Nei giorni scorsi tre attacchi hacker ad aziende europee nel settore oil. È la punta dell’iceberg di un’emergenza che ora fa paura, anche in Italia. Il commento del prof. Roberto Setola, direttore del Master Homeland Security, Campus Bio Medico di Roma
Nei giorni scorsi almeno tre distinti attacchi cyber hanno colpito aziende europee che operano nel settore del trasporto e stoccaggio di petrolio. Si tratta in particolare della Oiltanking con sede in Germania, della SEA-Invest che opera principalmente n Belgio e della Evos attiva in Olanda.
In tutti e tre i casi l’azione cyber ha comportato una significativa riduzione nella loro operatività, ovvero ha compromesso a loro capacità di gestire i flussi di greggio. Aspetto questo che ha destato non poca preoccupazione negli addetti ai lavori alla luce delle attuali problematiche energetiche che già vedono ai massimi storici il prezzo del gas naturale e quello del petrolio che è ai valori massimi dagli ultimi 5 anni.
Questo soprattutto nell’ottica di un possibile incremento della tensione Russia-Ucraina con potenziali ripercussioni sull’approvvigionamento di gas per l’Europa. Più di un osservatore ha, infatti, immediatamente pensato che gli eventi potessero essere connessi ad una azione cyber per creare e/o accentuare tensione nello scacchiere politico, ovvero ad una concretizzazione di quelli che a livello di Nato sono denominati come minacce ibride (Hybrid Threats) che vedono l’azione cyber come strumento di facilitazione e di preparazione ad azioni militari tradizionali. Questo ipotizzando che i tre attacchi potessero avere una matrice unitaria e coordinata, configurandosi come vere e proprio azioni di cyber-war.
Fortunatamente, stando almeno alle prime dichiarazioni delle autorità tedesche e belghe, gli episodi appaiono non direttamente correlati, sono tre episodi autonomi che solo “sfortunatamente” si sono verificati nella stessa area geografica e nell’arco di pochi giorni. Questa è, però, l’unica buona notizia che emerge da questi episodi.
Purtroppo pare si stia concretizzando quanto disse nel maggio del 2020 Yigal Unna, direttore del Israel National Cyber Directorate, commentato un tentativo di attacco cyber all’acquedotto israeliano: “Cyber winter is coming”. Questo non tanto per il fatto che l’azione cyber poteva, in linea di principio, lasciare al freddo un’ampia fetta della popolazione quanto piuttosto a sottolineare che stiamo entrando in una fase nuova della minaccia cyber che vede sempre più come target, diretto o solo di riflesso, le infrastrutture critiche.
Ovvero quelle infrastrutture, come la rete idrica o gli oleodotti, che sono alla base dell’erogazione di tutti servizi essenziali per la nostra vita quotidiana. Già a maggio di quest’anno abbiamo visto con l’attacco alla Colonial Pipeline come un ransomware possa infatti paralizzare per quasi 10 giorni il più importante oleodotto negli Stati Uniti con immediate ripercussioni sul trasporto stradale e su quello aereo.
Occorre dire che la previsione di Unna si è avverata come effetto ma solo parzialmente come causa. Infatti Unna ipotizzava che la crescente sofisticazione degli attacchi, soprattutto quelli promossi da soggetti statuari, sarebbe stata in grado di indurre significative degradazioni nella capacità delle infrastrutture critiche di erogare i loro servizi. Sebbene esistano diversi episodi di azioni di questo genere a partire dal worm Stuxnet usato contro le centrali nucleari iraniani o i black-out occorsi in Ucraina nel dicembre del 2015 e 2016, la realtà è drammaticamente più banale.
Gli episodi di questi giorni, così come il caso di Colonial pipeline e decine di altri casi, non sono che le conseguenze “impreviste” di azioni criminali che nel tentativo di effettuare estorsioni compromettono “inavvertitamente” (o comunque in modo non scientemente deliberato) il funzionamento della parte più delicate di queste infrastrutture, cioè le loro Operational Technologies (OT). Ovvero dei sistemi informatici deputati al monitoraggio e controllo delle infrastrutture fisiche.
Il problema risiede principalmente nella crescente integrazione fra le tecnologie IT e le OT, integrazione che comporta che queste ultime siano sempre più esposte alla minaccia cyber anche alla luce delle spinte legate alla trasformazione digitale, alla volontà di favorire attività di smart working ma anche alla necessità di introdurre nuovi elementi con innegabili benefici come gli IoT (che nel mondo industriale assumono la connotazione di IIoT – Industrial Internet of Thing) ma anche significative vulnerabilità cyber.
Tutto ciò aumenta la superfice di attacco o, più semplicemente, la superficie di contatto fra il mondo IT e la componente OT e quindi possibilità che minacce o eventi come un ransomware possano partire dal mondo IT (leggasi da una mail aperta in modo inavvertito da un dipendente) per arrivare a lambire i sistemi OT riducendone le capacità operative se non addirittura indurre incidenti più o meno severi.
Il tutto si sposa con il perdurare di una non adeguata attenzione ai pericoli cyber da parte degli utenti. Infatti i tre episodi di questi giorni sembrano tutti dovuti a ransomware che sono penetrati nella rete IT, probabilmente come conseguenza di un comportamento non appropriato da parte di alcuni utenti, e da qui l’attacco si è propagato fino a compromettere alcuni file utilizzati nell’ambito OT con conseguente attivazione delle procedure di emergenza.
Un’altra considerazione che emerge da questi tre episodi, dalla loro concomitanza geografica e temporale è che il rischio cyber è un rischio sistemico, ovvero tale per cui la semplice ridondanza non ci aiuta a garantire la capacità di erogazione i servizi.
Questo è un aspetto da attenzionare in quanto l’utilizzo degli usuali approcci, quali la progettazione con logiche n-1 (il sistema deve correttamente funzionare anche qualora un qualunque elemento si guasti), non trovano immediata applicazione in quanto la probabilità di malfunzionamento multiplo è significativamente superiore a quanto può accadere nel modo fisico.
Per prevenire questo rischio sarebbe auspicabile una forte differenziazione dei sistemi OT per limitare la possibilità che una vulnerabilità cyber possa compromettere l’intera filiera, creando ove possibile anche una autonomia tecnologica nazionale o europea che consenta di segmentare in modo effettivo le diverse reti e componenti.
Come recentemente sottolineato anche da parte di Nunzia Ciardi, vice direttore della Agenzia Nazionale di Cybersicurezza, dobbiamo proteggerci da questi attacchi ma anche, e vorrei dire soprattutto, essere pronti a gestire le conseguenze di questi eventi con un’attica di resilienza.
Con una capacità, cioè, di reagire prontamente ed adattarsi plasticamente per assorbire al meglio le conseguenze degli attacchi cyber limitando l’impatto sulla capacità delle diverse infrastrutture di erogare i propri servizi alla popolazione.
In questa ottica il ruolo che l’Agenzia per la Cybersicurezza sarà fondamentale per promuovere quelle attività di infosharing necessarie per una rapida comprensione delle problematiche e per l’efficacia definizione delle contromisure. Azione che, però, è fondamentale sia affiancata in primo luogo da una crescita della cultura della cyber-security a tutti i livelli e dall’altro nello sviluppo e progettazione di sistemi ed apparati che adottano paradigmi di security-by-design.