Lo scorso 23 luglio le agenzie statunitensi National Security Agency (Nsa) e Cybersecurity & Infrastructure Security Agency (Cisa) hanno pubblicato un’allerta che esorta gli operatori di infrastrutture critiche, gli erogatori di servizi essenziali e più in generale l’intero settore industriale statunitense ad adottare con urgenza “misure immediate” per ridurre l’esposizione dei propri sistemi ai rischi cibernetici.
L’allarme nasce dalla costatazione che negli ultimi mesi si è osservato un aumento di attività informatiche offensive ai danni di sistemi delle così dette Operational Technology (Ot) ovvero a quei particolari sistemi informatici che vengono utilizzati per supervisione, controllare e gestire i diversi impianti ed infrastrutture.
Questi sistemi, noti anche come Industrial Control Systems (Ics), sono quelli che, in sostanza, sovrintendono al corretto funzionamento delle linee di produzione nelle fabbriche, alla capacità di erogazione di servizi quali l’acqua, la luce , il gas ecc., ai trasporti, ma anche al funzionamento degli ospedali.
Infatti fra febbraio e giugno 2020 sono stati segnalati diversi episodi di attacchi informatici hanno avuto quale obiettivo sistemi di Operational Technology, incluso il blocco delle linee di produzione in un sito di Honda (Giappone) e uno di Lion (Australia), o addirittura l’arresto del tutto infrastruttura sperimentata da un operatore di gas naturale negli Stati Uniti.
Allo stesso modo, a maggio Israele ha contrastato un attacco contro uno dei suoi sistemi di approvvigionamento idrico, l’operazione mirava ad aumentare la percentuale di agenti chimici nella fonte idrica del paese rendendola inutilizzabile lasciando una parte significativa della popolazione senza acqua nel mezzo delle pandemie.
Quest’ultimo episodio ha innescato una contro-reazione da parte di Israele che, secondo molti osservatori, potrebbe essere alla base dei numerosi incidenti in impianti industriali e militare che sono avvenuti nell’ultima settimana in Iran.
Come in una complessa partita a scacchi ci si attende ora una possibile replica da parte del Iran, il tutto giocato su vari piani che include anche lo strumento dell’attacco cyber alle Operational Technology. Strumento quest’ultimo di crescente rilevanza sia perché le infrastrutture industriali civili sono un target interessante per coloro che ambiscono a danneggiare gli interessi economici di un paese, o portare avanti la propria agenda politica.
Ma anche perché la difficoltà, se non impossibilità, di una attribuzione dell’attacco consente di operare forme di cyberwar striscianti tali da mantenere costantemente l’antagonista sotto pressione limitando, però, la possibilità di una escalation.
Occorre rilevare, inoltre, il crescente sviluppo delle capacità offensive verso i dei sistemi Ot/Ics che risulta particolarmente preoccupante di fronte all’intrinseca vulnerabilità dei sistemi Ot che storicamente non sono progettati per difendersi da attività informatiche dannose.
Gli ambienti Ot infatti devono rispondere a un vincolo di hard real-time dove lo scambio di dati si deve adattare alle dinamiche e ai tempi richiesti dal processo industriale supervisionato.
In tale contesto, adottare elementi di sicurezza (come cifratura,antivirus, firewalls o firma digitale) o effettuare attività di patching potrebbe ostacolare la disponibilità delle informazioni creando rischi per il sistema.
A complicare ulteriormente lo scenario è stata l’adozione sempre più diffusa di dispositivi industriali dotati di connessione a internet che li rendono accessibili, ed eventualmente attaccabili, da qualsiasi computer. Oltre alle operazioni più sofisticate, un fattore di rischio importante riguarda il diffondersi di strumenti offensivi immediati e a basso costo.
Esistono infatti “motori di ricerca” come Shodan e Kamerka in grado di identificare tutte le risorse Ot che si collegano alla rete, e parallelamente si possono trovare in circolazione liste ben nutrite di exploit e strumenti di compromissione già sviluppati e pronti per l’uso.
Manomettere il corretto funzionamento di un ambiente Ot può generare conseguenze gravi che implicano non solo la sospensione di fornitura di un servizio essenziale, ma anche in impatti cinetici. Infatti, gli attaccanti possono manipolare il sistema inducendo malfunzionamenti mirati, fino a portarlo a un punto di “rottura”.
Di fronte a questi sviluppi della minaccia, e in questo momento di forti tensioni in ambito di cybersecurity, le agenzie statunitensi sottolineano che è fondamentale che i proprietari di asset e gli operatori di infrastrutture critiche adottino delle misure immediate per garantire la sicurezza dei sistemi nazionali ed evitare momenti di crisi.
Il primo aspetto che emerge dall’analisi delle indicazioni che Nsa/Cisa forniscono è la necessità di passare da una strategia di sola protezione (evitare che un attacco sia in grado di compromettere il corretto funzionamento del sistema) ad una in cui anche sul versante cyber si adottano strategie di resilienza.
Ovvero partire dall’assunto che in un contesto di crescente rischio ed esposizione alla minaccia cyber, bisogna considerare che non tutti gli incidenti possono essere evitati. È dunque necessario elaborare piani di risposta volti a contenerne gli impatti e favorire un rapido riprestino delle funzionalità.
Gli operatori devono prepararsi, però, non solo a mitigare gli effetti di un sistema non funzionante ma anche, come nel caso di man-in-the-middle, di un sistema che agisce attivamente in contrasto con il funzionamento sicuro e affidabile del processo.
Volendo leggere fra le righe della raccomandazione emessa dal Nsa/Cisa, si potrebbe pensare che gli Stati Uniti temano di essere coinvolti nella partita che si sta giocando in medio-oriente..