על פי מידע שהגיע לידי אתר Recorded Future News, מספר שיא של תקריות סייבר השפיעו השנה על אספקת מי השתייה בבריטניה מבלי שנחשפו בפומבי. האופי המדויק של תקריות הסייבר הללו אינו מוחלט והוא עשוי לכלול כשלים מבצעיים וגם מתקפות סייבר. על פי חוקי אבטחת הסייבר הבריטיים – תקנות ה- NIS – נדרשות חברות תשתית קריטית לדווח לממשלה אודות תקריות סייבר משמעותיות בתוך שלושה ימים או לעמוד בפני קנס של עד 17 מיליון ליש"ט (21 מיליון דולר).
בכל מגזרי התשתיות הלאומיות הקריטיות דווחו השנה יותר תקריות מאי פעם, כאשר מגזרי התחבורה ומי השתייה הם המושפעים ביותר. על פי נתונים שנאספו על ידי Recorded Future News באמצעות חוק חופש המידע, היו בשנת 2024 לפחות שש תקריות שהשפיעו על תשתית מי השתייה בבריטניה. בשנים קודמות היו לא יותר משתיים. ריצ'רד הורן – ראש המרכז הלאומי לאבטחת סייבר (NCSC) הצהיר באוקטובר שהסוכנות שלו כבר הגיבה ל- 50% יותר תקריות סייבר משמעותיות בהשוואה לשנה שעברה. על פי תקנות ה- NIS, מדווחים אירועי סייבר המשפיעים על אספקת מי שתייה למחלקה לאיכות הסביבה, מזון וכפר (Defra). המחלקה סירבה בתחילה להגיב בנוגע לדיווחים הללו, בטענה שהמידע "אם ייחשף, עלול להפוך את השירותים לפגיעים יותר למתקפות פיזיות וגם למתקפות סייבר על ידי אנשים או ארגונים בעלי כוונות זדון." Defra משכה את הטיעון הזה לאחר ש- Recorded Future News ערערה וטענה שהמחלקה לא יכולה להוכיח כיצד יכולים נתונים סטטיסטיים לגרום לשירותים להיות פגיעים יותר.
ששת התקריות דווחו ל- Defra בין ה- 1 בינואר ל- 21 באוקטובר. על פי תקנות ה- NIS, התייחסו דיווחים אלו למתקפת סייבר או לכשלים תפעוליים המשפיעים ישירות על ייצור ואספקת מים לשתיה, ללא קשר אם הצרכנים הושפעו ישירות או לא. מהות תקריות הסייבר הללו נותרה חסויה, אך הן נחשפות במקביל לכך שסוכנות אבטחת הסייבר המובילה בארצות הברית – המתמודדת עם קבוצות פשיעת סייבר רבות במרחב הקיברנטי כמו בריטניה – הדגישה לאחרונה שוב ושוב את נושא מתקפות הסייבר נגד משק המים והוציאה אזהרות חריפות לגבי הצורך לשפר את הגנות הסייבר שלו.
סיארן מרטין – לשעבר ראש המרכז הלאומי לאבטחת סייבר בבריטניה, אמר ל- Recorded Future News שיש צורך לשקול את הערך של חשיפה פומבית אל מול הסיכונים הכרוכים בחשיפת פרטים נוספים אשר יכולים לסייע לפושעי הסייבר: "באופן כללי, שקיפות סביב אירועי סייבר גדולים הינה מועילה, אבל יהיו מקרים שבהם הסודיות תהיה חיונית מבחינה מבצעית. החקיקה הקרובה היא הזדמנות לנסות ולהתאים את האיזון הקשה הזה", "לספקי תשתית קריטית יש חובה לאבטח את השירותים שהם מספקים ואת הנתונים האישיים שאנו מפקידים בידיהם", אמר דיוויד פברצ'ה – מנכ"ל Beyond Blue ולשעבר ראש תחום הסייבר במשרד הביטחון הבריטי. לדבריו: "שקיפות לגבי האופן שבו הם מתמודדים עם סיכוני סייבר, היא המפתח לשמירה על האמון שלנו בספקים אלו. אנחנו מצפים לשקיפות זו והיא קיימת בתחומים אחרים כמו רמות שירות ואירועי בטיחות. אולי אנחנו צריכים לצפות אותו הדבר גם לגבי אירועי אבטחת סייבר."
הצעת חוק אבטחת הסייבר והחוסן צפויה גם להגדיל את מספר התקריות המדווחות, מכיוון שמספר רב של מתקפות סייבר אינן נרשמות כאירועי NIS בשל הספים הנוכחיים שנקבעו בחקיקה. ספים אלו מבוססים על ההשפעה של אירוע אבטחת סייבר על אספקת השירות החיוני – למשל, אם שיבשה מתקפת סייבר את ייצור האנרגיה בתחנת כוח, או מנעה מחברת רכבות להפעיל את השירות.
