È abbastanza desolante rilevare la semplicità con cui è oggi possibile trovare esempi di attacchi informatici a infrastrutture critiche, per via del loro numero crescente e della loro sempre più significativa gravità.

Un episodio recente si è verificato a maggio 2021, quando il gruppo hacker DarkSide ha infettato i computer di Colonial Pipeline, l’operatore del più grande sistema di condutture per prodotti petroliferi raffinati negli Stati Uniti. Un attacco ransomware che ha bloccato la distribuzione di carburante per il 45% della popolazione della costa orientale degli Stati Uniti.

Gli hacker hanno preso il controllo e il comando della conduttura causando uno stop che è costato milioni di dollari in danni e perdita di profitto, oltre al disservizio per imprese e consumatori dipendenti dalla fornitura di carburante che ha provocato ulteriori conseguenze reputazionali sull’azienda.

A febbraio di quest’anno, in una misura in qualche modo minore, ma in maniera tale da avere un effetto diretto sulla salute di migliaia di persone, un hacker è riuscito ad accedere ai sistemi di un centro di trattamento delle acque nella cittadina di Oldsmar, in Florida. Durante l’attacco l’hacker è stato in grado di aumentare in poco tempo l’idrossido di sodio presente nell’acqua a livelli molto pericolosi, da 100 parti per milione a 11.000 parti per milione.

Questi episodi hanno rinnovato la preoccupazione tra gli addetti alla protezione delle infrastrutture critiche e dei loro utenti. I rischi associati a danni a condutture petrolifere, centrali e sistemi di distribuzione dell’energia, trasporti e servizi pubblici, in modo diretto e indiretto, sono tornati nuovamente al centro della scena, rendendo così il settore un target ancora più attraente per gli attacchi informatici.

 

Attacchi informatici all’infrastruttura critica: un problema costante e in crescita

Ovviamente questi episodi non saranno né i primi né gli ultimi  attacchi informatici diretti alle infrastrutture critiche. Attacchi precedenti a centrali elettriche in Ucraina e in Arabia Saudita sono solo degli esempi di episodi che sono stati riportati dalla stampa, ma molti altri non sono stati mai segnalati.

Gli attacchi cyber sono sempre più frequenti. Il report semestrale di Check Point ha rilevato come, nei primi sei mesi del 2021, gli attacchi informatici contro aziende di ogni tipo siano cresciuti del 29% rispetto ai sei mesi precedenti, lasciando prevedere un ulteriore aumento nella seconda metà dell’anno.

È giusto dire che la crescita degli attacchi informatici ai danni delle infrastrutture critiche sarà in linea con questi risultati, e potrebbe addirittura superare le aspettative, data l’attrattività di queste aziende per coloro che vogliono causare danni o richiedere riscatti.

Questo è quanto è stato evidenziato dal Center for Strategic & International Studies: la lista, regolarmente aggiornata, degli attacchi cyber più rilevanti mostra che il numero e la gravità degli attacchi contro aziende pubbliche e private che operano nel settore energetico, delle telecomunicazioni, dei trasporti, della difesa e di servizi cloud, e così via, sta crescendo.

 

Gli attacchi informatici avvengono per motivi diversi ma attraverso procedure simili

In generale, le ragioni per cui si verificano gli attacchi informatici possono essere suddivise in tre categorie: guadagno economico, generazione di disservizi e danni ampiamente diffusi o, più semplicemente, per sfida personale.

Sarebbe semplice pensare che quest’ultima categoria sia relativamente inoffensiva: vi rientrano gli hacker che agiscono “per hobby”, che vogliono mettersi alla prova per vedere se riescono a trovare un modo per infiltrarsi in reti sicure ma sensibili, nella maggior parte dei casi per aumentare il proprio ego e il proprio status tra gli altri hacker. Ma sono proprio questi hacker a trovare i punti deboli e i vettori degli attacchi cyber, per poi trasmetterli a coloro che hanno scopi più minacciosi.

Nel caso degli attacchi informatici con l’obiettivo del guadagno economico tramite ransomware, il controllo di sistemi critici e l’accesso a dati sensibili sono trattenuti dagli hacker fino a quando una somma considerevole non viene pagata dall’azienda colpita.

Il ransomware è diventato un grande business. I criminali informatici sono incoraggiati dal fatto che molte aziende sono disposte a evitare il fatto che gli attacchi cyber vengano ripresi dalla stampa e hanno necessità di disporre di sistemi funzionanti il prima possibile.

Infine, ci sono hacker che vogliono causare grossi danni generalizzati a una città o una nazione attraverso gli attacchi informatici, in quanto spesso si tratta di gruppi sovvenzionati dal governo che non hanno obiettivi di guadagno economico. I danni causati variano da lievi disagi a vere e proprie minacce alla salute pubblica.

Spesso gli stessi attacchi sono relativamente trascurabili; una violazione in un sistema meno sensibile all’interno dell’infrastruttura critica può stimolare una reazione eccessiva, dovuta alla sensibilità del sistema colpito, mentre sistemi centrali più importanti per l’operazione vengono bloccati finché non viene misurata la portata del problema. Una consuetudine che può però sfociare in preoccupazione e panico all’interno delle comunità servite, turbate dal fatto di non poter avere accesso a risorse essenziali come carburante, energia o acqua.

Qualsiasi sia l’obiettivo che si cela dietro un attacco informatico, l’approccio è generalmente lo stesso. Gli hacker cercheranno sempre i punti deboli che permettono di accedere a una rete, per poi provare a muoversi all’interno della stessa, cercando di infiltrarsi e controllare più sistemi sensibili.

 

Un mondo connesso vuol dire un mondo a cui gli hacker hanno facile accesso

Il mondo è connesso come non lo è mai stato prima. Il cosiddetto Internet of Things (IoT) descrive sostanzialmente l’insieme dei miliardi di dispositivi e sensori connessi l’uno con l’altro, da centri di elaborazione dati a reti aziendali, che offrono un servizio prezioso creando grandi vantaggi ai consumatori e alle aziende.

Il perimetro attorno alle reti aziendali è diventato più permeabile a causa della loro struttura, che facilita le connessioni esterne provenienti da dipendenti, fornitori e clienti, e da milioni di dispositivi. Le reti all’interno dell’infrastruttura critica non sono diverse in questo. Anche se il bisogno di proteggere qualsiasi rete è importante, i rischi associati a violazioni dell’infrastruttura critica sono talmente significativi che un solido approccio alla sicurezza informatica in questo settore è estremamente indispensabile.

Purtroppo, tutti i dispositivi e i sistemi di rete possono essere vulnerabili. Qualsiasi dispositivo, se non protetto, può essere l’anello debole che fornisce all’hacker l’accesso al sistema e che può provocare  un attacco informatico potenzialmente catastrofico.

 

La cosa migliore da fare è non fidarsi di nessun profilo che non sia stato verificato

Nessuna rete può essere sicura al 100% da attacchi informatici. Svincolati da normative e con a disposizione grossi fondi come qualsiasi start-up, i criminali informatici cercano costantemente di innovare i propri metodi di attacco. È quindi essenziale che gli operatori delle infrastrutture critiche lavorino molto anche per comprendere il panorama di queste minacce in evoluzione e  per essere sempre un passo avanti.

Man mano che sempre più dispositivi vengono connessi alla rete usata dall’infrastruttura critica, la teoria di utilizzare un firewall per proteggere il perimetro è diventata superflua. C’è stato il bisogno di un nuovo approccio ed è emerso nella forma delle reti Zero Trust o “fiducia zero”.

In termini semplici, come suggerisce il nome, le reti Zero Trust sono basate sul presupposto che non ci si possa fidare di nessuna entità (che sia umana o una macchina) connessa alla rete o presente al suo interno. Qualsiasi cosa siano, da qualsiasi luogo e in qualsiasi modo siano connessi non dovranno essere ritenuti affidabili finché non siano stati verificati.

La verifica può avvenire svariate volte e in molti modi, e spesso riguarda anche solo il garantire l’accesso a una specifica parte della rete necessaria per svolgere un compito. La verifica coinvolge i dispositivi, tra cui le telecamere di videosorveglianza, ma anche gli individui. L’abilità di qualsiasi dispositivo connesso di verificare la propria identità in modo inconfutabile è essenziale nella struttura di una rete Zero Trust.

È per questa ragione che dovrebbero essere prese delle misure aggiuntive per assicurarsi che ogni aspetto della soluzione di sorveglianza sia sicuro a tutti gli effetti (la nostra guida alla cybersecurity offre informazioni approfondite sulle migliori prassi da adottare).

 

Il sistema di monitoraggio e di gestione della salute

Come il controllo della propria salute è essenziale per accorgersi di piccoli problemi che potrebbero rivelarsi più importanti in futuro, un monitoraggio attento dello stato di salute delle soluzioni di videosorveglianza gioca lo stesso ruolo nel ridurre le vulnerabilità.

Senza visibilità su tutti i sistemi di videosorveglianza connessi alla rete e sul loro stato, è impossibile garantire che tutti i rischi vengano contenuti e, in casi più gravi, se si verifica un problema in un’area, che venga adeguatamente tenuto sotto controllo. Senza, una minima violazione può diventare velocemente un problema molto più importante e scatenare una reazione (comprensibilmente) eccessiva per contenere il danno.

Oltre al monitoraggio della salute, gli strumenti software possono facilitare la gestione delle applicazioni, che sono centralizzate, a distanza e sempre più automatizzate, di aggiornamento del firmware. Questo è fondamentale per difendersi da nuovi virus e per mantenere al sicuro le soluzioni di sicurezza, soprattutto se le aziende aggiungono ulteriori dispositivi IoT alle proprie reti.

 

La cybersecurity lungo tutta la catena del valore

Le moderne ed efficaci soluzioni di sorveglianza sono la somma di molte parti. Poiché le stesse telecamere di sorveglianza sono diventate più potenti di molti dispositivi informatici (grazie alla possibilità di installare analitiche on the edge), un aspetto chiave della sicurezza informatica è avere una visione olistica di tutta la catena del valore. L’hardware e il software devono lavorare insieme in perfetta sincronia, non solo per fornire i massimi vantaggi della nuova tecnologia di sorveglianza, ma per farlo in un modo che la sicurezza informatica sia comunque posta al primo posto.

È ovvio che le infrastrutture critiche hanno sempre avuto l’obiettivo di proteggere fisicamente i siti, gli impianti e le costruzioni  su cui fanno affidamento milioni di persone nel mondo per usufruire dei servizi essenziali per la vita di tutti i giorni. Con le attuali minacce , che sono tanto digitali quanto fisiche (e probabilmente anche di più), è essenziale volgere la stessa attenzione alla sicurezza informatica. Questo obiettivo rimarrà sempre una priorità per Axis e per i propri partner.

Scopri di più su Axis e la sicurezza informatica e sulle nostre soluzioni per le infrastrutture critiche:

 

Soluzioni per le infrastrutture critiche