Aziende di tipo industriale che erogano servizi di pubblica utilità sono regolarmente prese di mira da attacchi informatici. Dal momento che gestiscono sistemi di controllo industriale (ICS) o tecnologie operative (OT), le conseguenze di tali attacchi possono essere molto serie e di vasta portata, inclusa l’interruzione di servizi essenziali.
Ransomware e APT (Advanced Persistent Threat) sono in cima alla lista delle tipologie di minacce che insistono sull’OT e quindi sui sistemi industriali (ICS) e le aziende manifatturiere ed utilities.
Ma per capire in modo approfondito questo contesto sono stati analizzati diversi report di sicurezza pubblicati nel 2023 comprensivi delle previsioni sulla evoluzione dei rischi per l’anno in corso.
L’aggiornamento continuo sulle vulnerabilità puntualmente pubblicate dall’agenzia CISA americana di cyber Security nazionale (CSIRT ACN) e la conoscenza delle minacce di nuova generazione, completano un quadro dei rischi specifici che non può mai essere sottovalutato.
Il cyber crimine visto da Europol: una multinazionale sempre più strutturata e dal business fiorente
Indice degli argomenti
L’Italia medaglia di bronzo
Da ottobre 2022 al primo trimestre 2023 l’Italia risulta il terzo paese più attaccato a livello mondiale, un primato poco onorevole emerso da Trend Micro Research, uno dei report di sicurezza periodicamente pubblicati per fornire un aggiornamento della minaccia di cybercrime e fornire dati sull’incidenza e degli attacchi.
Gli altri paesi che precedono l’Italia, rispettivamente al primo e secondo posto, sono Stati Uniti e Giappone. Secondo la ricerca i settori più bersagliati sono stati il manufacturing, la PA e i servizi finanziari.
Evidenze sulle minacce ad utilities e OT
Numeri significativi di attacchi sono stati registrati, a livello mondiale, anche dal settore delle utilities (organizzazioni che si occupano di distribuzione di energia, attività minerarie e o che operano nel settore Oil & Gas n.d.r.): il Data Breach Investigations Report edizione 2023, infatti, ha enumerato 143 incidenti, 47 dei quali di tipo data breach, ovvero incidenti comprensivi di violazione di dati.
Secondo il report, il cui lasso temporale di analisi va da novembre 2021 a ottobre 2022, nel mercato delle utilities la minaccia responsabile di circa uno su tre episodi di incidente/breach è il ransomware, mentre il social engineering sembra essere in diminuzione in questo settore.
Sia il mercato del manufactoring che quello delle utilities fanno uso delle cosiddette Operational Technologies (OT), ovvero apparati hardware e software che rilevano o provocano un cambiamento digitale/fisico, attraverso il monitoraggio e/o il controllo diretto di apparecchiature industriali, asset, processi ed eventi (fonte: glossario Gartner).
Proprio sulle tecnologie OT il vendor Fortinet ha evidenziato come il 75% delle aziende che ne fanno uso a livello globale, abbia subito almeno un’intrusione nell’ultimo anno e come un terzo, il 32% degli intervistati abbia indicato che sia i sistemi IT che quelli OT sono stati colpiti da un attacco informatico, rispetto al 21% dello scorso anno.
Ancora quasi un terzo degli intervistati ha riferito di essere vittime di un attacco ransomware, mentre in questo report si può osservare che le intrusioni da malware e il phishing risultano aumentate rispettivamente del 12% e del 9%.
I dati arrivano dal report 2023 State of Operational Technology and Cybersecurity basato su interviste a circa 570 professionisti del settore OT.
Una ulteriore complessità sembra emergere in relazione all’adozione massiva dei dispositivi OT connessi: quasi l’80% degli intervistati ha dichiarato di avere più di 100 dispositivi OT IP-enabled nel proprio ambiente OT, evidenziando quanto sia impegnativo per i team IT e di sicurezza proteggere un panorama di minacce in continua evoluzione.
Anche se le soluzioni di sicurezza informatica aiutano i team di security, la dispersione delle soluzioni rende più difficile incorporare, utilizzare e applicare in modo coerente le policy di sicurezza informatica in un panorama IT/OT sempre più convergente.
Il problema si aggrava con l’invecchiamento dei sistemi tanto che la maggior parte delle aziende, il 74%, ha dichiarato che l’età media dei sistemi ICS della propria azienda è compresa tra i 6 e i 10 anni.
Evgeny Goncharov, Head of Industrial Control Systems Cyber Emergency Response Team di Kaspersky in tema di sistemi obsolete nei contesti industriali ha osservato che “l’aggiornamento dell’apparecchiatura o del software specializzato in ambito industriale, può essere troppo costoso e questo comporta che sistemi connessi a Internet solitamente semplici da aggiornare, possono invece rimanere vulnerabili per molto tempo esponendo le tecnologie operative (OT) ad attacchi e a rischi seri”.
John Maddison, EVP Products and CMO di Fortinet fa invece notare che: “sebbene le aziende OT abbiano migliorato la propria postura complessiva in materia di sicurezza informatica, i team di networking e IT sono sottoposti ancora a una grande pressione”. A suo parere le aziende dovrebbero migliorare ulteriormente nella sicurezza OT e nell’integrazione IT/OT per ridurre il rischio complessivo legato alla sicurezza.
Ultimo dei report di security che conferma una tendenza significativa, è il report ICS Threat Landscape pubblicato a cura dell’ICS CERT (Industrial Control System, Computer Emergency Response Team) di Kaspersky nel 2022, secondo cui oltre il 40% dei sistemi OT è stato colpito da malware.
L’ultimo semestre del 2022 è stato il periodo con il più alto tasso di attacchi contro i vari settori industriali, con il 34,3% dei computer interessati. I malware intercettati nel periodo di osservazione sono risultati appartenenti a 7.684 famiglie diverse all’interno di sistemi per l’automazione industriale, (building automation, automotive, oil&gas, energia e ingegneria per citare alcuni esempi).
Nel complesso, il 2022 si è rivelato l’anno con la più alta percentuale di computer OT colpiti da malware (40,6%). In aggiunta alle evidenze e per sottolineare cause frequenti degli attacchi, soprattutto quelli silenti di tipo APT (Advanced Persistent Threat) il team ICS CERT elenca problemi legati a misure di sicurezza insufficienti, difficoltà ad effettuare gli aggiornamenti e la configurazione delle soluzioni di sicurezza informatica oltre ad alcune vulnerabilità afferenti al fattore umano.
Security by design nel mondo OT e IoT industriale: la sfida per Industria 4.0
Previsioni sulle minacce ai sistemi OT
Il team ICS CERT di Kaspersky ha condiviso le previsioni sulle minacce ai sistemi di controllo industriale.
Secondo gli esperti, la digitalizzazione verso una maggiore efficienza in IIoT e Smart devices, compresi i sistemi per la manutenzione predittiva e la tecnologia digital twin (letteralmente gemello digitale, consta di un sistema di simulazione che permette analisi di scenari what if n.d.r.) farà aumentare la superficie di attacco. In particolare potrebbero aumentare gli attacchi ai Computerized Maintenance Management System (CMMS), inizialmente osservati nella prima metà del 2022.
Invece, la progressiva dismissione degli apparati on premise e il ricorso alle infrastrutture cloud potrebbe contribuire aumento della minaccia proprio in quest’ultimi ambienti digitali.
L’influenza geopolitica della guerra russo/ucraina potrebbe incidere negativamente sulle campagne da parte di paesi avversari e sulla crescita dell’attività degli hacktivist che “lavorano” per programmi politici interni ed esterni, con conseguenze nell’ambito delle minacce alle infrastrutture critiche.
Altre conseguenze potrebbero essere osservate in relazione alla qualità del rilevamento delle minacce o alla qualità delle informazioni sulle minacce, a causa di interruzioni della comunicazione tra sviluppatori e ricercatori di sicurezza informatica situati in paesi attualmente in conflitto.
Questo comporterebbe attribuzioni di attacco non supportate e tentativi governativi di controllare le informazioni su incidenti, minacce, e vulnerabilità.
L’ Agenzia per la Sicurezza Cyber e delle infrastrutture (CISA) americana pubblica sistematicamente gli avvisi sulle vulnerabilità critiche ai sistemi di controllo industriale, ben conscia di quanto tali sistemi siano un costante bersaglio potenziale. Il tema è così urgente e le vulnerabilità o le criticità sui prodotti, così frequenti, che solo guardando a luglio 2023 sul sito della CISA si contano un primo gruppo di tre avvisi il 6 luglio, un gruppo di quattro avvisi pubblicati l’11 luglio, uno il 12 luglio, il 13 luglio un nuovo gruppo di nove avvisi, altri sette avvisi relativi a diversi prodotti ed altrettante aziende interessate il 18 Luglio e infine il 20 luglio è stato rilasciato un avviso relativo ad uno dei prodotti della Schneider Electric, per un totale complessivo di 25 avvisi in un mese, quasi uno al giorno…..Per l’Italia è invece il CSIRT dell’ACN ad emettere avvisi e aggiornamenti di sicurezza sui prodotti vulnerabili.
L’AI e le minacce di nuova generazione
Hafiz Sheikh Adnan Ahmed, professionista di sicurezza (GDPR-Certified Data Protection Officer, ISO MS Lead Auditor, ISO MS Lead Implementer) ha evidenziato il trend delle minacce di nuova generazione puntando l’attenzione sullo sfruttamento da parte dei criminali di sistemi di AI.
Naturalmente i sistemi OT non potranno sottrarsi da questa tendenza. Gli usi più frequenti dell’AI nelle campagne malevole riguardano: identificazione di sistemi con una sicurezza debole o che potrebbero contenere dati preziosi tra i milioni di computer e reti connessi a Internet; la creazione di campagne numerose di e-mail di phishing personalizzate (spear phishing); l’attuazione di truffe di tipo BEC avanzato, in cui l’AI è stata usata per imitare artificialmente le voci dei dirigenti senior nel tentativo di autorizzare in modo fraudolento le transazioni.
L’uso dell’intelligenza artificiale nella sicurezza informatica viene talvolta definito una corsa agli armamenti perché gli hacker e gli agenti che si occupano di sicurezza fanno a gara per assicurarsi che gli algoritmi più recenti e sofisticati lavorino dalla loro parte piuttosto che nel versante opposto.
L’esperto ricorda che “entro il 2030 il mercato dei prodotti di sicurezza informatica dotati di AI varrà quasi 139 miliardi di dollari, (dieci volte rispetto al valore del mercato del 2021) (fonte CNBC)”.
È facile dedurre, quindi, che per i criminali dediti al cyber crime questo giro d’affari possa rappresentare un succulento boccone a cui mirare e su cui continuare a persistere per garantirsi un lucro sempre crescente.
