Improvvisamente nella prima metà di maggio del 2021 il mondo si è accorto che quanto accade oltre uno schermo può avere una serie di conseguenze significative nel mondo reale.
Il fatto è ben noto da molti anni a chi si occupa di cybersecurity e il caso della Colonial Pipeline che ha precauzionalmente chiuso il più grande oleodotto della East Coast dopo un attacco ransomware, è stata soltanto l’ennesima conferma.
Se un ransomware minaccia gli equilibri del petrolio: la nostra fragilità ci può costare carissima
Infrastrutture critiche industriali sotto attacco
Senza tornare al famigerato Stuxnet, il malware utilizzato da Stati Uniti e Israele per sabotare il programma nucleare iraniano nel 2006, negli anni i casi non sono mancati.
Tra il 2014 e il 2015 la rete elettrica ucraina è stata colpita da Black Energy e Industroyer con conseguenti black out.
Ancora più recentemente sono stati attaccati sistemi di distribuzione dell’acqua potabile sia in Israele che negli Stati Uniti.
L’elenco potrebbe essere molto più lungo, ma sarebbe superfluo elencare quelli che sono centinaia di casi che hanno ispirato anche il mio prossimo libro. Piuttosto il tema riguarda prima le ragioni per cui i sistemi SCADA e ICS sono un’enorme questione di sicurezza e poi se e come si può fare qualcosa per ridurre dei rischi che allo stato attuale sono completamente fuori controllo.
IT-OT: il pericolo arriva dal passato e dal futuro
L’Internet delle Cose, soprattutto di quelle grandi o grandissime, si presenta con un grado di vulnerabilità molto elevata determinata da due fattori concomitanti: le vetustà di molti sistemi e la compatibilità retroattiva. In particolare i sistemi industriali (SCADA e ICS) hanno richiesto alle aziende investimenti significativi, di conseguenza hanno un ciclo di vita molto lungo.
In questo settore non è raro incappare in oggetti che montano sistemi operativi che risalgono alla “preistoria” dell’informatica e quindi non sono più supportati dai produttori. Il secondo tema è quello della compatibilità retroattiva che garantisce a chi dispone di SCADA o ICS la possibilità di integrare nuovi sistemi dotati di software più recente. In sostanza l’ultimo arrivato si adatta a quello che trova effettuando il downgrade di sé stesso, che lo porta a ereditare tutte le debolezze presenti nei dispositivi più vecchi.
Questa combinazione apre le porte a una tipologia di attacco non banale, ma non impossibile, che va sotto il nome di downgrade o roolback attack che proprio grazie all’interoperabilità e comunicazione tra sistemi di diverse generazioni consente di indurre un sistema a «abbassare» il proprio livello di sicurezza per comunicare con un altro più vecchio. Il caso più noto riguarda la vulnerabilità scoperta in OpenSSL con degrado della comunicazione TLS alla versione SSL 3.0.
Se tutto questo è un’eredità che ci arriva dal passato un “regalo” del futuro è l’integrazione delle reti OT (quelle industriali) e IT (quelle gestionali). Se le prime abbiamo visto che hanno un ciclo di vita decisamente lungo, le seconde viaggiano ad “alta velocità”. Fino a ieri la risposta stava nella completa segregazione delle due, ma ormai sembra che siano destinate a integrarsi sotto la pressione dei veri o presunti vantaggi di business. Questa convergenza propone un doppio problema di sicurezza. Da una parte quello che non risulta pericoloso rispetto a sistemi recenti potrebbe rivelarsi una minaccia devastante per quelli obsoleti. Di conseguenza i primi potrebbero essere semplicemente il ponte per raggiungere l’obiettivo sensibile all’attacco. Dall’altra parte le reti OT potrebbero a loro volta rappresentare, cole le loro vulnerabilità note, il punto di ingresso ideale per bypassare le più recenti contromisure.
Perimetro è la parola sbagliata
L’idea stessa che si possa in qualche modo delimitare un oggetto come la Rete e una società come quella dell’informazione appare piuttosto stravagante soprattutto per chi si occupa di sicurezza da molti anni e dal almeno un decennio si è confrontato con la cosiddetta “scomparsa del perimetro”.
Appare un richiamo a un passato che non tornerà più quello di parlare di perimetro di sicurezza nazionale cibernetica. Cloud computing, Internet delle Cose, smart working, rendono perfino difficile immaginare il terreno su cui andrebbe disegnato tale perimetro che a questo punto, per fare un esempio banale, dovrebbe comprendere i router domestici di centinaia di migliaia di lavoratori e quindi relative famiglie. Aggiungiamo poi come i diversi oggetti smart che popolano case e uffici creano falle di natura imprevedibile.
Giusto per fare un esempio banale e anche un po’ “ridicolo” tre anni orsono nella rete di un’azienda del petrolchimico con sedi in diversi paesi europei si diffuse ripetutamente, nel giro di pochi giorni un ransomware che bloccò le attività dell’organizzazione. Dopo avere escluso l’impossibile si scoprì la verità, per quanto improbabile apparve al momento.
Il dispositivo “untore” in cui si annidava il malware era la macchina del caffè aziendale di ultima generazione connessa alla rete wifi. Di fronte a situazioni di questo genere è facile comprendere quanto il termine perimetro risulta per lo meno inadeguato per definire lo spazio digitale da porre sotto tutela.
Quale strategia per la difesa Paese
Il più delle volte quando qualcuno pronuncia la parola “strategia” mi viene l’orticaria, perché non di rado un piano strategico è lastricato di buone intenzioni, più o meno come la strada che porta all’inferno. In realtà almeno alcune cose si potrebbero fare.
La prima riguarda un allineamento tra gli investimenti nell’innovazione digitale e quelli in cyber security, a maggior ragione se arrivano dallo Stato.
Poiché il legislatore, soprattutto quello europeo, sta faticosamente cercando di regolamentare la società dell’informazione attraverso norme “risk based” forse dovrebbe applicare la stessa logica alle indicazioni attuative nel momento in cui eroga finanziamenti.
In concreto se domani vengono stanziati 10 miliardi di euro per un progetto di digitalizzazione dei sistemi elettrici; l’istituzione che li eroga svolgerà un adeguato risk assessment che tenga conto delle minacce, del loro potenziale impatto sulla comunità e delle possibili contromisure, quindi stabilirà quale quota dello stanziamento debba essere destinata inderogabilmente all’implementazione di tali contromisure.
E’ vero che i rischi si trasformano nel tempo, ma ciò non toglie che la security by design sia un elemento chiave, perché se progetto un’auto senza impianto frenante ci sono ben poche possibilità di riuscire a montarlo quanto la macchina è finita. C’è poi una seconda opportunità, che peraltro richiederebbe giusto la volontà di essere messa in opera.
Mi riferisco a un tema a me molto caro, quello dell’educazione digitale nelle scuole, che per sua natura dovrebbe comprendere anche la cybersecurity.
Sull’argomento ho già scritto proprio su queste pagine spiegando come sulla carta esistono già mezzi e risorse per iniziare a lavorare, certo sarebbe opportuno fossero potenziati, ma ciò non toglie quanto vecchio adagio: “tra il dire e il fare c’è di mezzo il mare” resta ancora oggi tristemente vero.
.
