Un recente attacco informatico da parte di un gruppo di hacker di matrice iraniana, noto come CyberAv3ngers, ai danni dell’Autorità idrica municipale di Aliquippa, nella Pennsylvania occidentale, negli Stati Uniti, ha evidenziato la necessità cruciale di solide misure di sicurezza informatica nel settore delle acque e delle acque reflue. Sebbene questo particolare attacco abbia preso di mira un’entità statunitense, le stesse minacce potrebbero rappresentare un rischio per le infrastrutture critiche in Italia.
Le vulnerabilità delle infrastrutture critiche
L’intelligence attuale indica che CyberAv3ngers è un gruppo attivo che ha messo a segno numerosi attacchi alle infrastrutture idriche ed energetiche israeliane. Al 30 ottobre 2023, il gruppo ha dichiarato di aver compromesso dieci stazioni di trattamento delle acque in Israele ed è responsabile, come minimo, di questa compromissione negli Stati Uniti. Questo attacco, che ha comportato lo sfruttamento di controllori logici programmabili (PLC) Unitronics, serve a ricordare le vulnerabilità che esistono in ogni infrastruttura critica di ogni paese, e possono essere sfruttate per sottrarre dati e compromettere il servizio pubblico, soprattutto quando si assiste a un aumento delle prove di guerra informatica a livello globale.
Le raccomandazioni della CISA
In risposta a questo incidente, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha emesso diverse raccomandazioni, tra cui la modifica delle password predefinite, l’applicazione dell’autenticazione a più fattori (MFA), la disconnessione dei PLC da Internet, il backup della parte logica e delle configurazioni, oltre che l’installazione degli ultimi aggiornamenti. Sebbene queste raccomandazioni siano essenziali all’interno degli Stati Uniti, molte lezioni possono essere applicate a livello globale. È necessario fare di più per proteggere le infrastrutture critiche, compresi gli impianti idrici e di acque reflue, dall’evoluzione del panorama delle minacce orchestrate dai criminali della guerra informatica.
Un approccio alla cybersecurity basato sulla condivisione delle conoscenze
L’attacco alla Municipal Water Authority di Aliquippa ha anche sottolineato l’importanza di un approccio alla sicurezza informatica, che negli Stati Uniti chiamano “whole-of-state”, che coinvolga nel loro insieme, tutti gli enti statali. Questo approccio richiede la collaborazione tra governi statali e locali per condividere informazioni e risorse e sviluppare strategie coordinate di cybersecurity. È richiesto inoltre lo sviluppo di una maggiore visibilità dell’intero ecosistema di asset connessi per sviluppare strategie di cybersecurity che comprendano la realtà sul campo di ciascun organismo. È una pratica che può essere applicata ovunque, soprattutto quando si parla di cybersecurity: avere risorse e intelligence condivise migliora le posizioni di sicurezza di organizzazioni e Stati per l’obiettivo finale di proteggere le persone.
Le quattro fasi della difesa
Il governo federale sta facendo luce sulla vulnerabilità delle infrastrutture americane per le acque reflue e impianti idrici (WWS – Water and Wastewater Sector). Di recente, il CISA (Cybersecurity and Infrastructure Security Agency), l’FBI e l’EPA hanno pubblicato una nuova guida per aiutare le aziende del settore a migliorare la loro resilienza in termini di sicurezza informatica, la Water and Wastewater Sector – Incident Response Guide.
La nuova guida fornisce alle organizzazioni WWS un quadro graduale basato su quattro fasi: Preparazione, Rilevamento e Analisi, Contenimento, Sradicamento – Recupero e Attività post-incidente. Ciascuna fase dimostra perché sia necessario che le organizzazioni abbiano davvero la necessaria visibilità e consapevolezza della situazione per valutare la propria preparazione agli attacchi. Le aziende italiane possono imparare molto da questa guida.
Le organizzazioni devono essere in grado di avere visibilità ogni dispositivo e risorsa nei loro ambienti. Ciò include tutti i dispositivi IoT e OT connessi, come quello che ha causato l’attacco di Aliquippa. I professionisti hanno bisogno di rispondere alle domande: Le risorse interagiscono correttamente tra loro? Hanno un comportamento regolare o anomalo? Vengono sottoposti a patch regolari? In breve, come si fa a sapere cosa fare per essere meno vulnerabili oggi rispetto a ieri?
Il futuro della cybersecurity si basa su un moltiplicatore di forze ed è ora di investire in soluzioni che diano possibilità di manovra ai team che lavorano nella cybersecurity per agire in un panorama sempre più ostile.
Attacchi alle infrastrutture critiche: quale lezione per l’Italia
Le strutture per le infrastrutture critiche in Italia dovrebbero fare tesoro di queste lezioni e includerle in un approccio proattivo più forte alla cybersecurity. L’importanza di avere una solida posizione di sicurezza informatica è inoltre sollecitata dalla NIS 2, la direttiva sulla sicurezza informatica più dettagliata fino a oggi in Europa che è entrata in vigore il 16 gennaio 2023 e che gli Stati membri possono implementare fino al 17 ottobre 2024 nella legislazione nazionale.
Tutte le entità considerate nell’ambito di applicazione della direttiva ai fini della conformità alle misure di gestione del rischio di cybersecurity e agli obblighi di segnalazione sono classificate in due categorie: entità essenziali ed entità importanti. La classificazione riflette l’area di criticità in base al loro settore, al tipo di servizio e alle dimensioni. Il settore dell’approvvigionamento idrico è considerato ad alta criticità in quanto è fondamentale per fornire acqua sicura alle persone e, allo stesso tempo, svolge un ruolo cruciale anche nella gestione e nel trattamento delle acque reflue. Un’interruzione di questo servizio avrebbe un grande impatto sulla società.
Respingere le minacce informatiche: l’illusione dell’impenetrabilità
Sebbene la maggior parte degli impianti idrici e di depurazione siano più piccoli della maggior parte delle imprese, i loro asset, i loro dati e il loro potenziale di interruzione sono l’obiettivo dei criminali informatici, grazie alla loro connessione alle reti comunali e pubbliche. È importante riconoscere la necessità di un’intelligence continua su tutti gli asset connessi, compresi PLC, sistemi di controllo industriale (ICS) e dispositivi IoT (Internet of Things). Indipendentemente dalle dimensioni dell’organizzazione, questa intelligence permette ai team di sicurezza di identificare e correggere le vulnerabilità prima che possano essere sfruttate.
Conclusioni
L’attacco informatico alla Municipal Water Authority di Aliquippa è un campanello d’allarme per gli impianti idrici e di acque reflue di tutto il mondo. Per affrontare le sfide di minacce in continua evoluzione sono necessari strumenti che consentano risposte flessibili e adattabili.
Adottando un approccio olistico alla cybersecurity che includa l’asset intelligence alimentata dall’AI, il rilevamento delle minacce e la risposta, le strutture idriche e di acque reflue possono individuare, proteggere e gestire efficacemente i rischi informatici e garantire la fornitura continua di servizi idrici sicuri e affidabili, oltre che essere compliant con le nuove normative.
