Il crescente pericolo rappresentato dagli attacchi informatici alle infrastrutture critiche nazionali è salito nuovamente agli onori della cronaca nel maggio del 2021, quando un piccolo gruppo di hacker ha lanciato un attacco ransomware alla Colonial Pipeline, la più grande rete di gasdotti degli Stati Uniti utilizzata per la distribuzione dei prodotti petroliferi raffinati.
A causa di questo attacco, l’azienda ha dovuto fermare le proprie linee principali per cinque giorni, interrompendo quasi la metà dell’approvvigionamento di carburante per la parte orientale del paese. Ciò ha prodotto una serie di conseguenze negative: i cittadini preoccupati hanno prosciugato le riserve delle stazioni di servizio nel sud-est, le compagnie aeree hanno dirottato i voli verso gli aeroporti con disponibilità di carburante, i commercianti erano preoccupati per l’eventualità di un’inaspettata volatilità dei prezzi e le società di logistica si affrettavano a procurare nuove fonti di carburante.
Dalla lettura degli effetti nefasti causati dall’attacco si evince la peculiarità in termini di ricadute in caso di incidente in danno alle infrastrutture critiche: la vittima principale non è l’azienda, ma la platea di stakeholders esterni (cittadini, clienti e fornitori); pertanto, questi attori devono obbligatoriamente risolvere le criticità che possono causare l’interruzione del servizio.
L’attacco indicato è iniziato con una campagna di spear phishing alle caselle di posta elettronica dei dipendenti della società, ovvero l’invio di e-mail apparentemente da fonti familiari e attendibili. La reazione di alcuni destinatari ha aperto la strada agli aggressori ed ha consentito l’esecuzione di un ransomware sulla rete e la cifratura dei dati.
Ciò ha permesso, a sua volta, un movimento laterale più profondo nel sistema che, mentre l’attacco progrediva, ha consentito di compromettere le credenziali degli utenti. La società ha dovuto, dapprima, spegnere i sistemi colpiti, per evitare la diffusione degli effetti (isolation), e, successivamente, ha anche pagato un riscatto agli aggressori, per consentire il riavvio dell’operatività.
L’unico aspetto insolito di questo attacco è rappresentato dalla circostanza che gli aggressori hanno tentato di scusarsi pubblicando, sul loro sito nel Dark Web, una dichiarazione con cui affermano che i loro obiettivi sono solo di tipo economico e che in futuro avrebbero scelto i loro target con maggiore attenzione.
Le indagini forniranno ulteriori dettagli, ma qualunque essi siano, l’attacco è stato comunque inquietante perché è riuscito a dimostrare che un piccolo gruppo di hacker può interrompere temporaneamente, e inavvertitamente, i flussi di energia verso un importante centro economico con un impatto negativo sul mondo reale.
Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime
Questo attacco ha, ancora una volta, evidenziato il fatto che le società e le economie sono vulnerabili e possono subire gravi ripercussioni, con danni fisici, causati semplicemente da un’interruzione accidentale della loro operatività da parte dei criminali. Il ransomware è generalmente utilizzato per ottenere denaro, di solito attraverso l’estorsione dal settore privato (o, a volte, dagli enti pubblici).
Quando, come in questo caso, i criminali lanciano attacchi così ambiziosi, contro obiettivi i cui manager non sanno esattamente come funzionano i propri sistemi, le conseguenze possono essere gravi e diventare pericolose.
La minaccia di attacchi informatici verso le infrastrutture critiche è diventata rilevante solo di recente, in quanto in passato gli attacchi di questo tipo non implicavano la sicurezza della tecnologia operativa (OT).
La sicurezza degli OT si è sviluppata in risposta alle minacce perpetuate dai nation-state actors. L’attacco alla Colonial Pipeline, tuttavia, dimostra che il quadro è cambiato, in quanto la separazione dei sistemi IT e OT è svanita.
Per cui, un attacco informatico, relativamente poco sofisticato, può interessare tutta l’infrastruttura, interrompendo la funzionalità della rete aziendale, e, di conseguenza, gli aggressori più organizzati possono sfruttare questo vantaggio per perpetrare attacchi più devastanti.
Indice degli argomenti
Resilienza delle infrastrutture critiche: le minacce
Fino a qualche anno fa, le minacce informatiche alle infrastrutture critiche erano note solo come attività svolte dagli Stati nazionali. Gli specialisti presumevano che solo i nation-state actors possedessero le competenze e le risorse necessarie per sviluppare tali minacce. Le risorse solitamente si basavano su tecnologie operative analogiche ed erano relativamente isolate da Internet. L’accesso a tali apparati richiede strumenti specializzati, tecnologia operativa similare, capacità di ricognizione e, persino, l’accesso fisico al sito.
Negli ultimi anni, tuttavia, l’esigenza aziendale di visibilità remota alle operazioni industriali ha portato alla convergenza dei sistemi IT e OT. La trasformazione digitale da un lato ha concesso vantaggi aziendali, tra cui l’accesso remoto e la manutenzione predittiva, dall’altro ha creato nuove vulnerabilità agli attacchi informatici. Al giorno d’oggi, aggressori meno sofisticati sono in grado di minacciare le risorse dell’infrastruttura.
Di recente, un impianto di trattamento delle acque in Florida ha subito un attacco che ha consentito l’aggiunta di idrossido di sodio all’approvvigionamento idrico raggiungendo livelli di tossicità letale (fortunatamente un operatore ha notato l’anomalia ed ha intrapreso per tempo un’azione compensativa risolvendo il problema).
In questo caso l’utente malintenzionato ha sfruttato una piattaforma di accesso remoto dormiente e controllata da password, ha compromesso le credenziali utente, accedendo al sistema connesso ad Internet, e, spostandosi lateralmente, ha raggiunto la rete operativa e ha perpetrato l’attacco finale. Sebbene non sia stata scoperta l’origine di questo attacco, gli esperti concordano sul fatto che il livello di sofisticazione necessario per eseguirlo non fosse particolarmente elevato.
L’attacco alla Colonial Pipeline era mirato ad interrompere l’operatività fino a quando non fosse stato pagato il riscatto. Per l’azienda, tuttavia, l’attacco ha evidenziato l’indeterminatezza sulla sicurezza dei propri sistemi OT, dovuta all’assenza di adeguati controlli, di segmentazione e sicurezza della rete. Negli ambienti di controllo dei processi questo tipo di danno collaterale interrompe la disponibilità, ma può anche compromettere la sicurezza del personale e dei cittadini.
Le tattiche, le tecniche e le procedure utilizzate contro i sistemi IT connessi alla Rete, adesso mettono a rischio i sistemi OT. Le misure di sicurezza poste sul perimetro vengono superate con sempre maggiore frequenza, ciò evidenzia con enfasi che è necessario un nuovo approccio alla resilienza informatica che integri la sicurezza IT e OT.
Come dovrebbero prepararsi le organizzazioni
I recenti attacchi e le violazioni di alto profilo hanno incrementato il livello di consapevolezza delle imprese e ci si aspetta che tutti i governi emanino normative, linee guida e incentivi specifici per affrontare la resilienza informatica e risolvere tutti i problemi legati alla cybersecurity, con particolare riguardo ai fornitori di servizi essenziali.
Le imprese devono, innanzitutto, migliorare la comprensione dei propri sistemi. Il punto di partenza per costruire la resilienza è la conoscenza dell’ambiente operation, delle vulnerabilità e delle soluzioni applicabili. Ciò consentirà alle aziende, inoltre, di comunicare in modo efficace con le agenzie governative, le autorità regolatorie, i clienti e i media, per creare fiducia in caso di incidente.
La nuova minaccia alle infrastrutture critiche è realtà e richiede un’implementazione urgente; un cambiamento radicale sia alle misure di difesa informatiche, che alla capacità di assorbire e gestire gli attacchi operativi. I principi di seguito indicati possono guidare le aziende di infrastrutture critiche ad intraprendere azioni operative e tecniche per costruire la resilienza informatica a livello di organizzazione.
Visibilità, architettura zero-trust, resilienza
Innanzitutto, le organizzazioni devono fissare un livello di visibilità sulle proprie risorse tecnologiche aziendali e sui propri sistemi OT. La parola d’ordine potrebbe essere “Non puoi proteggere ciò che non puoi vedere”, un concetto che diventa rilevante nelle reti delle infrastrutture critiche.
Il processo inizia con l’acquisizione e il mantenimento della visibilità in tempo reale sulle risorse IT e OT delle reti. Una visibilità efficace richiede, inoltre, che le organizzazioni adottino una postura che dia loro maggiori dettagli. I proprietari e gli operatori dei sistemi critici possono inoltre utilizzare linee ad alta fedeltà per i dispositivi in rete per essere in grado di rilevare le anomalie minime di funzionamento. Queste anomalie, anche se marginali, possono indicare potenziali minacce e compromettere lo stato di sicurezza.
L’attacco ransomware alla Colonial Pipeline non ha preso di mira la pipeline, piuttosto i sistemi IT dell’azienda. La mancanza di visibilità sull’interconnessione tra i sistemi IT e OT ha contribuito alla decisione di interrompere l’operatività perché l’amministratore di sistema non poteva essere sicuro che il malware fosse stato isolato. Se fosse stata stabilita la visibilità delle operazioni, tale decisione avrebbe potuto essere confermata o smentita.
Network visibility, consigli e strategie per mettere in sicurezza il perimetro aziendale
In secondo luogo, i proprietari e gli operatori devono accettare il paradigma offerto dall’architettura zero-trust. La maggior parte dei sistemi OT che controllano un’infrastruttura critica sono stati progettati in un momento in cui le reti industriali erano molto meno connesse di quanto non lo siano oggi.
Nell’era digitale, tuttavia, i sistemi IT e OT stanno convergendo rapidamente. Per affrontare questo cambiamento, le organizzazioni devono passare dal mindset “trust but verify” al “verify first”. Gli attaccanti sono in grado di sfruttare le opportunità offerte dall’approccio basato sulla fiducia in quanto riescono a manipolare nativamente la funzionalità dei sistemi di controllo e, contemporaneamente, mantenere lo stato normale.
La ricerca proattiva delle minacce e l’esecuzione di controlli approfonditi possono contribuire a garantire non solo un rapido rilevamento delle minacce, ma anche il contenimento, e prevenire il movimento laterale e, quindi, mitigare l’impatto di un attacco.
L’attacco alla Colonial Pipeline può essere visto come un case study sull’importanza della resilienza. Eventi come questo sono estremamente difficili, se non impossibili, da prevedere, ma si può fare molto per prepararsi a gestirli.
Le organizzazioni devono migliorare la capacità dei loro sistemi di rispondere agli attacchi, ristabilire il controllo e tornare rapidamente all’operatività. La pianificazione degli scenari e il mapping delle minacce possono aiutare le organizzazioni a definire gli effetti primari e secondari degli incidenti.
Queste funzioni possono identificare in anticipo le azioni da intraprendere come risposta ad un evento dirompente.
Quello che può effettivamente fare la differenza è pensare in anticipo alle azioni mirate per creare ridondanza dei punti critici o alle capacità di espandere l’operatività nei momenti critici.
Il fattore tempo è essenziale durante una crisi.
Le organizzazioni devono sapere cosa fare, devono sviluppare le capacità per farlo e, quindi, testare le loro azioni di risposta agli incidenti. Tutto ciò prima che accada.
Cyber security reattiva o predittiva: differenze e ruolo dell’Agenzia cyber per le scelte giuste
Le attività per le organizzazioni di infrastrutture critiche
Per prepararsi al meglio agli attacchi informatici, le aziende di infrastrutture critiche devono intraprendere azioni preventive e sviluppare un piano completo di crisis management con misure da implementare adottando, ad esempio, il modello di reazione a 1, 3 e 30 giorni.
Queste attività richiedono livelli avanzati di funzionalità dei sistemi di cybersecurity. In caso di ambienti poco sicuri, le organizzazioni dovranno adottare velocemente una postura avanzata alla cyber security basata su modelli proattivi.
Le funzionalità di base sono solo il punto di partenza. Il percorso di maturazione deve passare ad un approccio basato sul rischio, concentrandosi sui rischi che consentono di ridurre il rischio aziendale, e, quindi, alla resilienza olistica, che include la sicurezza, attraverso la progettazione dei processi, dei servizi e delle tecnologie di nuova generazione, e coinvolge i clienti, i partner, le terze parti e gli enti regolatori nella gestione comune della resilienza aziendale.
Le attività preventive includono:
- La mappatura delle interdipendenze IT-OT. Le organizzazioni devono formare una vera comprensione delle interdipendenze dell’ambiente di rete, inclusi i sistemi e le applicazioni principali, scoprire le connessioni intenzionali e involontarie e la sovrapposizione degli ambienti IT e OT. Questa mappatura consentirà alle organizzazioni di scoprire rapidamente le implicazioni risultanti da un attacco informatico contro qualsiasi parte dell’organizzazione e intervenire in maniera puntuale alla risoluzione dell’incidente.
- Effettuare simulazioni. Le organizzazioni devono costantemente provare e migliorare gli scenari di risposta agli incidenti informatici. In genere, le simulazioni sono più efficaci quando coinvolgono le terze parti, come le forze dell’ordine, gli altri soggetti pubblici, i clienti e i fornitori critici. Le simulazioni dovrebbero includere le decisioni fondamentali, in particolare quando isolare o arrestare le parti della rete e se interagire con gli aggressori.
- Apportare le modifiche necessarie per raggiungere la resilienza informatica. La mappatura e le simulazioni possono aiutare le organizzazioni a migliorare il proprio modello operativo e la struttura di governance. Entrambe le attività faciliteranno l’identificazione e l’attuazione delle modifiche necessarie per raggiungere la maturità informatica attraverso l’architettura integrata IT e OT. Oltre alla maturità informatica, l’organizzazione può ottenere una maggiore chiarezza sui ruoli, le responsabilità e il processo decisionale che costituirà il nucleo d’intervento in caso di un reale attacco informatico.
Conclusioni
Le evidenze suggeriscono che l’attacco ransomware alla Colonial Pipeline non è stato un attacco informatico particolarmente sofisticato, eppure è riuscito a paralizzare una parte significativa della fornitura di carburante della più grande economia del mondo. Questo evento deve rappresentare l’invito ai governi per intervenire su questa tematica.
Questo incidente è l’ennesima dimostrazione che se viene colpita un’infrastruttura critica, il problema non è rilevante solo per l’organizzazione vittima, ma può diventare vitale per l’economia e la sicurezza di una nazione.
Gli investimenti necessari per proteggersi veramente non possono più essere ritardati. L’Italia, come altri paesi europei, ha intrapreso la strada giusta: dal punto di vista regolatorio ha emanato normative e linee guida specifiche, dal punto di vista organizzativo ha deliberato l’istituzione di un’Agenzia per la cybersicurezza nazionale (Acn), che avrà il compito di avrà di predisporre la strategia di cybersecurity per sostenere lo sviluppo della digitalizzazione del paese, del sistema produttivo e delle PA, e, infine, dal punto di vista economico ha previsto una serie di incentivi e investimenti appositi.