Zašto je kibernetička sigurnost postala strateški prioritet u sektoru sanitarnih uvjeta

Potaknute digitalnom transformacijom, tvrtke za osiguranje vodoopskrbe u Brazilu sve više uključuju inteligentne tehnologije – od senzora na daljinu i telemetrijskih sustava do platformi integrirane automatizacije – kako bi optimizirale svoje operacije i smanjile gubitke. Problem je u tome da taj napredak pojačava površinu kibernetskog napada, a sektor koji je sve više meta zločinaca može ostati izložen hakerskim upadima.

Rezultat je da je cyber sigurnost prestala biti doživljavana više kao čisto tehničko pitanje IT-a, već kao strateška prioriteta u tvrtkama za vodu i kanalizaciju. Voda vodi licenca sada se suočava s sofisticiranim cyber prijetnjama, često usmjerenim na srušavanje ili manipuliranje sustavima za pumpanje, obradu ili kontrolu kvaliteta.  

Kritička infrastruktura u nišanu: povećan broj kiber napada --- Here's a translation of the provided text from Portuguese to Croatian, maintaining the original tone, context, and specialized terminology. The phrase "Kritička infrastruktura u nišanu" translates to "Critical infrastructure in the crosshairs," and "povećan broj kiber napada" translates to "increased number of cyberattacks."

Statistika potvrđuju globalno eskalaciju kiber napada na tvrtke osnovnih usluga, uključujući i one za vodoopskrbu. Prema istraživanju Check Point-a, samo u 2025. godini sektori energetike i komunalnih usluga doživjeli su u prosjeku 1.872 pokušaja napada tjedno po organizaciji u svijetu, što je povećanje od 53% u odnosu na isto razdoblje prethodne godine.  

U Brazilu, sektor usluga zabilježio je oko 3.059 tjednih pokušaja napada po organizaciji između rujna 2024. i veljače 2025. Jedan od razloga je strateški apel ove vrste infrastrukture: kriminalci preferiraju ciljeve koji mogu uzrokovati prekid i masivne gubitke jer znaju da će društvo zahtijevati brze rješenja – što često znači plaćanje otkupnine za obnovu usluga.

Mnoge tvrtke za distribuciju vode, posebno one koje opslužuju male ili srednje populacije, rade sa starim sustavima upravljanja koji nikada nisu bili osmišljeni da se nose sa trenutnim prijetnjama kibernetičke sigurnosti. SCADA mreže, programabilni logičkí kontroleri (PLC-i) i sredstva za daljinski pristup često nemaju niti osnovne sigurnosne mjere, poput šifrirane komunikacije ili robusnih mehanizama za autentifikaciju.  

Ažuriranja i sigurnosne ispravke su rijetka ili neizvediva zbog potrebe održavanja sustava u radu i pitanja kompatibilnosti. S obzirom na tu stvarnost, procjene rizika specifične za sektor i revizije sustava postaju ključne za razumijevanje i ublažavanje ranjivosti.

Stvarni učinci: prekid usluga, kontaminacija i oštećenje reputacije

Dakle, daleko od toga da su teoretski rizici, kiber napadi na sustave za čišćenje već su uzrokovali konkretne učinke. Jedan značajan slučaj dogodio se u veljači 2021. godine u gradu Oldsmar, Florida (SAD), kada je haker uspio dobiti daljinski pristup sustavu za obradu vode i pokušao je drastično povećati dozu natrijevog hidroksida (kaustična soda) u pitkoj vodi – s 100 dijelova po milijuna na 11.000 ppm.  

Ukoliko nije brzo otkrivena od strane tima, ta bi promjena obogatila distribuiranu vodu, uzrokujući ozbiljne iritacije, oštećenja pluća i čak rizik od sljepoće među stanovništvom. Srećom, vlasti su primijetile promjenu na vrijeme i poništile prilagodbu prije nego što je kontaminirana voda stigla do slavina.  

Kiber napadi mogu također potpuno prekinuti uslugu vode ili otežati njezino djelovanje, čak i bez uzrokovanja kontaminacije. U Ujedinjenom Kraljevstvu, u kolovozu 2022. godine, tvrtka South Staffordshire Water, koja opskrbljuje mrežom više od 1,6 milijuna ljudi, pretrpjela je ransomware napad koji je utjecao na njezine IT sustave. Kriminalci su tvrdili da su također pristupili mreži OT, uključujući sustave za praćenje kemijskih razina vode.

Iako napad nije uzrokovao neposredni nedostatak vode, vrijeme odgovora potrošeno i neizvjesnost stvorena bili su izuzetno štetni. Takve situacije s sobom nose dodatne operativne troškove, mobilizaciju hitnih timova i potres pouzdanosti potrošača. Javna percepcija da su "hakeri prodrli u vodu" može oštetiti ugled vodoopskrbnog poduzeća godinama.

Hrvatski: Obrambne strategije

Kako bi zaštitili svoje operacije, tvrtke su usvojile napredne strategije za cyber sigurnost. Jedan od najučinkovitijih pristupa je arhitektura Zero Trust, koja polazi od principa da nijedan pristup – bilo korisnicima, uređajima ili aplikacijama – ne smije biti pouzdan prema zadanim postavkama, čak i ako već je unutar mreže.

Drugi stupac je segmentacija između mreža IT (informacijske tehnologije) i OT (operativne tehnologije). Odvajanje industrijskih okruženja od ostatka korporativne strukture značajno otežava širenje napada.  

U mnogim slučajevima, međutim, tvrtke trebaju provesti dublju analizu infrastrukture, što uključuje inventar i klasifikaciju imovine te pregled mrežne arhitekture. Na temelju toga, osim odlučivanja za naprednije tehnologije, moguće je provesti modeliranje prijetnji za OT okruženja i izraditi planove za odgovor na incidente. Vanjski stručnjaci s posebnim iskustvom u industrijskim sustavima mogu ponuditi ove usluge i to bez ugrožavanja kontinuiteta poslovanja.

O sektor za vodu i kanalizaciju igra jedinstvenu ulogu u nacionalnoj infrastrukturi: ključan je za javno zdravlje, visoko je decentraliziran i djeluje s tehnološkim ekosustavom jednako raznolikim kao i složenim. Suočeni s sve izmijenjenijim cyber prijetnjama, neophodno je da taj sektor također sazrijeva u svom pristupu digitalnoj sigurnosti. Neovisna tehnička stručnost, koja se prije smatrala dodatnom potporom, sada se učvršćuje kao neophodan element za jamčenje kontinuiteta usluga, očuvanje povjerenja stanovništva i održavanje operativne otpornosti pred sve sofisticiranijim rizicima.

Autor: Eduardo Gomes, Menadžer za kibernetičkuu sigurnost u TÜV Rheinland