Negli ultimi anni, l’industria dei satelliti è stata interessata da un considerevole sviluppo e con esso si sono moltiplicate le minacce informatiche in grado di colpire tali tecnologie. In conseguenza di ciò, si è resa necessaria l’adozione di standard globali atti ad incrementare il livello di sicurezza informatica nell’industria spaziale.
Tale intento è stato perseguito e raggiunto dall’Ufficio Federale per la Sicurezza delle Informazioni tedesco (BSI), il quale nel 2021 ha creato un gruppo di lavoro composto da esperti dello stesso BSI, del gruppo spaziale e tecnologico di Brema OHB Digital Connect GmbH, e della divisione Airbus Defence and Space, che si occupa di tecnologia spaziale e militare. Il gruppo, dopo oltre un anno di lavoro, ha dato vita ad una serie di linee guida volte ad incrementare la sicurezza dei satelliti, ponendo dei requisiti minimi da rispettare per garantire la sicurezza informatica delle infrastrutture spaziali. Tali linee guida interessano le diverse fasi della realizzazione e messa in opera di un satellite, come la progettazione, il trasporto, i test effettuati e la messa in orbita.
Gli obiettivi delle linee guida tedesche
Le guideline prodotte dagli esperti tedeschi hanno l’obiettivo di proteggere il maggior numero di missioni satellitari possibili tanto che sul sito web del BSI è disponibile il documento contente le misure di protezione minime per le infrastrutture del settore spaziale, l’IT-Grundschutz-Profil für Weltrauminfrastrukturen. Grazie a tali linee guida, le aziende e le autorità possono avviare un processo di realizzazione di una propria strategia e di uno standard di sicurezza applicabili a casi specifici e a diversi settori al fine di raggiungere in questi un livello di protezione simile permettendo in questo modo anche una ottimizzazione delle risorse.
La guida classifica le misure di protezione sulla base dell’entità del potenziale danno provocato da una minaccia: maggiore è il danno e le relative conseguenze, più alto sarà il livello di protezione richiesto. Si ha un livello “Normale” a fronte di un attacco di lieve entità, le cui conseguenze sono in grado di produrre danni limitati e gestibili; è “Alto” se il danno può inficiare in modo considerevole il funzionamento del sistema satellitare; il livello è invece “Molto Alto” in caso di un danno di portata catastrofica per l’operatore e per il produttore.
La gestione del rischio nei sistemi spaziali
La gestione del rischio è una componente chiave quando si progetta un sistema spaziale sicuro o si valutano le lacune di sicurezza. Non tutti i controlli possono essere implementati a causa delle risorse, della tecnologia o dei programmi a disposizione; per tale ragione, nelle attività di valutazione dei controlli di sicurezza informatica da impiegati in una missione si deve tener conto delle minacce a cui si è soggetti. Una volta che le minacce o le vulnerabilità sono state comprese e sono state individuate le priorità, è possibile implementare gli standard di mitigazione del rischio; infatti, a causa della natura sensibile di un sistema informativo aerospaziale, questo apre la via ad attacchi informatici dagli effetti potenzialmente devastanti e porre enormi problemi di sicurezza nazionale.
Crescita del settore spaziale e aumento delle minacce informatiche
La creazione di standard comuni di sicurezza informatica relativi all’industria spaziale rappresenta quindi un’opportunità per garantire alle aziende e alle società satellitari termini comuni a cui far riferimento con partner e fornitori anche in altri paesi. Inoltre, è bene tener conto che contestualmente all’espansione del settore, aumentano anche le minacce informatiche, in grado di mettere a dura prova le apparecchiature satellitari. Uno degli attacchi informatici più eclatanti degli ultimi tempi che ha interessato proprio i servizi satellitari è avvenuto il 24 febbraio scorso, in concomitanza con l’invasione russa dell’Ucraina. Un gruppo hacker ha preso di mira Viasat Inc., una società di comunicazioni americana con sede in California, fornitore di servizi a banda larga satellitare ad alta velocità e sistemi di rete sicuri che coprono i mercati militari e commerciali. I criminali informatici hanno interrotto le connessioni internet in Ucraina dalle 5 alle 9 del mattino, proprio mentre le forze russe entravano nel Paese. L’attacco ha prodotto conseguenze su larga scala, mettendo fuori uso decine di migliaia di utenti in tutta Europa.
Successivamente all’accaduto, diverse agenzie spaziali governative, attraverso il Comitato Consultivo per i Sistemi di Dati Spaziali (CCSDS), si sono adoperate per cercare di far fronte a tali minacce, avviando discussioni circa la protezione delle infrastrutture satellitari. La presenza del Comitato rende più semplice ed efficace lo scambio di informazioni sulle minacce fra i Paesi membri e le aziende interessate. L’interconnessione che sussiste nello spazio rende il Comitato un’organizzazione utile allo scambio di informazioni sulle minacce informatiche che si stanno evolvendo man mano che l’industria dei satelliti diventa più commerciale, con sempre più aziende che inviano satelliti nello spazio per periodi più brevi e utilizzano componenti più economiche rispetto al passato. Come affermato da Erin Miller, direttore esecutivo dello Space Information Sharing and Analysis Center (Space ISAC), nessuna nazione può farcela da sola, “perché tutto è interconnesso quando vai nello spazio”.
Se storicamente i veicoli spaziali erano considerati relativamente al sicuro dalle intrusioni informatiche, al giorno d’oggi la realtà dei fatti ci pone di fronte a nuove minacce emergenti che li rendono un possibile bersaglio in assenza di procedure di security adeguate. Gli standard e la governance di sicurezza informatica incentrati sullo spazio, combinati con tecniche di difesa approfondita per i sistemi spaziali, contribuiscono a garantire la resilienza alle intrusioni IT. Il settore aerospaziale incentiva ad una maggiore cooperazione tra le discipline per stabilire le migliori pratiche di sicurezza informatica e norme di comportamento attraverso una combinazione di politiche, governance, supervisione e soluzioni tecniche. Oltre alla maggiore cooperazione tra i settori e ad una combinazione di politiche e soluzioni tecniche, è necessaria altresì una strategia di mitigazione del rischio informata sulle minacce per proteggere i sistemi spaziali critici.
Conclusioni
Standard e linee guida aiutano le organizzazioni a migliorare queste misure e le best practice; hanno una certa applicabilità sul segmento terrestre e, sebbene siano stati compiuti sforzi per modellare queste strutture per i sistemi spaziali, l’uniformità è attualmente ancora carente. Alcuni rapporti mostrano che solo il 40% delle aziende del settore ha una politica di sicurezza. L’impegno degli Enti governativi e commerciali per garantire linee di base comuni, potrebbe implementare prassi specifiche per il settore.
