TL, DR *
Hackers invadiram cinco estações de tratamento de água polonesas usando senhas padrão e sistemas de Internet expostos. A Polónia está a gastar milhões de dólares em segurança cibernética; 70% dos corpos d’água americanos não atendem aos mesmos padrões básicos de serviços públicos.
Hackers invadiram cinco estações de tratamento de água polonesas em 2025, obtendo acesso a sistemas de controle industrial que controlam bombas, filamentos e dosagem de produtos químicos. Em alguns casos, os invasores conseguiram alterar os parâmetros operacionais para causar algo fora do circuito. O vetor de ataque, em todo caso, foi significativo: senhas fracas e sistemas de controle conectados diretamente à Internet.
A Agência de Segurança Interna da Polónia, a ABW, abriu as suas portas esta semana na sua primeira actividade pública desde 2014, antes da anexação da Crimeia pela Rússia. Relatando os nomes das instalações: JabÅ‚onna Lacka, Szczytno, MaÅ‚dyty, Tolkmicko e Sierakowo; cinco aldeias cujas estações de tratamento de água Eles foram atribuídos pelos agressores à agência, após cuidadosa consideração, como “grupos hacktivistas“o que são”frequentemente empregam pessoal de governos estrangeiros, especialmente da Rússia, para serviços de inteligência.“
aberturas
Não é um incidente teórico. Em Szczytno, em Maio de 2025, alguém acedeu ao sistema de aquisição e os ciclos de descarga foram alterados enquanto a instalação era monitorizada em tempo real. Em JabÅ‚onna Lacka, no mês de setembro, vejo um intruso capturado fazendo login através da conta de administrador e da bomba e dos limites do spray abusivo. Os atacantes da ABW disseram que a capacidade das máquinas de mudar o ambiente técnico, criando “o risco certo“Para a continuidade do abastecimento de água importa.
A agência identificou dois vetores de ataque principais: senhas que não foram alteradas em relação aos padrões de fábrica e sistemas de controle industrial expostos diretamente na Internet pública. Nenhuma das vulnerabilidades requer uma ferramenta sofisticada para ser explorada. Ambos têm mais de uma década de experiência em design de segurança cibernética.
Espaço TNW City Coworking – onde o melhor trabalho é feito
Um espaço de trabalho para crescimento, colaboração e oportunidades infinitas de networking no coração da tecnologia.
O relatório ABW nomeia grupos APT russos, incluindo APT28 e APT29, e o grupo bielorrusso UNC1151, como operando contra alvos polacos. A agência não chegou a atribuir violações específicas no tratamento da água a grupos específicos, mas o sistema concorda com uma propagação mais ampla que, segundo o governo polaco, tem como alvo o país entre 20 e 50 ataques cibernéticos por dia.
PROPAGAÇÃO
Os ataques cibernéticos têm ocorrido na Polónia desde a eleição do seu governo pró-Ucrânia e o ritmo não abrandou. Em Dezembro de 2025, um ataque coordenado atingiu uma central combinada de calor e energia que servia cerca de 500.000 clientes, juntamente com vários parques eólicos e solares. A empresa de segurança cibernética ESET atribuiu o ataque ao Sandworm, um grupo ligado ao governo dos Estados Unidos e à diretoria de inteligência militar da Rússia, a GRU.
O orçamento polaco de cibersegurança para 2026 é um recorde de mil milhões de euros, acima dos 600 milhões em 2024. Desse total, 80 milhões de euros foram atribuídos especificamente às defesas cibernéticas do sistema de gestão da água. A Alemanha capturou 90 por cento do orçamento de tecnologia de defesa da Europa, mas os gastos per capita da Polónia em segurança cibernética já excedem os dos membros da NATO.
A confiança reflete o reconhecimento de que as ameaças foram além da exploração. Helsing, uma start-up militar europeia de IA, 450 milhões de moedas europeias expressamente para defender a NATO da Rússia, e apontou para a chegada da Ucrânia como uma potência tecnológica de defesa, os países próximos das fronteiras da Rússia estão agora a construir capacidades para responder. Contudo, as estações de tratamento de água em JabÅ‚onna Lacka e Szczytno não foram interrompidas, à medida que surgiram novas ameaças. Eles pararam porque alguém deixou a senha padrão em um sistema conectado à internet.
América paralela
Os Estados Unidos enfrentam a mesma vulnerabilidade de uma forma mais ampla. Em 2024, a Agência de Proteção Ambiental descobriu que quase 70% das empresas de abastecimento de água inspecionadas por autoridades federais violavam os padrões básicos de segurança cibernética, incluindo a falha na alteração das senhas padrão. A maior empresa de tratamento de água e águas residuais da região americana de faturação de água foi forçada a encerrar os seus sistemas em outubro de 2024, depois de um ataque cibernético ter interrompido os serviços de milhões de clientes.
As ameaças não são hipotéticas. O grupo patrocinado pelo Estado chinês Volt Typhoon tentou avaliar o ambiente tecnológico de crise de múltiplas organizações de infra-estruturas críticas dos EUA, incluindo sistemas de água e resíduos, incluindo a CISA, a NSA e o FBI, para prevenir ataques cibernéticos disruptivos ou destrutivos no caso de uma grande crise ou conflito. O grupo CyberAv3ngers, ligado ao Irã, tem como alvo controladores lógicos programáveis em estações de tratamento de água nos EUA, incluindo uma na Pensilvânia.
A EPA, a CISA e o FBI emitiram políticas revisadas. O Congresso restabeleceu temporariamente o compartilhamento de informações de segurança cibernética em novembro de 2025, depois reprogramado para janeiro de 2026. O governo federal publicou ferramentas de segurança cibernética, modelos de resposta a incidentes e cronogramas de agências. As empresas de abastecimento de água que mais necessitam deles são as que têm menos probabilidades de os utilizar: pequenos sistemas municipais com limites adicionais, infraestruturas obsoletas e sem pessoal dedicado à segurança cibernética.
Brecha
As ações do setor da defesa estão a crescer em toda a Europa, à medida que os governos investem dinheiro em tecnologia militar. A Polónia está a gastar milhões de dólares em segurança cibernética. A OTAN é um fundo de inovação acelerada e uma aliança de defesa de IA. A pesquisa reflete uma avaliação precisa da ameaça.
Mas as estações de tratamento de água que foram destruídas na Polónia não estão a salvo de ninguém. Os sistemas de controle das instalações em JabÅ‚onna Lacka e Szczytno funcionavam com documentos padrão de fábrica expostos à Internet. As concessionárias americanas que a EPA considerou que atendem aos padrões básicos executam a mesma configuração. A sofisticação do invasor é irrelevante quando a porta da frente está destrancada.
A ABW da Polónia publicou o seu primeiro resumo de actividades numa década, à medida que o equilíbrio das ameaças tornava o silêncio insolúvel. Os Estados Unidos emitiram uma política após o comunicado. O padrão é consistente em ambos os países: os governos que compreendem as ameaças são os melhores, cujas infra-estruturas críticas permanecem mais expostas porque os sistemas que gerem a água potável são operados por municípios que não possuem os recursos, a experiência ou a aplicação regulamentar para os proteger. Os hackers que invadiram cinco estações de tratamento de água polonesas não precisam cometer nenhum crime. Nenhuma senha necessária.
