Kredietbeoordelaar Moody’s heeft gewaarschuwd dat waterbedrijven een “verhoogd” risico lopen op cyberaanvallen gericht op drinkwater, omdat leveranciers wachten op toestemming van toezichthouders in de sector om de uitgaven aan digitale veiligheid te verhogen.
Moody’s zei in een rapport aan investeerders dat hackers zich steeds meer richten op infrastructuurbedrijven, waaronder water- en afvalwaterzuiveringsbedrijven, en dat het gebruik van AI (kunstmatige intelligentie) deze trend zou kunnen versnellen.
Vorige maand zei Southern Water, dat 4,6 miljoen klanten in het zuiden van Engeland levert, dat de Black Basta-ransomwaregroep beweerde toegang te hebben gehad tot zijn systemen en een “beperkte hoeveelheid” gegevens op het dark web te plaatsen. Dezelfde groep hackte vorig jaar outsourcingbedrijf Capita.
Afzonderlijk bood South Staffordshire Water in 2022 zijn excuses aan nadat hackers de persoonlijke gegevens van klanten hadden gestolen.
Moody’s heeft gewaarschuwd dat het toenemende gebruik van dataloggingapparatuur om het waterverbruik te monitoren en het gebruik van digitale slimme meters bedrijven kwetsbaarder maken voor aanvallen. Er staat dat systemen die in waterzuiveringsinstallaties worden gebruikt meestal gescheiden zijn van de rest van de IT van het bedrijf – inclusief klantendatabases – maar sommige systemen zijn nauwer geïntegreerd om de efficiëntie te verbeteren.
Na een hack moeten bedrijven doorgaans gespecialiseerde cyberbeveiligingsbedrijven inhuren om systemen te repareren, geld uit te geven aan klantcommunicatie en te maken krijgen met mogelijke boetes van toezichthouders. De Britse Information Commissioner’s Office kan bedrijven boetes opleggen tot 4% van de groepsomzet of € 20 miljoen (£ 17 miljoen), afhankelijk van wat het hoogste is.
Moody’s zei dat de kosten voor het repareren van het systeem, inclusief het opnieuw beveiligen en versterken van de bestaande cyberverdediging en het betalen van mogelijke boetes, doorgaans zouden resulteren in slechts een “bescheiden stijging” van de schuldenlast als het incident van korte duur zou zijn.
Moody’s waarschuwde echter: “Het grotere risico voor de sector en de samenleving is als kwaadwillende actoren toegang krijgen tot operationele technologiesystemen om drinkwater- of afvalwaterzuiveringsinstallaties in gevaar te brengen.
Het agentschap zei dat waterleveranciers, de overheid en toezichthouders de noodzaak erkenden om de cyberverdediging te versterken “gezien de toenemende verfijning van aanvallen op kritieke infrastructuur, waarbij statelijke actoren een recente maar groeiende klasse van cybertegenstanders vormen.”
Er zijn bredere zorgen over de digitale veiligheid van de Britse infrastructuur, waaronder het project van £ 50 miljard om een enorme ondergrondse opslagfaciliteit voor kernafval te bouwen en de nucleaire site van Sellafield in Cumbria, waar de Guardian een aantal cyberveiligheidsproblemen aan het licht bracht.
Het Moody’s-rapport komt op een moment dat waterbedrijven in Engeland en Wales hopen hun uitgaven aan cyberdefensie te verhogen door een aanklacht van Ofwat te ontvangen. De toezichthouder beoordeelt hun plannen om tussen 2025 en 2030 rekeningen te verhogen om de investeringen te dekken.
De vastberadenheid van Ofwat, die later dit jaar bekend wordt gemaakt, komt op een kritiek moment voor een sector die onder vuur ligt vanwege de rioolwaterzuivering, de slechte resultaten op het gebied van lekkages en de hoge salarissen van managers.
na het promoten van de nieuwsbrief
Afgelopen oktober dienden de bedrijven vijfjarige bedrijfsplannen in waarin de geplande verhogingen van de rekeningen werden beschreven, die nodig waren om een recordinvestering van £96 miljard te financieren om lekken in ongezuiverd rioolwater te repareren, lekken te verminderen en reservoirs te bouwen.
Uit analyse van Moody’s blijkt dat bedrijven hopen de uitgaven aan beveiliging de komende vijf jaar te kunnen verhogen van minder dan £100 miljoen gecombineerd naar bijna £700 miljoen. Meer toezicht op de sector en de hacking bij Southern Water zouden de zaak kunnen versterken, aldus het kredietagentschap.
Het bureau zei dat de kosten van South Staffordshire Water in verband met de hack, inclusief mogelijke civiele rechtszaken, £ 10 miljoen kunnen bedragen.
De waarschuwingen van Moody’s over de potentiële impact op de schulden van waterbedrijven komen voort uit bredere zorgen over de schuldenlast in de watersector, waarbij tot 28% van de rekeningbetalingen wordt gebruikt om de schulden in delen van Engeland af te betalen.
Vorige week zei brancheorganisatie Water UK dat de gemiddelde jaarlijkse rekeningen vanaf april met 6% zouden stijgen, wat het huidige inflatiepercentage zou overtreffen.