La resilienza operativa e la capacità di gestire il rischio informatico nei servizi critici La resilienza operativa e la capacità di gestire il rischio informatico nei servizi critici
La capacità di modificare il software di controllo di una rete elettrica ed, eventualmente, interrompere il sistema di alimentazione, potrebbe essere uno dei modi... La resilienza operativa e la capacità di gestire il rischio informatico nei servizi critici

La capacità di modificare il software di controllo di una rete elettrica ed, eventualmente, interrompere il sistema di alimentazione, potrebbe essere uno dei modi più veloci per distruggere l’economia di un paese. Sebbene possegga sistemi ridondati e di backup, il settore energetico non è capace di prestazioni affidabili nel caso in cui i componenti principali venissero gravemente danneggiati da molteplici attacchi mirati. La maggior parte dei sistemi di controllo industriali utilizzati nella rete elettrica sono collegati a Internet: ciò li rende vulnerabili agli attacchi informatici. Tali accessi potrebbero potenzialmente consentire di regolare le impostazioni in remoto. Poiché la rete elettrica è un grande sistema di reti interconnesse, uno o più utenze potrebbe facilmente destabilizzare grandi aree della griglia.

 
L’energia elettrica è in grado di fornire servizi o di ripristinarli durante le emergenze naturali. Soltanto durante la prima guerra mondiale, l’industria dell’energia elettrica ha avuto a che fare con il sabotaggio. Gli sviluppi internazionali hanno mutato il paradigma della minaccia per le infrastrutture legate all’alimentazione elettrica. Considerando che l’atto terroristico in se mira a creare effetti psicologici ridondanti, danni economici e sconvolgimenti sociali, i sistemi di trasmissione e distribuzione dell’energia elettrica diventano un bersaglio primario. Le postazioni remote di molti linee elettriche di trasmissione, sottostazioni, sistemi di comunicazione o forniture di gas naturale per la generazione della corrente, consentono agli aggressori di svolgere le loro operazioni con poco o nessun rischio. La selezione dei punti per l’attacco e la stima delle conseguenze sono alla portata di elementi tecnicamente addestrati nella comunità terrorista. Impianti ed attrezzature possono essere danneggiate o distrutte da una varietà di mezzi, mentre i sistemi elettrici sono vulnerabili alle incursioni di cyber. Sebbene strutturato su asset di back-up, il settore energetico non è capace di prestazioni affidabili nel caso in cui i componenti principali venissero gravemente danneggiati da molteplici attacchi mirati. La maggior parte dei sistemi di controllo industriali utilizzati nella rete elettrica sono collegati a Internet: ciò li rende vulnerabili ad un attacco informatico. Tali accessi potrebbero potenzialmente consentire di regolare le impostazioni in remoto. Poiché la rete elettrica è un grande sistema di reti interconnesse, uno o più utenze potrebbe facilmente destabilizzare grandi aree della griglia. La capacità di riscrivere il firmware di una rete elettrica ed, eventualmente, interrompere il sistema di alimentazione, potrebbe essere uno dei modi più veloci per distruggere l’economia di un paese. Compromettere un firmware è comunque una sfida tecnica che richiede la conoscenza del codice sorgente del produttore. Alcuni malware non hanno necessità dell’accesso ad internet e possono diffondersi tramite air-gap. L’Air-gapping è una pratica di sicurezza tipicamente utilizzata negli impianti nucleari.

L’attacco in Ucraina

Il 23 dicembre del 2015, un black-out ha interrotto l’energia elettrica in una vasta area dell’Ucraina occidentale: 700 mila abitazioni sono rimaste senza elettricità per alcune ore. Secondo le tre società elettriche della zona, si sarebbe trattata di una “interferenza esterna nei sistemi principali”. Tuttavia, in una successiva analisi congiunta condotta dalla Central Intelligence Agency e dalla National Security Agency sono stati rilevati campioni di software dannoso recuperati dalle reti della società attaccate. Il software dannoso rilevato nei sistemi delle società ucraine si chiama Prykarpattyaoblenergo. Quest’ultimo presenta delle affinità con un malware testato nel 2014, contro alcuni impianti energetici americani. Quell’attacco venne descritto dal Dipartimento della Sicurezza Nazionale come un malware, denominato BlackEnergy, progettato per attaccare numerosi ambienti ed i sistemi di controllo industriali. Il cyber-attacco in Ucraina è stato sincronizzato e coordinato, probabilmente eseguito dopo una estesa ricognizione delle reti da colpire. I cyber-attacchi principali sono avvenuti contro tre aziende, a distanza di trenta minuti e hanno influenzato più strutture centrali e regionali. L’attacco è avvenuto da molteplici postazioni, utilizzando strumenti di amministrazione remota a livello di sistema operativo o sistema di controllo industriale a distanza (ICS/ industrial control system) e tramite connessioni di rete privata virtuale (VPN/ virtual private network). Prima di eseguire l’attacco, si ritiene che gli attori abbiano acquisito delle credenziali legittime così da facilitare l’accesso remoto. A conclusione del cyber-attacco, è stata eseguita una sovrascrittura nel settore di avvio principale con il malware KillDisk. Il malware KillDisk cancella i file selezionati sui sistemi di destinazione e corrompe il master boot record, rendendolo inutilizzabili. È stato inoltre rilevato che anche il firmware dei dispositivi Ethernet è stato corrotto, così come l’interfaccia di gestione remota dei gruppi di continuità.

Il malware BlackEnergy dovrebbe essere stato consegnato tramite e-mail di phishing, probabilmente in allegati Microsoft Office. Si sospetta che BlackEnergy possa essere stato utilizzato come vettore di accesso iniziale per acquisire le credenziali legittime.

Lo scenario cyber Pearl Harbor

La nostra società si basa sull’energia elettrica. Internet, trasporti, sanità, conservazione degli alimenti, telefonia, etc…etc… Un attacco hacker localizzato contro i principali generatori elettrici di un’area strategica, comporterebbe un immediato sovraccarico della rete, provocando interruzioni secondarie a cascata. Mentre alcune aree potrebbero recuperare in fretta, altre resterebbero senza elettricità per settimane. I ricercatori dell’ l’Università di Cambridge e del Lloyd di Londra hanno calcolato che un blackout prolungato sulla East Coast americana lascerebbe 93 milioni di persone nel buio, provocherebbe centinaia di milioni di dollari di perdite, miliardi di dollari in crediti di assicurazione e causerebbe un aumento dei decessi negli ospedali. La ricaduta geopolitica potrebbe essere ancora peggiore. I fornitori di energia noterebbero solo una rapida successione di linee di trasmissione sovraccariche, simile al blackout del 2003 causato da un bug nel software ordinario.

La resilienza operativa e la capacità di gestire il rischio informatico nei servizi critici

I sistemi di controllo industriali connessi alla rete, sono utilizzati per regolare il flusso dell’energia elettrica in remoto. Un trojan DDoS, come Mirai ad esempio, sfrutta proprio i dispositivi connessi ad internet protetti da password predefinite e le criticità del protocollo Telnet. La minaccia botnet per i dispositivi IOT è reale. Da rilevare che diversi attacchi DDoS sono stati lanciati nei mesi scorsi contro le principali aziende americane, probabilmente nel tentativo di testare i loro sistemi di sicurezza. Il modello base di un attacco DDoS non è una novità, mentre è in costante crescita il numero di IOT o Internet of Things, dispositivi (dai PC ai router di casa ai frigoriferi intelligenti) connessi alla rete con password predefinite e vulnerabilità ben note. Basti pensare che il volume di attacchi DDoS è più che raddoppiato negli ultimi 18 mesi ed è prossimo ai 650 gigabyte al secondo. Tali capacità sono state rese possibili grazie ai dispositivi IOT, a milioni connessi in rete ed in crescita costante. Sarebbe opportuno ricordare che nel maggio del 2009, nel suo primo importante discorso sulla sicurezza informatica Obama disse: “Sappiamo che operatori informatici hanno sondato la nostra rete elettrica. Sono gli stessi che hanno fatto sprofondare intere città nel buio”. Secondo la CIA, almeno in un caso l’interruzione di corrente in alcune città americane è stata provocata da hacker la cui identità resta sconosciuta.
Il primo passo nella sicurezza informatica è la realizzazione di migliori pratiche di gestione delle risorse informative. Le organizzazioni dovrebbero sviluppare ed esercitare piani di emergenza che consentano il funzionamento sicuro o l’arresto dei processi operativi nel caso in cui i sistemi venissero violati ed operassero in contrasto ai protocolli di sicurezza.
Sfruttando ad esempio le applicazioni whitelist (AWL), si sarebbe in grado di rilevare e prevenire tentativi di esecuzione di malware o prevenire il caricamento da parte di attori maligni. La natura statica di alcuni sistemi, come ad esempio i server di database e computer HMI, rendono questi candidati ideali per eseguire AWL. Tuttavia, il problema principale resta la rete. Le aziende dovrebbero isolare le reti ICS da quelle non attendibili, in particolare Internet. Tutte le porte non utilizzati dovrebbero essere bloccate e disattivati tutti i servizi inutilizzati. Le organizzazioni dovrebbero anche limitare la funzionalità di accesso remoto o consentire ove possibile poiché una connessione in tempo reale alle rete esterne.
Sarebbe opportuno non limitarsi alla sola lettura dalle configurazioni o dalle autorizzazioni software, ma un minuzioso monitoraggio dell’ accesso. Le connessioni remote persistenti non dovrebbero essere consentito alla rete di controllo. L’accesso remoto dovrebbe essere controllato dall’operatore per periodo di tempo limitato. In ogni caso, un’autenticazione a più livelli è imperativa, evitando schemi simili.
Così come nella rete comuni, i domini sistema possono essere oggetto di una miriade di vulnerabilità che possono fornire gli attori maligni una backdoor per ottenere l’accesso non autorizzato. Spesso, le backdoors sono semplici carenze dell’architettura perimetrale o funzionalità integrate che vengono dimenticati, inosservati, o semplicemente ignorati. Attori dannosi spesso non richiedono l’accesso fisico a un dominio e di solito sfruttano tali criticità. Le moderne reti, in particolare quelle in campo nei sistemi di controllo, spesso hanno capacità intrinseche che vengono distribuite senza un’analisi di sicurezza sufficiente ed in grado di fornire l’accesso ad attori dannosi una volta che vengono scoperti. Questi backdoor possono essere creati accidentalmente in vari luoghi della rete, ma è il perimetro della rete a destare grande preoccupazione. Una moderna architettura IT dovrà fornire tecnologie necessarie per fornire un accesso remoto robusto. Queste tecnologie includono spesso firewall ed accesso wireless.
Sebbene le reti interconnesse migliorano le comunicazioni all’interno dell’architettura basata su sottosistema di un’infrastruttura molto più grande e più complessa, questi componenti palesano vulnerabilità alla sicurezza particolarmente attraenti per un attore dannoso. Un singolo punto corrotto può fornire accesso esteso a causa di fiducia preesistente stabilite nella rete interconnessa.
La condivisione delle informazioni e l’analisi svolgono un ruolo critico nella sicurezza informatica. L’iniziativa Automated Indicator Sharing (AIS) è uno sforzo per creare un sistema che condivide informazioni sui tentativi di manomissione, come ad esempio gli indirizzi IP dannosi o l’indirizzo del mittente di una e-mail di phishing, rilevati da un’agenzia federale in tempo reale con i partner.



No comments so far.

Be first to leave comment below.

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Solve : *
21 + 6 =