Por Eduardo Gomes, Gerente de Cibersegurança na TÜV Rheinland
Impulsionadas pela transformação digital, as empresas de saneamento básico no Brasil incorporam cada vez mais tecnologias inteligentes – de sensores remotos e sistemas de telemetria a plataformas de automação integrada – para otimizar suas operações e reduzir perdas. O problema é que esse avanço amplifica a superfície de ataque cibernético, e um setor que tem sido cada vez mais visado por criminosos pode ficar exposto a incursões hackers.
O resultado é que a cibersegurança passou a ser encarada não mais como questão meramente técnica de TI, e sim como uma prioridade estratégica nas companhias de água e esgoto. Concessionárias de água agora lidam com ameaças cibernéticas sofisticadas, muitas vezes direcionadas a derrubar ou manipular sistemas de bombeamento, tratamento ou controle de qualidade.
Infraestrutura crítica na mira: ataques cibernéticos em alta
As estatísticas confirmam uma escalada global de ataques cibernéticos contra empresas de serviços essenciais, incluindo as de saneamento. De acordo com pesquisa da Check Point, só em 2025 os setores de energia e utilities sofreram em média 1.872 tentativas de ataque por semana por organização no mundo, um aumento de 53% em relação ao mesmo período do ano anterior.
No Brasil, o setor de utilities registrou cerca de 3.059 tentativas semanais de ataque por organização entre setembro de 2024 e fevereiro de 2025. Um dos motivos é o apelo estratégico desse tipo de infraestrutura: criminosos preferem alvos que podem causar interrupção e prejuízos massivos pois sabem que a sociedade exigirá soluções rápidas – o que muitas vezes se traduz em pagamento de resgate para restaurar serviços.
Muitas concessionárias de água, especialmente aquelas que atendem populações pequenas ou médias, operam com sistemas de controle antigos que jamais foram projetados para enfrentar o cenário atual de ameaças cibernéticas. Redes SCADA, controladores lógicos programáveis (CLPs) e gateways de acesso remoto frequentemente carecem de controles básicos de segurança, como comunicação criptografada ou mecanismos robustos de autenticação.
Atualizações e correções de segurança são infrequentes ou inviáveis devido à necessidade de manter os sistemas em funcionamento e por questões de compatibilidade. Diante dessa realidade, avaliações de risco específicas para o setor e auditorias de sistemas tornam-se essenciais para entender e mitigar vulnerabilidades.
Impactos reais: interrupção de serviços, contaminação e danos à reputação
Longe de serem riscos teóricos, os ciberataques contra sistemas de saneamento já provocaram efeitos concretos. Um caso emblemático ocorreu em fevereiro de 2021 na cidade de Oldsmar, na Flórida (EUA), quando um invasor conseguiu acesso remoto ao sistema de tratamento de água e tentou aumentar drasticamente a dosagem de hidróxido de sódio (soda cáustica) na água potável – de 100 partes por milhão para 11.000 ppm.
Se não fosse prontamente detectada pela equipe, essa alteração teria envenenado a água distribuída, causando irritações graves, danos aos pulmões e até risco de cegueira na população. As autoridades felizmente notaram a mudança a tempo e reverteram o ajuste antes que a água contaminada chegasse às torneiras.
Ataques cibernéticos também podem interromper totalmente o serviço de água ou dificultar sua operação, mesmo sem provocar contaminação. No Reino Unido, em agosto de 2022, a empresa South Staffordshire Water, que abastece uma rede com mais de 1,6 milhão de pessoas, sofreu um ataque de ransomware que afetou seus sistemas de TI. Os criminosos afirmaram ter acessado também a rede de OT, incluindo sistemas de monitoramento de níveis químicos da água.
Mesmo que o ataque não tenha provocado falta d’água imediata, o tempo de resposta consumido e a incerteza gerada foram extremamente danosos. Situações assim acarretam gastos extras operacionais, mobilização de equipes de emergência e abalo na confiança dos consumidores. A percepção pública de que “hackers invadiram a água” pode manchar a reputação de uma concessionária durante anos.
Estratégias de defesa
Para proteger suas operações, as empresas têm adotado estratégias avançadas de cibersegurança. Uma das abordagens mais eficazes é a arquitetura Zero Trust, que parte do princípio de que nenhum acesso — seja de usuários, dispositivos ou aplicações — deve ser confiado por padrão, mesmo que já esteja dentro da rede.
Outro pilar é a segmentação entre as redes de TI (tecnologia da informação) e OT (tecnologia operacional). Separar ambientes industriais do restante da estrutura corporativa dificulta significativamente a propagação de ataques.
Em muitos casos, entretanto, as empresas precisam fazer uma análise mais profunda na infraestrutura, o que inclui inventário e classificação de ativos e revisão da arquitetura de rede. A partir disso, é possível, além de optar por tecnologias mais avançadas, realizar uma modelagem de ameaças para ambientes OT, e a elaboração de planos de resposta a incidentes. Especialistas externos com experiência específica em sistemas industriais podem oferecer esses serviços sem comprometer a continuidade operacional.
O setor de água e esgoto exerce um papel singular na infraestrutura nacional: é essencial à saúde pública, altamente descentralizado e opera com um ecossistema tecnológico tão diverso quanto complexo. Diante de ameaças cibernéticas em constante evolução, é imprescindível que esse setor também amadureça sua abordagem frente à segurança digital. A expertise técnica independente, antes vista como um apoio complementar, hoje se consolida como elemento indispensável para garantir a continuidade dos serviços, preservar a confiança da população e sustentar a resiliência operacional diante de riscos cada vez mais sofisticados.
Sobre a TÜV Rheinland
150 anos fazendo do mundo um lugar mais seguro: TÜV Rheinland é um dos principais provedores mundiais de serviços de teste e inspeção, com receitas anuais superiores a 2,7 bilhões de euros e aproximadamente 27.000 funcionários em mais de 50 países. Seus especialistas altamente qualificados testam sistemas e produtos técnicos, estimulam a inovação e ajudam as empresas em sua transição para maior sustentabilidade. Eles capacitam profissionais em diversos campos e certificam sistemas de gestão conforme normas internacionais. Com expertise excepcional em áreas como mobilidade, fornecimento de energia, infraestrutura e além, a TÜV Rheinland oferece garantia de qualidade independente, não menos para tecnologias emergentes como hidrogênio verde, inteligência artificial e direção autônoma. Dessa forma, a TÜV Rheinland contribui para um futuro mais seguro e melhor para todos. Desde 2006, a TÜV Rheinland é signatária do Pacto Global das Nações Unidas, que promove a sustentabilidade e combate a corrupção. A sede da empresa está localizada em Colônia, Alemanha. Website: www.tuv.com
