Nel 2020 in Italia gli incidenti informatici hanno rappresentato il rischio più importante per le aziende: è quanto si legge dal Rapporto Allianz Global Corporate & Specialty per il 2020 ed è la prima volta che i “cyber incidents” diventano la prima preoccupazione per CEO e Risk manager.
Di fronte a questa crescita vertiginosa di minacce cyber, alcuni settori di mercato presentano una superficie di attacco molto più ampia di altri: tra questi di certo c’è quello delle Energy&Utilities, che oltre ai rischi in ambito IT (applicazioni di business, dati, infrastrutture server/Data Center ecc.) aggiunge quelli tecnologici di tipo operazionale (rischi OT) applicabili alla rete necessaria al trasporto delle risorse (elettrodotti, acquedotti ecc.).
Ciò alla luce di un uso sempre più esteso di dispositivi di campo IoT (sistemi PLC, Switch…) che possono essere attaccabili.
Indice degli argomenti
Cyber security nel settore Energy&Utilities: il ruolo strategico dell’OT
Se il settore IT rappresenta ad oggi l’area su cui si concentra il maggior numero di attacchi, è l’ambito OT a preoccupare maggiormente, perché un attacco a un’azienda Energy può procurare danni non solo al business dell’organizzazione, ma anche alla popolazione di un’intera area geografica.
Basti pensare a quali impatti un’interruzione “colposa” di energia elettrica o di gas possono avere sull’intera supply chain (generazione, trasmissione, distribuzione, vendita) e su tutta l’utenza.
Oppure ai danni che può provocare a un’intera comunità un attacco cyber alla rete idrica, da quelli relativi alla qualità dell’acqua allo sversamento di acque reflue in fiumi o parchi; o infine, con un attacco alla gestione della logistica, ai danni dovuti al blocco del ciclo di vita dei rifiuti urbani o delle aziende (con gravi impatti ambientali per i rifiuti pericolosi).
Alcuni episodi Energy&Utilities avvenuti nell’ultimo trimestre 2020 hanno confermato come gli obiettivi estorsivi di tipo economico (riscatto in Bitcoin) abbiano superato quelli iniziali di «semplice» cyber-attivismo.
I casi nazionali di fine 2020 hanno colpito la componente IT e non hanno procurato rischi/danni alla popolazione, ma “semplici” interruzioni di alcune operazioni di front/end e dati, con servizi essenziali che hanno continuato ad essere erogati in continuità (distribuzione acqua, gas, impianti di illuminazione).
Il caso dell’impianto di trattamento dell’acqua a Oldsmar, Florida
Quanto accaduto in Florida a inizi febbraio è invece inquietante: un impianto di trattamento dell’acqua a Oldsmar, una città di circa 15.000 abitanti non lontano da Tampa, ha subìto un attacco, con l’aggressore che ha preso il controllo di uno dei sistemi e ha aumentato la quantità di idrossido di sodio, cioè la liscivia, di un fattore 100. Questo avrebbe potuto essere fatale per le persone che vivevano a valle, se un operatore attento non avesse notato il cambiamento e lo avesse invertito.
La violazione pare sia avvenuta perché la postazione di lavoro attaccata aveva una versione non supportata di Windows senza firewall e ha condiviso la stessa password di TeamViewer tra i suoi dipendenti.
L’incidente dimostra ancora una volta come sistemi di controllo obsoleti all’interno di reti operazionali progettate senza porre particolare attenzione agli aspetti di sicurezza siano in grado di abilitare connessioni remote via internet attraverso tools di accesso remoto, pensate per un utilizzo da parte di amministratori e manutentori ma sfruttabili da soggetti malintenzionati.
Sistemi di controllo industriale sotto attacco
Prendendo di mira i sistemi infrastrutturali, gli hacker possono potenzialmente causare danni enormi, che vanno dal mettere a repentaglio la salute delle persone, al furto di dati sensibili o di proprietà intellettuale, fino a causare malfunzionamenti o addirittura l’interruzione dei servizi e degli impianti, con conseguenze potenziali su larga scala.
Molti sistemi di controllo industriale funzionano ancora su sistemi operativi vecchi o personalizzati, ad esempio con versioni di Windows obsolete (come nel caso della Florida) e difficili da patchare, e questo li rende particolarmente vulnerabili una volta raggiunti. Cyber criminali singoli o organizzati lo sanno, e sanno ben sfruttare questa situazione.
Secondo un recente rapporto pubblicato dai Laboratori Kaspersky sull’evoluzione del panorama delle minacce informatiche per i sistemi di automazione industriale, il 16,7% degli attacchi agli ICS (Industrial Control Systems) proviene da Internet.
E questo pone in evidenza uno dei problemi che nei tempi recenti della pandemia e del lavoro remoto si è andato amplificando, ovvero come consentire un accesso sicuro alle applicazioni ed ai sistemi OT di una infrastruttura critica da parte di operatori e terze parti di manutenzione che si connettono attraverso reti non sicure e spesso attraverso device non gestiti.
Aziende che operano nel settore delle infrastrutture critiche come acqua, energia, trasporti, telecomunicazioni, dipendono fortemente da sistemi posizionati sia su reti IT sia su reti OT per esercire e controllare il funzionamento quotidiano dei propri impianti.
Sebbene gran parte delle reti OT utilizzino protocolli legacy e proprietari, molti sistemi stanno migrando a protocolli standard basati su TCP e sullo stack IP, in una progressiva convergenza IT-OT.
Ciò ha consentito ai team IT di fornire accesso remoto o cross-network più facilmente ai sistemi OT. Le organizzazioni utilizzano spesso soluzioni di accesso via VPN o servizi basati su RDP (Remote Desktop Protocol) come TeamViewer.
Cyber security nel settore Energy&Utilities durante la pandemia
Prima del 2020 gli hacker già facevano leva sulle vulnerabilità dei servizi di accesso remoto basati su RDP e VPN, al fine di compromettere ambienti OT/ICS.
Queste tecniche sono divenute più popolari durante la pandemia con il diffondersi dello smart working anche tra le aziende dei comparti che gestiscono infrastrutture critiche.
Del resto, un sistema VPN rappresenta un punto di ingresso frequentemente utilizzato da OEMs ed integratori per ottenere accesso ad ambienti operazionali e non solo. E poiché molte aziende stentano ad adottare presidi di sicurezza adeguati ed opportune tecniche di segmentazione della rete, oggi più che mai ottenere l’accesso ad una infrastruttura attraverso una VPN compromessa consente ai malintenzionati di muoversi con sufficiente e pericolosa libertà all’interno di una rete industriale con limitate capacità di essere intercettati.
Azioni di contenimento e mitigazione dei rischi
Quali sono le azioni di contenimento e mitigazione dei rischi derivanti dagli attacchi cyber? Partendo proprio da quest’ultimo caso d’uso, particolarmente attuale peraltro, ovvero l’accesso sicuro da remoto ad impianti OT/ICS, appare evidente come la segregazione e segmentazione della rete, così come l’autenticazione forte e un’autorizzazione granulare e selettiva basata su profili di accesso ed utilizzo applicativo mirato dei sistemi di impianto, rappresentino altrettanti attributi architetturali da considerare ed implementare con particolare attenzione.
Tutte le azioni di contenimento e mitigazione dei rischi presuppongono investimenti che tutte le imprese, non solo quelle Energy&Utilities dovranno pianificare.
Le novità del Piano Nazionale Transizione 4.0
Il nuovo Piano Nazionale Transizione 4.0, oltre a stimolare gli investimenti privati e fornire stabilità e certezze alle imprese, conferma, fino a fine 2022, le agevolazioni fiscali attraverso il credito di imposta su una serie di servizi, e, tra questi, anche quelli relativi alla cyber security da applicare agli investimenti.
Ad esempio, per gli investimenti in ambito “human” (formazione per i dipendenti per migliorare la sensibilità e le difese dagli attacchi), le agevolazioni previste variano dal 30% al 50% del valore dell’investimento, dipendenti dalla dimensione delle imprese. Oppure, per gli investimenti sulla componente “technology” (beni immateriali applicabili su software, piattaforme e servizi di supporto alla protezione) con risparmi sino al 50% del valore dell’investimento.
Gli attacchi sono in aumento, Internet è diventata il motore della “terza rivoluzione industriale”, siamo tutti connessi e… vulnerabili. Se la questione ormai non è più il “se” mi attaccheranno, ma il “quando”, è bene avviare una roadmap di investimenti che permettano una progressiva riduzione (e non azzeramento) dei rischi da attacchi cyber.
