenas prendendo as coisas com fita adesiva e cola. Na verdade, não conseguimos desligar as coisas porque descobrimos que não podemos ligá-las novamente.”
Numa era de risco elevado, com a espionagem e os ataques a infra-estruturas nacionais críticas a atingir níveis noticiosos, as vulnerabilidades do Tâmisa e de outras empresas estão a causar preocupação crescente dentro de Whitehall e fora dela. Com 16 milhões de clientes em Londres e no Vale do Tâmisa contando com isso, eles temem as repercussões de uma violação grave ou falha de sistemas.
As controvérsias em torno das finanças do Tâmisa, à medida que os dividendos se acumulavam e o peso da sua dívida aumentava, bem como as críticas mais amplas aos transbordamentos do tratamento de esgotos das empresas de água, muitas vezes impediram uma análise mais detalhada das suas operações.
O seu regulador económico, Ofwat, tem a responsabilidade de garantir que as empresas de água, incluindo a Thames, sejam resilientes. Outros aspectos do seu trabalho, como a água potável e a segurança dos seus locais e sistemas, incluindo a segurança cibernética, cabem a um pequeno regulador menos conhecido, o Drinking Água Inspetoria (DWI).
A pressão sobre os cerca de 50 funcionários que trabalham no DWI é aguda. Em última análise, eles têm a tarefa de monitorar se a água que a Tâmisa e outras empresas fornecem na Inglaterra e no País de Gales é segura para beber.
O DWI notificou o Tâmisa sobre a segurança física de um de seus locais no início deste ano.
Jovens trabalhadores, máquinas antigas
Alguns dos sistemas essenciais da Thames ainda funcionam em software Lotus Notes do final dos anos 1980 e início dos anos 1990 que não podem mais ser atualizados, dizem Siddarth e outros membros da Thames Water.
A Thames confirmou que ainda usa o Lotus Notes, mas uma fonte próxima à empresa disse que era apenas para “bancos de dados” e não para sistemas “críticos”.
O uso do Lotus Notes é um sinal de como a empresa está carente de investimentos em tecnologia desde que foi privatizada no final da década de 1980. Outros exemplos de tecnologia obsoleta ou quase obsoleta incluem a ampla dependência de tecnologias 2G, conjuntos de medidores que permanecem analógicos e exigem verificações manuais e hardware que muitas vezes tem mais de 30 anos.
O subinvestimento em sistemas informáticos que são críticos para a segurança de Londres e da água do sudeste deixou-a vítima de ataques cibernéticos por parte de grupos ligados à Rússia, China, Irão e Coreia do Norte. Houve tentativas nos sistemas do Tâmisa por parte de grupos que se acredita estarem ligados à Rússia, algumas das quais foram pelo menos parcialmente bem-sucedidas, desativando temporariamente algumas operações, de acordo com três fontes familiarizadas com as operações da empresa.
A Thames se recusou a comentar oficialmente sobre os ataques cibernéticos, mas uma fonte da empresa disse que “não sofreu nenhum ataque cibernético, ponto final”.
Fontes acrescentaram que a incapacidade de desligar as coisas – “testes obscuros” – significa que os protocolos básicos de segurança cibernética e a resiliência dos serviços não podem ser estabelecidos.
O braço cibernético do GCHQ, o Centro Nacional de Segurança Cibernética, alertado sobre ameaças específicas à indústria da água britânica contra ataques de “actores alinhados com o Estado, que são muitas vezes simpáticos à nova invasão da Ucrânia pela Rússia”.
Lacunas de segurança preocupantes
Fontes afirmam que algumas áreas que contêm equipamentos de TI não são seguras e apresentam uma lista detalhada de áreas dentro dos locais.
após a promoção do boletim informativo
Alegam que foi possível aceder a alguns equipamentos informáticos sensíveis num determinado local – que o Guardian nomeou em correspondência com o Thames – sem verificações de segurança adequadas.
Um empreiteiro sem qualquer necessidade de entrar em áreas com equipamentos de TI sensíveis poderia passar livremente pelas áreas que os continham e teria sido capaz de acessar ou inserir hardware em alguns computadores.
Thames recusou-se a comentar oficialmente quando o Guardian fez perguntas específicas sobre edifícios que abrigavam hardware de computador, como se eles eram facilmente acessíveis por empreiteiros ou funcionários sem necessidade de entrar neles. Também se recusou a comentar se o hardware poderia ser facilmente removido ou inserido na infraestrutura de TI. Uma fonte da empresa disse que “todos os sites têm medidas de segurança rigorosas” e que as afirmações de outra forma eram “incorretas”.
Um porta-voz da Inspeção de Água Potável disse: “A Inspeção de Água Potável considera o fornecimento de um abastecimento contínuo e seguro de água potável a maior prioridade de uma empresa de água. Além disso, este é um dever do regulamentos. Sempre que existam quaisquer circunstâncias que suscitem preocupação relativamente à água potável, a empresa é obrigada a notificar a inspecção.
“Da mesma forma, os funcionários das empresas de água podem reportar questões directamente à inspecção. Em ambos os casos, a inspecção realizará uma investigação e tomará as medidas necessárias para manter o elevado padrão de água potável em Inglaterra. A inspecção realiza um programa de auditorias baseadas no risco para identificar, monitorizar e verificar áreas de preocupação, e tomar medidas de execução com base nas nossas políticas de aplicação.”
Um porta-voz da Thames Water disse: “O bem-estar e a segurança dos nossos colegas e clientes são a nossa maior prioridade. Fornecemos 2,6 bilhões de litros de água todos os dias, classificada entre as de água potável de mais alta qualidade em qualquer lugar do mundo.
“Temos sido muito abertos sobre o ‘défice de activos’ que enfrentamos e os desafios que teremos para satisfazer a procura futura se não for abordada. É por isso que definimos um plano ambicioso para 2025-30 que prevê 20,7 mil milhões de libras em despesas e investimentos, com 3 mil milhões de libras adicionais através de mecanismos fechados, para que possamos satisfazer as expectativas e as responsabilidades ambientais dos nossos clientes.
“Além disso, levamos extremamente a sério nossos requisitos para proteger os dados pessoais dos clientes e manter os serviços essenciais. Revemos regularmente os nossos sistemas para garantir a sua fiabilidade contínua.
“Adotamos uma abordagem rigorosa à disciplina financeira em toda a empresa, a fim de operar dentro do orçamento, como seria esperado que qualquer negócio em recuperação fizesse.”
Um porta-voz do Ofwat disse: “O Guardian levantou uma série de alegações sérias sobre a Thames Water. Tomaremos medidas caso haja evidências de violação das obrigações da empresa.
“Há algum tempo que temos pressionado a Thames Water a fazer melhorias significativas no seu desempenho operacional e resiliência financeira. É evidentemente essencial que todas as empresas de abastecimento de água forneçam um abastecimento de água seguro e fiável. A empresa solicitou um aumento substancial nas despesas, inclusive para resolver questões de saúde dos ativos, como parte do atual processo de revisão de preços. Estamos analisando essa solicitação e as informações de apoio fornecidas e anunciaremos nossas decisões finais em dezembro.
“Ao avaliar o caso de negócio apresentado pelas empresas e no nosso trabalho de fiscalização, trabalhamos em estreita colaboração com outros reguladores sempre que necessário e procuramos os seus pontos de vista. Isto inclui a Inspecção da Água Potável no que diz respeito às medidas de segurança e cibernéticas relacionadas com os serviços de água, e o Executivo de Saúde e Segurança e o Centro Nacional de Segurança Cibernética em questões relacionadas com a segurança e a cibersegurança.”
*Os nomes foram alterados
