Gli elementi spaziali euro-atlantici, inclusi satelliti e centri di comando delle missioni, sono frequentemente bersaglio di attacchi cibernetici. Malgrado l’avanzamento tecnologico del settore spaziale, i progressi nella sicurezza informatica non hanno tenuto il passo con quelli di altri settori tecnologicamente avanzati.
La presenza diffusa di vulnerabilità e percorsi di attacco non monitorati evidenzia le significative difficoltà che i sistemi spaziali, dai nanotecnologici CubeSats ai rover ultravanzati, incontrano in termini di sicurezza delle informazioni digitali. Nonostante alcune di queste problematiche siano comuni ad altri settori, i sistemi spaziali USA-UE si confrontano con un’enorme pletora di rischi InfoSec che rende più complesse le capacità risolutive del settore.
Le vulnerabilità InfoSec delle infrastrutture spaziali euro-atlantiche
Le infrastrutture critiche sono definite, secondo i massimi esperti mondiali del Dipartimento della Sicurezza Interna degli Stati Uniti, come l’insieme di settori fondamentali di una qualsiasi nazione che, se attaccati, porterebbero ad un relativo periodo di paura e caos. Tra questi, la maggior parte delle infrastrutture critiche si basa anche sui sistemi spaziali: definiamo “sistemi spaziali” come risorse che esistono nello spazio orbitale, suborbitale o esterno, o sistemi di controllo cielo-crosta terrestre sulla Terra, compresi i siti di lancio, adatte per tutte le predette risorse.
Le agenzie spaziali e le organizzazioni di risorse spaziali sono enti euro-atlantici che costruiscono, gestiscono, manutengono o possiedono i sistemi spaziali euro-atlantici.
La dipendenza delle infrastrutture critiche dai sistemi spaziali
Alcuni esempi della dipendenza delle infrastrutture critiche dai sistemi spaziali includono la dipendenza dell’agroindustria dai satelliti meteorologici e climatici, la dipendenza dell’esercito euro-atlantico dai satelliti di intelligence, la dipendenza del settore dei trasporti dai satelliti del sistema di posizionamento globale (GPS) e le numerose industrie che si affidano alle risorse spaziali per un tempo determinato che vanno, ad esempio, dalla trasmissione di dati di rete al settore finanziario, ai distributori di energia, e così via.
Diversi settori delle infrastrutture critiche euro-atlantiche dipendono dai sistemi spaziali per le comunicazioni globali: quotidianamente ci affidiamo anche ai sistemi spaziali per le scoperte scientifiche, come quelle dei grandi telescopi internazionali, che spesso richiedono attrezzature altamente specializzate e avanzate. Nonostante gli sforzi per migliorare la sicurezza delle informazioni delle infrastrutture critiche euro-atlantiche, c’è stata relativamente poca attenzione verso la cybersecurity dei sistemi spaziali: ad esempio, solamente nel 2013 l’Aerospace Industries Association pubblicò il primo standard di sicurezza informatica del sistema spaziale incentrato sulla sicurezza della catena di approvvigionamento dei sistemi spaziali, ma nessuno è ancora riuscito a capire se esso è stato implementato o no dagli Usa e i suoi Alleati.
Sebbene la sicurezza rafforzata di qualsiasi organizzazione che si basa sugli standard per le infrastrutture critiche possa essere utile per scoraggiare gli attacchi, gli standard euro-atlantici imposti dal National Institute of Standards and Technology (NIST) hanno rappresentato una sfida impegnativa a causa dei vincoli di tempo e risorse: tuttavia, i sistemi spaziali non hanno quasi mai seguìto quegli standard, anche per il fatto che i sistemi spaziali risultano essere molto più complessi delle infrastrutture critiche da un punto di vista dello sviluppo tecnologico, della proprietà e della gestione. Di conseguenza, l’InfoSec dell’industria spaziale euro-atlantica è tutt’oggi fallace nell’orientamento di standard e, in ultima analisi, verso le politiche che applicano questi standard.
Rischi “nascosti” tra le stelle: le precarietà InfoSec dei sistemi spaziali Usa-Ue
Inizialmente, le infrastrutture spaziali, come tutte le altre tecnologie, erano composte essenzialmente da sistemi analogici: essi non presentavano un alto numero di falle di information security poiché mancavano i software con vulnerabilità e la possibilità di accedergli da remoto. Al contrario, con l’avvento dell’era digitale, anche i sistemi spaziali si sono digitalizzati: come la maggior parte dei sistemi dell’epoca, con l’InfoSec che generalmente non era considerata (e certamente non era) prioritaria.
Ad esempio, quando fu creato il protocollo di controllo della trasmissione TCP/IP, la sua sicurezza non fu mai minimamente ponderata. Incredibile ma vero, anche quando le agenzie spaziali e le organizzazioni di sistemi spaziali pensavano alla sicurezza delle informazioni dei loro sistemi, essa viene quasi sempre trascurata. Questa sconcertante verità si è evidenziata sin dai tempi della costellazione di satelliti Iridium che forniva servizi telefonici e/o satellitari al Pentagono: quando essa fu progettata, non furono mai implementati da sùbito parametri speciali di sicurezza delle informazioni digitali perché gli ingegneri elettronici pensavano che la tecnologia spaziale, troppo avanzata tecnologicamente, non poteva essere compromessa da pirati informatici terrestri.
Questa gravosa “ingenuità” non era una tantum per gli sviluppatori della costellazione Iridium poiché l’InfoSec fu tralasciata negligentemente dall’intera industria spaziale per decenni, addirittura fino ai primi anni 2000: ad esempio, gli operatori e i produttori di sistemi di controllo industriale citavano sempre l’invulnerabilità dei protocolli proprietari dei loro sistemi, troppo complicati e oscuri da violare: questo approccio fu battezzato, appunto, “sicurezza tramite segretezza (security through obscurity)”.
Di per sé, i problemi di information security per i sistemi spaziali risiedono nell’unione congiunta di diverse precarietà: la mancanza di norme e regolamenti USA-UE standardizzati sulla sicurezza delle informazioni digitali, una catena di approvvigionamento complessa legata ad un ciclo di vita sistemico prolungato, un’irreperibile forza lavoro (anche cybersec) altamente specializzata, vincoli di risorse economiche, etc., tutto ciò rende l’InfoSec spaziale una sfida unica e un obiettivo altamente attraente per gli attaccanti malevoli.
Inoltre, è noto anche al grande pubblico che i sistemi spaziali euro-atlantici sono fondamentali per le infrastrutture critiche che sostengono le nostre economie globali, vista anche le presenze militari, americana e comunitaria, nelle molteplici missioni diplomatiche nel mondo.
In questo contesto geopolitico, si potrebbe ipotizzare che l’obiettivo di un potenziale attaccante cibernetico sia quello di minimizzare la sua esposizione alle autorità pubbliche (anche mediante server proxy) e massimizzare l’impatto devastante del suo attacco: ad esempio, potrebbe voler portare caos e confusione cercando di paralizzare il commercio degli Stati Uniti o di uno Stato UE, hackerando, forse, le aziende di e-commerce come Amazon, Ebay, Alibaba, … e anche interrompendo i pagamenti online come PayPal, Satispay, … od ostacolando anche i provider di servizi online delle carte di credito/debito Visa, Mastercard, Maestro.
Tuttavia, è noto a tutti che queste aziende investono pesantemente nella sicurezza delle informazioni grazie a sistemi di difesa delle reti costantemente monitorate dai loro esperti InfoSec. Ma dal punto di vista di uno scaltro pirata informatico, un percorso più semplice per compromettere l’intero sistema commerciale e dei pagamenti degli Stati Uniti e/o dell’Unione Europea sarebbe quello di sfruttare le falle del sistema più vulnerabile, quello meno aggiornato da decenni: i sistemi satellitari euro-atlantici di operatori internazionali che forniscono, ad esempio, connettività ai colossi ’e-commerce, ai sistemi di carte di credito dei punti-vendita, alla gestione delle scorte alimentari, ai servizi di videoconferenza, e così via: la capacità di danneggiare e/o estorcere più sistemi compromettendo uno singolo, il fallace “colabrodo” spaziale, lo rende oggigiorno un obiettivo dannatamente attraente.
I potenziali vettori di attacco contro un sistema spaziale
Inoltre, esistono molteplici potenziali vettori di attacco contro qualsiasi sistema spaziale: dall’architettura sistemica alla catena di approvvigionamento, … ; inoltre, per il corretto funzionamento di un qualsivoglia sistema spaziale ci si basa su componenti multiple sprotette: quindi vi sono innumerevoli, potenziali vettori di attacco. Infatti, ciascuno di essi viene spesso progettato, prodotto, implementato e manutenuto da organizzazioni diverse con standard diversi: il grado di sofisticazione dell’information security di una qualsiasi di esse può variare notevolmente, e non è sempre chiaro quando le informazioni di cybersec vengano condivise nell’industria spaziale a livello sistemico.
Questi problemi sono aggravati dalla diversificata catena di approvvigionamento in cui i gestori hanno il pieno controllo dei vari componenti del sistema spaziale. Un piccolo difetto o attacco su qualsiasi componente può essere disastroso per una missione spaziale o causare fallimenti a cascata in tutto il sistema; inoltre, alcuni sistemi richiedono molteplici produttori con varie specializzazioni per sviluppare tecnologie variegate con un singolo “integratore” che andrà ad unire tutti i componenti in modo tale da funzionare come un “sistema monolitico”. Di fatto, le parti specialistiche necessarie per gli asset spaziali non sono progettate da un unico produttore ma, per contenere i costi, le agenzie spaziali di Stato euro-atlantiche acquistano le componenti necessarie direttamente dai cataloghi di fornitori certificati e specializzati di tutto il mondo (fino a qualche tempo fa anche russi e cinesi).
È allarmante sapere che il processo di approvazione e certificazione dei citati fornitori non include necessariamente standard di controllo della cybersec, ma riguarda invece solo il controllo di qualità fisico: quando ad esempio l’ESA (European Space Agency) acquista una parte da un fornitore certificato, ne sa pochissimo sull’identità del tecnico che ha sviluppato la scheda di circuito integrato o su quella dell’ingegnere software che ha scritto il codice sorgente componentistico.
Questa mancanza di trasparenza crea numerosi rischi InfoSec lungo l’intera filiera e catena di approvvigionamento sistemica: infatti, le organizzazioni di asset spaziali lavorano generalmente con diversi centri di ricerca che possono “creare”, a loro volta, vulnerabilità “involontarie”; e le collaborazioni internazionali tra più partner esacerbano questi potenziali problemi di sicurezza, per cui le lunghe catene di approvvigionamento rendono difficile localizzare il responsabile operativo e/o finanziario di un’eventuale attacco che creerebbe, ad esempio, una botnet tra sistemi operativi intercomunicanti terra-spazio delle infrastrutture critiche dell’area euro-atlantica, con relative conseguenze nefaste.
Inoltre, a differenza della maggior parte dei settori di infrastrutture critiche, gli asset spaziali non sono di proprietà delle stesse organizzazioni che gestiscono l’infrastruttura, il che solleva domande relative alla responsabilità in caso di attacco: anche a causa di questo complesso ecosistema di responsabilità della sicurezza delle informazioni digitali del proprietario, dello sviluppatore, dell’operatore e dell’utente, ci sono molte possibilità per un attaccante di accedere al controllo dei satelliti vittima.
Per di più questo “ciclo della responsabilità”, in caso di gravi attacchi, non è neanche coperto dalla possibilità risarcitoria visto che le maggiori grandi compagnie assicurative internazionali, conscie dei predetti rischi, si defilano…; e con molteplici partecipanti attivi coinvolti in questo ciclo si ha che esse, paradossalmente, garantiscono assicurativamente solo l’estensione della durata dell’asset stesso: infatti, le missioni nello spazio possono durare decenni e, a causa di ciò, le preoccupazioni per le minacce InfoSec vengono così aggravate “ad aeternum”.
Infatti, gli asset spaziali sono costruiti per durare e, poiché sono funzionali per lunghi periodi in quanto “mission critical”: il lunghissimo tempo di obsolescenza di un sistema componentistico spaziale non è un’opzione eliminabile, e questo fattore rende difficile, se non impossibile, correggere i difetti di sicurezza dei beni spaziali scoperti. E dato che si impiegano decenni per progettare e costruirne nuovi, i componenti che vengono “embeddati” in un sistema spaziale potrebbero contenere parametri di sicurezza obsoleti al momento del loro lancio o della loro messa in funzione.
I mancati investimenti spaziali dei progettisti istituzionali negli asset celesti
Per proteggere adeguatamente un sistema spaziale che andrà in missione, è importante comprendere come esso funziona e le varie possibilità che un attaccante malevolo possa irrompere nell’asset: tutto ciò richiede che i progettisti istituzionali dei sistemi spaziali, Stato per Stato euro-atlantico, affidino e istruiscano una classe separata di esperti in sicurezza della tecnologia operativa che si differenzi dai responsabili dell’infrastruttura IT interna, come la gestione dei dati, i server e le reti interne, oltre allo stanziamento di molteplici fondi strutturali.
Ad oggi, questa semplice suddivisione viene ignorata dalla maggior parte delle agenzie spaziali e delle organizzazioni di sistemi spaziali, lasciando il tutto in balìa di gravi vulnerabilità che gli specialisti meramente componentistici non possono comprendere e/o evitare durante la fase della loro progettazione dei componenti, ovviamente non in funzione dell’InfoSec cartaceamente tanto auspicata.
Inoltre, a dire il vero, gran parte della preoccupazione del management delle agenzie spaziali euro-atlantiche vanno tutte alla parte economica, cioè al reperimento delle risorse a favore del successo delle missioni, rendendo il bilancio a favore della cybersecurity una voce alquanto “sgradita”: questo ci spiega ora il motivo per cui non si investano risorse extra per il personale di sicurezza delle informazioni e quindi, senza budget assegnati per le attività antipiratesche, gli ingegneri componentistici devono capire da soli le esigenze InfoSec ma, sfortunatamente, solo pochissimi sono stati adeguatamente formati per identificare eventuali falle di sicurezza, oltreché ad essere vincolati dal tempo impiegato nelle loro attività scientifiche, esacerbando la ciclica e “involontaria” creazione di minacce cyber.
Un’altra sfida a livello organizzativo totalmente ignorata dai progettisti istituzionali delle missioni spaziali è il controllo dell’accesso dei dipendenti alle informazioni sensibili: questo problema evidenzia anche il mancato investimento nelle molteplici competenze di nicchia richieste per sviluppare questi sistemi e il pletorico numero di risorse necessarie per completare un progetto.
L’accesso diffuso per sviluppare un bene spaziale aumenta la necessità di procedure di controllo della gestione degli accessi: inoltre, molti dipendenti di agenzie governative spaziali sono, ad esempio, continuamente soggetti ad attacchi di phishing che, quando hanno successo, rivelano informazioni sensibili che possono essere utilizzate per compromettere gli asset spaziali e, quindi, il grande numero di persone che necessitano di tale accesso a tali dati sensibili li lega ad un rischio continuo, non monitorabile; nonostante ciò non si riesce ancora a sollecitare in modo coeso e rigoroso, la necessità di standard internazionali di funzionamento in totale sicurezza (anche) per l’accesso ai sistemi spaziali è ancora appesa al palo.
Infatti, mentre i produttori e gli operatori di server di dati iniziarono a preoccuparsi della sicurezza già nei primi anni 2000 dopo che gli attacchi informatici contro questi sistemi furono resi pubblici, influenzando negativamente il loro giro d’affari, i moderni progettisti istituzionali degli asset spaziali sono rimasti molto indietro. E nonostante la maggior parte delle industrie elettroniche ed informatiche abbia già adottato schemi di crittografia standard per l’archiviazione e il trasferimento dei dati già negli anni ’90, in quegli anni i progettisti e i produttori di tecnologia spaziale facevano resistenza verso i maggiori investimenti preventivi in information security.
Potremmo speculare che questa “cyber-resistenza” fosse una funzione dei margini di profitto più bassi che i sistemi spaziali ottenevano rispetto ai prodotti commerciali o ai sistemi di difesa venduti dai privati ai Governi. Inoltre, le tecniche InfoSec come la crittografia richiedono più potenza di elaborazione per poter funzionare al meglio: in molti sistemi spaziali orbitali o suborbitali la potenza di elaborazione dei calcolatori e la larghezza di banda venivano ritenute risorse molto preziose e, soprattutto, scarse rispetto alla capacità computazionale delle macchine terrestri.
Inoltre, per i progettisti istituzionali maggiormente “anti-investimenti”, le innovazioni dei sistemi spaziali venivano (e vengono) ancora etichettati come “lavori di pura passione in gruppo” e/o “progressi avvenuti in nome della scienza”, oltre al fatto che per decenni gli sviluppatori in orbita della tecnologia spaziale non prendevano mai in considerazione la seppur remota possibilità che qualche attaccante cibernetico sulla Terra volesse piratare i loro progetti “di alta quota”.
Qualcosa si muove lassù: i primi audit nasa e le ombre InfoSec dell’industria spaziale privata
All’interno della comunità euro-atlantica dell’industria spaziale, la mancanza di attenzione alla sicurezza informatica è risaputa ma le risposte alle minacce alla sicurezza informatica sono state variabili. Un audit della NASA nel 2022 ha rivelato la necessità di una revisione dei loro standard e protocolli di sicurezza informatica: esso ha citato diversi attacchi agli asset spaziali della NASA, che per ovvie ragioni di sicurezza non sono mai stati pubblicati.
D’altro canto, la NASA ha intrapreso da alcuni diversi passi per migliorare la sicurezza dei suoi asset spaziali, implementando politiche di controllo degli accessi più rigorose tra i loro fornitori e ingegneri ma creando specifici team nei suoi centri di sviluppo spaziale che lavorano specificamente con la sicurezza dei sistemi di missione: ad esempio, è lodevole l’iniziativa del Jet Propulsion Laboratory della stessa NASA che ha creato il Cyber Defense Engineering and Research Group (CDER) per affrontare specificamente i sistemi di missione (come Mars Science Laboratory o Europa Clipper), che spesso hanno requisiti di sicurezza informatica unici rispetto ai tradizionali server protetti da firewall.
Sviluppare team specializzati che hanno competenze uniche nei sistemi di missione consente un’analisi personalizzata e una protezione per questi asset spaziali in modi che i team di sicurezza tradizionali che proteggono server e dati non farebbero: alcuni dei lavori del CDER mirano a sviluppare strumenti e metodologie che si applicano a più sistemi di missione per ridurre i costi e le operazioni di sicurezza.
Recentemente la NASA ha continuato la sua attività crittografica dei dati spaziali facendosi aiutare, già dal 2016, dalla multinazionale telefonica AT&T per la sua Deep Space Network (DSN) che è la base dell’infrastruttura di comunicazione per le missioni spaziali profonde, come i rover e i lander su Marte e le navicelle spaziali che esplorano il sistema solare esterno. La crittografia di AT&T fornisce comunicazioni private che sono visibili solo ad altri con la chiave crittografica: tale crittografia è una prima linea di difesa contro gli attaccanti che mirano a dirottare la DSN o a spiare le comunicazioni inviate su questa rete di comunicazione a lungo raggio; sebbene le comunicazioni DSN siano attualmente crittografate, non è chiaro quanti altri satelliti pubblici e privati stiano utilizzando questa tecnica di sicurezza.
Come la NASA, è probabile che l’industria delle aziende spaziali private più consolidate come SpaceX o Amazon Blue Origin (che ad oggi non hanno mai rilasciato commenti pubblici in materia di InfoSec) stia attualmente migliorando la cybersec ma, come già accennato, è impossibile valutare molte aziende del settore privato che non sono trasparenti riguardo ai loro sforzi di sicurezza delle informazioni digitali.
Ad ogni modo i penetration tester, gli hacker etici e i ricercatori di sicurezza stanno tuttoggi costantemente trovando buchi in vari sistemi di rete satellitare privata, chiedendo alla parte responsabile di correggere le vulnerabilità: come al solito (e sfortunatamente) queste notifiche vengono spesso ignorate a causa della mancanza di larghezza di banda del produttore privato o della loro diffidenza nei confronti degli hacker etici: le complessità del ciclo di vita e le relative questioni di responsabilità discusse in precedenza complicano ulteriormente la correzione delle vulnerabilità.
Se ignorati, gli hacker etici generalmente seguono procedure di segnalazione responsabili ed espongono la vulnerabilità al pubblico dopo un certo periodo di tempo dopo dalla notificato al fornitore privato: annunciando pubblicamente la minaccia, gli hacker etici intendono attirare l’attenzione su larga scala sul problema e costringere il privato alla risoluzione del problema.
Quando ciò colpisce il settore spaziale privato, l’InfoSec degli asset spaziali dell’industria privata risulta sempre inaccessibile, non testabile dalle comunità di sicurezza: ad esempio, SpaceX, Virgin Galactic o altri sviluppatori proprietari (e operatori) di asset spaziali non rendono la loro tecnologia facilmente disponibile per i ricercatori di sicurezza poiché probabilmente sono preoccupati che il loro codice sorgente o le informazioni cadano nelle mani dei concorrenti. Un altro motivo potrebbe essere che essi, i privati, siano preoccupati per quello che i ricercatori di sicurezza troverebbero e, se divulgato pubblicamente, potrebbe rovinare la loro reputazione aziendale. Ancora una volta, il tema della responsabilità di divulgazione delle vulnerabilità e il rischio di rilasciare tecnologia per i test sono sostanziali, ma vi sono troppi ostacoli importanti alla trasparenza sulla cybersec spaziale.
Suggerimenti alle società spaziali pubbliche e private in materia di information security
Arrivati a questo punto, si possono solo suggerire i migliori accorgimenti alle società spaziali pubbliche e private in materia di information security:
- Utilizzare gli standard di sicurezza informatica esistenti e sviluppare nuovi standard per i sistemi spaziali dove necessario provvisti delle migliori pratiche di sicurezza informatica disponibili per gli sviluppatori da seguire quando tentano di progettare e sviluppare sistemi sicuri.
- Stabilire capacità di sicurezza informatica per i sistemi di missione e i sistemi di rete/server interni: è importante stabilire specialisti di sicurezza informatica separati per i sistemi di missione e i sistemi di rete/server interni. La distinzione tra i due sistemi sono la tecnologia operativa rispetto alla tecnologia dell’informazione: ciascuno ha requisiti operativi e di sicurezza molto diversi e deve essere affrontato di conseguenza.
- Costruire una cultura della sicurezza informatica e stabilire una cultura di InfoSec che incoraggi tutti in un’organizzazione a preoccuparsi della sicurezza informatica piuttosto che a fare affidamento interamente su un team di sicurezza informatica designato.
- Valutare il rischio cyber scegliendo le migliori tecniche di mitigazione per ciascuna missione spaziale, considerando la valutazione del rischio verso gli asset spaziali utilizzando un framework di rischio euro-atlantico condiviso nell’identificazione di asset critici, nella valutazione delle vulnerabilità e nella valutazione del panorama delle minacce, classificando le priorità più alte sottoforma di tecniche di mitigazione.
- Cooperare con i ricercatori di sicurezza come gli hacker etici e ricercatori universitari per condurre test di penetrazione dei sistemi, fornendo una risorsa a basso costo alle organizzazioni di asset spaziali che cercano di migliorare la loro InfoSec, includendo la rimozione di queste falle di insicurezza, anche tramite la pubblicità di programmi pubblici e/o privati di bug bounty per i ricercatori di sicurezza, instaurando finalmente un rapporto trasparente e sostanziale con le comunità hackeriali ed accademiche.
Conclusioni
Gli asset spaziali sono sistemi robotici, elettronici ed informatici su cui si basano la maggior parte delle infrastrutture critiche euro-atlantiche: ricercatori, decisori politici e ingegneri sono sempre più preoccupati per la sicurezza informatica delle infrastrutture critiche, ma non includono ancora gli asset spaziali che le abilitano.
Le sfide della sicurezza informatica diventeranno solo più significative man mano che la tecnologia continua ad evolversi e gli attaccanti pirateschi troveranno sempre il collegamento più debole per penetrare nella catena: oggi, gli asset spaziali sono l’anello più debole: è responsabilità dei decisori politici includere a livello legislativo i sistemi spaziali in un contesto di progettazione e implementazione di politiche cyber per consentire la difesa permanente e/o digitale del nostro paese. È tempo di colmare il vuoto della sicurezza informatica anche a livello “celeste”.
(Fonte: G.F. Harvard University)
