L’intelligence tedesca teme incursioni sponsorizzate alle infrastrutture GPL del Paese. Lo ha reso noto Bruno Kahl, a capo dei Servizi segreti federali, con chiaro riferimento ai tre terminali che la Germania ha attivato per scongiurare la dipendenza dal Cremlino. Per onore di cronaca occorre anche dire che il servizio di intelligence federale tedesco ha perso credibilità nel corso dell’ultimo anno, a causa di un dipendente accusato di avere ceduto segreti di stato alla Russia.
Questo il quadro germanico, è utile però capire quanto i timori di Kahl siano fondati, quanto possano riguardare anche l’estero (Italia inclusa), come vengono sferrati questi attacchi e chi deve impegnarsi affinché vengano scongiurati. Per approfondire questi aspetti ci siamo avvalsi della collaborazione di Claudio Telmon, Information & Cyber Security Advisor presso P4I – Partners4Innovation.
Pegasus, Toka e gli altri: ecco perché l’UE pensa a una moratoria sull’uso degli spyware
Indice degli argomenti
In cosa consiste e come si sferra un attacco a un’infrastruttura critica?
“Attacchi a questo tipo di infrastrutture possono essere più o meno sofisticati, a seconda degli attori che li praticano – e quindi delle risorse e competenze che possono investire – e delle difese che l’infrastruttura ha implementato”, sottolinea Claudio Telmon.
“Nell’ipotesi più complessa”, continua l’analista, “possiamo ipotizzare scenari analoghi a quelli del famoso caso di Stuxnet in cui, un malware particolarmente sofisticato, è stato realizzato appositamente per attaccare uno specifico impianto, in quel caso un impianto iraniano di arricchimento dell’uranio. Il malware si suppone sia stato poi veicolato attraverso un portatile infetto portato nello stabilimento e connesso alla rete interna. In quel caso si trattava però di superare delle misure di sicurezza particolarmente sofisticate: la maggior parte degli attacchi che abbiamo visto finora a impianti industriali sono stati molto meno sofisticati e praticati attraverso canali più comuni, come l’utilizzo di mail di phishing o la compromissione di un fornitore”.
“Il primo passo è, sempre e comunque, riuscire a ‘mettere un piede’ dentro alla struttura”, sottolinea ancora Telmon. “Di lì in poi, l’attaccante cerca di ampliare il proprio accesso e la propria conoscenza del bersaglio, cercando nello stesso tempo di non essere rilevato, fino a trovare dove e come creare il maggior danno possibile”.
Chi ha interesse a sferrarlo?
“Nell’ambito cyber, è una domanda un po’ difficile, perché il confine fra cyber crime, attacchi sponsorizzati da stati sovrani – si citano Russia, Cina, ma anche Iran e Corea del Nord – e azioni di cyber warfare, è abbastanza sfumato. Gli attori sono spesso gli stessi gruppi, essenzialmente gruppi di cyber criminali, che possono però avere, in qualche occasione, supporto e obiettivi indicati da organizzazioni governative del paese in cui operano, in cambio anche di protezione. Parlando di infrastrutture Gpl in Europa, è facile naturalmente pensare alla Russia e ai gruppi di quell’area”.
Come ci si difende da pericoli simili? Chi deve difenderli?
“È bene precisare che questo tipo di infrastrutture ha normalmente una serie di salvaguardie ‘tradizionali’ che rendono meno banali gli attacchi”, ci fa notare ancora Telmon.
“Se si pensa che basti bloccare una valvola perché salga la pressione e qualcosa esploda, normalmente non è così: esistono valvole di sfogo meccaniche che, nei casi che ho incontrato, non possono essere bloccate mediante la manomissione di sistemi di telecontrollo. Allo stesso modo, esistono diversi livelli di protezione, ad esempio di segregazione tra reti, che sono pensati ormai anche per tenere conto di possibili attacchi cyber. Sono però impianti complessi, ed è quindi probabile che, con una buona conoscenza dell’impianto, avendo a disposizione tempo, determinazione e le risorse necessarie, possa essere trovato il modo di provocare danni importanti“.
Secondo l’analista di P4I, “è abbastanza ovvio che i gestori di queste infrastrutture sono i primi attori della gestione, e prima di tutto della progettazione, della sicurezza dei loro impianti. Tuttavia, la direzione in cui si sta andando è quella di un lavoro sinergico, a livello europeo e nazionale, per assicurare la protezione di infrastrutture che rappresentano sì un rischio, ma anche uno strumento importante per la vita economica e sociale del paese”.
“La Direttiva NIS2, pubblicata a inizio anno, ha come obiettivo quello di garantire un livello comune elevato di cyber sicurezza nell’Unione. Cita specificamente questo tipo di infrastrutture fra quelle maggiormente critiche, per le quali da una parte i gestori dovranno adottare una serie di misure di sicurezza, ma che dall’altra avranno il supporto di un sistema europeo comprendente per esempio lo CSIRT Italia, per avere informazioni relativa a particolari minacce che li possono interessare e indicazioni su come contrastarle. Infine, le autorità di controllo nazionali, nel nostro caso certamente l’ACN, dovranno verificare che i rischi siano adeguatamente mitigati”.
Conclusioni
L’ampia gamma di stratagemmi con i quali si possono sferrare attacchi a infrastrutture vitali per un Paese è parte integrante del problema. Riuscire a prevedere quali tecniche possano essere impiegate è complesso e, non da ultimo, richiede una buona dose di inventiva e creatività. Allo stesso modo, poiché in gioco ci sono equilibri internazionali, nessun Paese è del tutto immune da attacchi sponsorizzati da altri Paesi.
Valutando la situazione dal punto di vista dell’Italia, sapendo che il caro-energie ha eroso lo 0,8% del Prodotto interno lordo nel 2022, è facile immaginare che un attacco alle infrastrutture che conservano e gestiscono le scorte nazionali può essere strategica sul piano delle dipendenze e produrre un danno a tutta l’economia. Infine, se è vero che gli attaccanti tendono ad agire in modo coordinato, è altrettanto vero che, a fare scudo alle offensive collaborano, diversi enti.
