Una data che non sarà facilmente dimenticata dagli esperti di cybersecurity è Il 23 dicembre 2015, giorno in cui si scatenò in Ucraina il primo cyberattacco andato a segno contro una rete elettrica.

Gli hacker riuscirono con successo a compromettere i sistemi informativi di tre distributori di energia elettrica e a bloccarne temporaneamente l’operatività, lasciando al buio 230 mila utenze.

Quello che destò stupore fu l’articolazione e la complessità dell’attacco: in primo luogo gli hacker, tramite email contenenti un malware, colpirono obiettivi specifici – tecnica nota come spear phishing – compromettendo le reti aziendali. In seguito presero il controllo dei sistemi SCADA, spengendo le sottostazioni che costituiscono i nodi della rete. Al contempo, l’attacco colpì l’infrastruttura IT, cancellò irreversibilmente i database aziendali e bloccò i call center.

La difesa contro gli attacchi alle infrastrutture critiche, la rete elettrica in primis, è una priorità dell’industria della sicurezza informatica, anche per le particolarità che li caratterizzano: gli attacchi possono mettere a repentaglio vite umane, i sistemi di gestione e controllo sono spesso antiquati e permeabili a intrusioni informatiche sempre più sofisticate.

Secondo Uwe Blöcher (IT Security, Siemens), «gli hacker conoscono molto bene il funzionamento delle infrastrutture critiche e i protocolli di comunicazione. Assistiamo ad un numero crescente di attacchi indirizzati a specifici protocolli di comunicazione industriale».

Altra potenziale fonte di criticità è la proliferazione di dispositivi connessi − in particolare l’Internet of Things – che moltiplica il rischio di attacchi indirizzati alla infrastruttura IT.

È quindi essenziale che le imprese adottino una efficace strategia di difesa, secondo il principio – non nuovo, in realtà – della defense in depth, cioè una protezione su più livelli – si utilizza spesso la metafora del castello medievale − finalizzata ad incrementare la resilienza del sistema attaccato pur in presenza di vulnerabilità impreviste.

Al principio della difesa multilivello si è recentemente affiancato quello di «security by design», mutuato dal concetto di «privacy by design» introdotto dalla normativa europea GDPR sul trattamento dei dati personali, in base al quale le eventuali implicazioni per la cybersecurity devono essere considerate fin dalle prime fasi di progettazione di un nuovo prodotto.

In sostanza, non soltanto un dispositivo, non appena acquistato e prima di essere collegato, dovrebbe essere sicuro, ma la sicurezza dovrebbe essere un tema prioritario per gli utilizzatori, soprattutto quando si tratta di imprese. E qui l’aspetto organizzativo è importante.

Il motivo lo chiarisce Rudolf Henning, responsabile della divisione sicurezza impianti industriali di Siemens. «Spesso non c’è un responsabile della cybersecurity, né un budget chiaramente allocato, né procedure chiare di cybersecurity aziendale». E conclude dicendo che «prima devi fare i compiti a casa e definire una struttura dedicata allo scopo».

In sintesi, anche un sistema IT intrinsecamente sicuro – in quanto la sicurezza è un aspetto già considerato in sede di progetto – rischia di essere vulnerabile agli attacchi, se l’utilizzatore non alloca risorse umane e finanziarie specifiche alla cybersecurity.

Sembrerebbe una precauzione ovvia, ma secondo una recente indagine svolta da Kaspersky Lab, il 48{f33cce34ec76e5ffd44d481e19246886bb23ee3908ad6472e3627d7ab1441a2f} delle organizzazioni non ha messo in atto procedure per la rilevazione o il monitoraggio di eventuali attacchi subiti da parte delle loro reti di controllo industriale.

Fonte: Bloomberg