La protezione delle infrastrutture critiche rappresenta sempre più una priorità strategica per governi, istituzioni pubbliche e imprese. Tra i target principali, insieme al settore sanitario, manifatturiero e dei trasporti, vi è il settore Energy & Utilities, che comprende la produzione, distribuzione e stoccaggio di energia, la gestione dei rifiuti e la manutenzione delle aree verdi, ma anche l’approvvigionamento idrico, la gestione del ciclo dell’acqua e il trattamento delle acque reflue.
Garantire la sicurezza e la continuità operativa nel settore Energy & Utilities
Garantire la sicurezza e la continuità operativa di questi sistemi è essenziale non solo per preservare la stabilità economica e il benessere della popolazione, ma anche per rafforzare la resilienza del sistema-Paese di fronte a minacce cyber sempre più sofisticate.
Le infrastrutture critiche, tra cui anche quelle idriche, rappresentano, infatti, uno degli obiettivi principali di cyber criminali, hacktivisti e di gruppi hacker cosiddetti “State-sponsored”, che agiscono a supporto di enti governativi per il raggiungimento di obiettivi strategici precisi.
Attacchi alle utilities in vertiginosa crescita: i dati Usa
Secondo quanto rilevato dai ricercatori di Check Point Research, nel 2024 si è assistito a un aumento di circa il 70% di attacchi informatici ai danni di aziende statunitensi del settore Utility. L’utilizzo di tecnologie sempre più avanzate e una maggiore connettività digitale ha permesso alle aziende di migliorare l’efficienza e la gestione delle risorse. Al tempo stesso però, ha ampliato significativamente la superficie d’attacco, rendendo i sistemi utilizzati sempre più vulnerabili.
La situazione in Italia certificata dal Clusit
Questa tendenza è confermata anche a livello nazionale dal Rapporto Clusit 2024 sulla sicurezza ICT, il quale, in relazione al settore “Energy & Utilities”, riporta una crescita improvvisa di attacchi nel primo trimestre del 2024 rispetto all’anno precedente. Nel periodo indicato sono infatti stati registrati più della metà del numero di incidenti verificatisi nel corso del 2023.
Le vulnerabilità del settore idrico
A tal proposito, merita particolare attenzione il settore idrico, il quale sta vivendo una forte trasformazione verso una maggiore connettività e automazione, diventando sempre più spesso oggetto di interesse per i criminali informatici.
Criticità delle infrastrutture idriche
Andrea Saturnino, Cybersecurity Specialist di HWG Sababa, ha esaminato le principali criticità che caratterizzano le infrastrutture idriche rilevando che: “La presenza di sistemi obsoleti, la scarsa segmentazione delle reti, i rischi legati alla supply chain e la mancanza di formazione del personale sono i fattori principali che a oggi rendono l’infrastruttura più vulnerabile ad attacchi informatici”.
Rischi e vulnerabilità persistenti
Molte infrastrutture critiche, incluse quelle idriche, fanno ancora affidamento su tecnologie prive di adeguati aggiornamenti, che le rendono inefficaci di fronte alle più moderne minacce cyber. Inoltre, le reti idriche per come sono strutturate oggi a livello IT, consentono agli attaccanti, una volta ottenuto l’accesso, di spostarsi tra i diversi componenti del sistema, aumentando il potenziale di danno. Un’altra vulnerabilità è rappresentata dalla dipendenza da diversi fornitori terzi, i quali si trovano sempre più spesso coinvolti in attacchi cyber e possono fungere da punti di ingresso per gli attacchi. Anche la mancanza di consapevolezza e formazione del personale può amplificare i rischi: errori umani o il phishing, ad esempio, sono tra le cause principali di accessi non autorizzati. Queste vulnerabilità, combinate con la crescente sofisticazione delle minacce, evidenziano l’urgenza di adottare misure di sicurezza più robuste e integrate per proteggere il settore idrico.
Esempio di attacco recente e impatti
Un esempio recente che ha messo in evidenza la crescente vulnerabilità del settore è rappresentato dall’attacco cyber alle infrastrutture idriche di Arkansas City, in Kansas, confermato dalle autorità locali lo scorso 22 settembre. L’attacco ha temporaneamente compromesso l’operatività dell’impianto di trattamento delle acque, costringendo il personale a passare a un funzionamento manuale per gestire le operazioni e mitigare gli effetti dell’attacco. Nonostante i disagi, tra cui episodi sporadici di bassa pressione dovuti al malfunzionamento di alcune pompe, la fornitura idrica non ha subito interruzioni significative, garantendo comunque un servizio essenziale alla popolazione. L’episodio si è verificato appena due giorni dopo che il Water Information Sharing and Analysis Center (Water ISAC), organizzazione no-profit dedicata alla protezione delle utility idriche, aveva emesso un avviso di minaccia informatica che segnalava attività malevole attribuite ad attori statali, principalmente da Cina e Russia, come il gruppo cinese Volt Typhoon, noto per aver condotto numerosi attacchi contro impianti idrici e altre infrastrutture critiche negli Stati Uniti.
La necessità di migliorare la sicurezza
“L’attacco di Arkansas City si inserisce in un quadro più ampio di episodi analoghi che hanno interessato il settore idrico negli ultimi anni. Tra questi, si ricordano i ransomware che hanno colpito il sistema idrico della Pennsylvania nel maggio 2021 e il Camrosa Water District nel 2020. Questi incidenti dimostrano come le infrastrutture idriche siano un obiettivo ricorrente per attori malevoli, evidenziando la necessità di investire in sistemi di difesa informatica più efficaci per garantire la resilienza e la sicurezza di servizi essenziali” – sostiene Saturnino.
Strategie di protezione delle infrastrutture
Per proteggere questi sistemi, è quindi fondamentale adottare alcune best practices, come l’aggiornamento regolare di hardware e software, spesso obsoleti e vulnerabili, e la definizione di protocolli per la gestione dei permessi e l’accesso ai sistemi critici. Inoltre, è fondamentale utilizzare tecnologie avanzate per monitorare costantemente le reti IT e OT, in modo da riuscire ad identificare attività sospette in tempi brevi e creare un piano dettagliato di risposta agli incidenti. Infine, la promozione di una cultura della cybersecurity all’interno delle aziende e l’essere compliance alle normative permette di aumentare la consapevolezza, riducendo il rischio di errori umani.
In questo contesto, conclude Saturnino, “la direttiva NIS2 rappresenta un passo fondamentale per rafforzare la protezione delle infrastrutture critiche nell’Unione Europea, comprese quelle idriche, con requisiti più stringenti in materia di gestione del rischio e un sistema di segnalazione degli incidenti più efficace. Le infrastrutture idriche, in quanto servizi essenziali, sono soggette a obblighi specifici: dalle valutazioni periodiche delle vulnerabilità, all’implementazione di standard di sicurezza condivisi a livello europeo”.
Adottare queste misure non è solo una questione di conformità normativa, ma rappresenta una necessità strategica per garantire la resilienza delle infrastrutture critiche. La protezione dei sistemi idrici, infatti, non riguarda solo la sicurezza tecnologica, ma la salvaguardia di un servizio vitale per la popolazione e per il Sistema-Paese nel suo complesso.
