Nuove tecnologie possono contrastare gli attacchi cyber alle infrastrutture critiche
- Ogni giorno vengono tentati centinaia di milioni di attacchi informatici. Le infrastrutture critiche sono un obiettivo ad alto valore e ad alta vulnerabilità.
- Per tenere il passo con gli attacchi informatici alle infrastrutture critiche, i proprietari e gli operatori devono ripensare i sistemi esistenti e riformulare i vecchi problemi.
- Grazie alla collaborazione con l'industria, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti si posiziona come catalizzatore dell'innovazione in materia di sicurezza informatica.
Se esistesse un reparto di terapia intensiva per le infrastrutture, sarebbe pieno di vittime di attacchi informatici. Nel 2021, il sistema di oleodotti Colonial Pipeline, l'azienda di lavorazione della carne JBS e la Metropolitan Transportation Authority (MTA) di New York sono stati tutti vittime di attacchi di tipo ransomware, in cui i criminali informatici hanno installato un software surrettizio e hanno tenuto in ostaggio i sistemi informatici, chiedendo pesanti riscatti.
Ma il ransomware è solo un'arma di un arsenale in crescita per i potenziali attacchi informatici alle infrastrutture critiche, in cui hacker malintenzionati attaccano i sistemi in rete di beni fisici. Ancora più preoccupanti degli attacchi a scopo di lucro sono gli attacchi volti a causare danni.
Nel febbraio 2021, ad esempio, gli hacker hanno penetrato i sistemi di un impianto di trattamento delle acque a Oldsmar, in Florida, tentando di avvelenare la rete idrica locale. In particolare, hanno dirottato il software che controlla gli additivi chimici e lo hanno utilizzato per aumentare la quantità di liscivia, l'ingrediente principale dei detergenti liquidi per scarichi, fino a 100 volte il livello normale. Sebbene l'attacco sia stato individuato e corretto prima che la fornitura d'acqua fosse contaminata, le conseguenze avrebbero potuto essere terribili.
“Credo che la prossima Pearl Harbor, il prossimo 11 settembre sarà informatico”, ha dichiarato il senatore Angus King, intervenendo a un'udienza del Senato degli Stati Uniti dedicata alle vulnerabilità della sicurezza informatica nelle infrastrutture.
Poiché le violazioni della sicurezza informatica possono passare inosservate e spesso non vengono segnalate, è difficile valutare le reali dimensioni del problema. Tuttavia, il quadro non è bello. La società di sicurezza informatica Deep Instinct sostiene che ogni giorno ci sono "centinaia di milioni" di tentativi di attacco informatico. In un recente studio, l'azienda ha riferito che solo nel 2020 si è registrato un aumento del 358% del malware generale e un aumento del 435% del ransomware.
"Il problema non si limita al volume degli attacchi", afferma Guy Caspi, CEO di Deep Instinct. "Il nostro studio mostra che la sofisticazione degli attacchi è cresciuta con tattiche evasive avanzate che rendono molto più difficile il rilevamento".
Per quanto riguarda gli attacchi informatici alle infrastrutture critiche, il modo migliore per contrastare l'aumento della sofisticazione è una maggiore innovazione, secondo Si Katara, cofondatore e presidente di HeadLight, un fornitore di tecnologia di ispezione delle infrastrutture basata su foto.
Le minacce che si verificano oggi nel mondo crescono in modo esponenziale", afferma Katara. "Per trovare un antidoto, dobbiamo far progredire la sicurezza in modo da tenere il passo - e speriamo di superare - la velocità con cui queste minacce si evolvono. Se non acceleriamo l'innovazione in materia di sicurezza, lo faremo a nostro rischio e pericolo".
Poiché la sicurezza informatica è un problema digitale, richiede soluzioni digitali. Ma la tecnologia da sola non basterà a soffocare i criminali informatici che hanno nel mirino le infrastrutture. Ciò che serve, sostengono gli esperti, è un approccio all'innovazione a 360 gradi, che coniughi i nuovi strumenti con le persone, i processi e le prospettive.
Dai sistemi infrastrutturali monolitici a quelli modulari
Per proteggere i propri beni, i proprietari e gli operatori delle infrastrutture critiche devono innanzitutto capire cosa le rende così vulnerabili.
Si parte dal loro valore intrinseco come obiettivi. Le infrastrutture sono essenziali, da strade e ponti a centrali elettriche e servizi idrici, il che significa che le conseguenze di una loro disattivazione sono notevoli. Con le economie e persino le vite in bilico, i criminali presumono che i gestori disperati pagheranno somme ingenti per proteggere le risorse vitali. E spesso lo fanno.
E così, i sistemi legacy, in gran parte non progettati tenendo conto della cybersecurity, resistono. "Il problema di questi vecchi sistemi monolitici è che sono difficili da modernizzare", afferma Katara. "Se si vuole aggiornare una parte di esso, si deve reimpiegare l'intero sistema. Quindi questi sistemi monolitici vengono aggiornati con nastro adesivo e cerotti. Ma con il passare del tempo, il rapporto tra il sistema originale e il nastro adesivo si inverte e, alla fine, si finisce per avere più nastro adesivo che sistema originale, creando punti deboli". Arriva un moderno cyberattacco che colpisce proprio quei punti deboli e fa crollare l'intero monolite".
La soluzione è un approccio modulare anziché monolitico alla tecnologia, secondo Katara, la cui tecnologia di ispezione visiva HeadLight è basata sul cloud e ha un'architettura aperta, in modo da poter comunicare con i sistemi preesistenti senza dipendere da essi. "Questo rende molto più facile isolare e aggiornare i componenti per far sì che le cose funzionino senza intoppi", spiega Katara. "Quando c'è una nuova innovazione, non è necessario smantellare l'intero monolite. Si può semplicemente togliere un singolo pezzo e inserire il nuovo componente".
Questo è particolarmente prezioso dal punto di vista della sicurezza. Quando uno dei clienti di HeadLight è stato vittima di un attacco informatico, i suoi sistemi tradizionali sono stati messi offline per quattro o sei settimane. Nel frattempo, i progetti che utilizzavano HeadLight sono andati avanti senza problemi.
"Poiché funziona in modo indipendente, HeadLight non ha risentito del cyberattacco che si è verificato", spiega Katara. "E non appena il team IT è stato in grado di ripristinare i sistemi preesistenti, tutti i dati e le informazioni che HeadLight aveva raccolto e conservato hanno potuto essere sincronizzati di nuovo con quei sistemi in modo sicuro".
Sviluppare una mentalità di “zero fiducia”
L'architettura modulare è un esempio di innovazione nella sicurezza delle infrastrutture. Un altro è il rilevamento delle intrusioni, secondo il ricercatore di cybersecurity Kevin Heaslip, professore di ingegneria civile e ambientale al Virginia Tech.
Secondo Heaslip, il rilevamento delle intrusioni rappresenta un'innovazione di pensiero: affrontare un problema comune da una nuova prospettiva. In questo caso, ciò significa passare da una postura di arresto degli attacchi informatici a una postura di gestione degli stessi.
"Dobbiamo smettere di pensare che i sistemi informatici possano essere completamente protetti", afferma Heaslip. Il termine che viene usato per questo è "fiducia zero". Dobbiamo presumere che a un certo punto qualcuno sarà in grado di penetrare nei nostri sistemi. E se è così, forse dovremmo pensare meno a fermare gli hacker e più a come rilevare quando entrano e quali modifiche apportano ai sistemi mentre sono lì".
A tal fine, l'attuale ricerca di Heaslip si concentra sull'uso della modellazione 3D per creare gemelli digitali di sistemi cyber-fisici e sull'apprendimento automatico per mappare tali sistemi per rilevare le modifiche.
"Se un aggressore conosce meglio di voi il vostro sistema, non sarete in grado di difendervi", spiega. "Stiamo usando l'apprendimento automatico per costruire una linea di base per il funzionamento del sistema quando non ci sono attacchi contro di esso, in modo da poter rilevare i cambiamenti quando ci sono"
In particolare, Heaslip sta collaborando con il Dipartimento dell'Energia degli Stati Uniti per rendere sicuri i sistemi di ricarica dei veicoli elettrici. "Stiamo modellando il veicolo, il caricabatterie, la rete e le interazioni tra questi tre sistemi per capire quali potrebbero essere i vettori di attacco", spiega. "Siamo molto preoccupati per un attacco che parte da un veicolo o da un caricabatterie e poi si propaga attraverso la rete per interrompere l'alimentazione in un'intera regione".
Alla fine, l'obiettivo è creare sistemi di auto-guarigione in grado di rilevare le intrusioni e quindi di eseguire mitigazioni e riparazioni automatiche. "Ci sono miliardi di sonde e attacchi che si verificano ogni giorno sulle nostre reti e non abbiamo abbastanza personale qualificato per poter rispondere a ciascuno di essi", afferma Heaslip. "Quindi, a lungo termine, dobbiamo utilizzare funzioni automatizzate per combattere questi attacchi".
Innovazione tramite collaborazione
Nonostante la sua reputazione di luddismo e di fedeltà ai sistemi preesistenti, il settore pubblico contribuisce in modo significativo all'innovazione della sicurezza informatica, secondo il dottor David Mussington, vicedirettore esecutivo per la sicurezza delle infrastrutture presso la Cybersecurity and Infrastructure Security Agency (CISA). Sebbene la maggior parte delle innovazioni in materia di cybersicurezza abbia origine nel settore privato, secondo Mussington il governo può contribuire a catalizzarle attraverso il coworking collaborativo.
"Dal punto di vista delle infrastrutture critiche, esiste un partenariato pubblico-privato per l'applicazione e la scoperta di soluzioni", afferma Mussington. "Parliamo direttamente con l'industria dei rischi che hanno, e sviluppiamo e sosteniamo in modo interattivo soluzioni allineate alle migliori pratiche. Queste best practice provengono dall'industria, da aziende leader nel loro settore, ma anche da luoghi come il NIST [National Institute of Standards and Technology], con cui collaboriamo per assicurarci che gli standard di cybersecurity siano tradotti in formati e servizi che l'industria può utilizzare e innovare".
Le infrastrutture energetiche sono diverse da quelle idriche, che sono diverse da quelle di trasporto. Attraverso la CISA e la sua organizzazione di coinvolgimento degli stakeholder, il governo federale può essere un canale neutrale per distribuire le conoscenze tra i vari settori per codificare le migliori pratiche e stimolare nuove idee.
"La competenza di settore sulla propria attività non è la stessa che la competenza di settore sui rischi informatici per la propria attività", afferma Mussington. "Il CISA è specializzato nella consapevolezza dei rischi informatici - consapevolezza delle tattiche, delle tecniche e delle procedure che gli avversari potrebbero usare per minare le infrastrutture critiche - e possiamo usare questa specializzazione per rafforzare le preoccupazioni sui rischi aziendali con le preoccupazioni generali sui rischi operativi dal punto di vista del governo. E possiamo farlo con una prospettiva intersettoriale".
"Una prospettiva intersettoriale è particolarmente preziosa nel contesto dell'ubiquitous computing. "Al CISA passiamo molto tempo a pensare alla convergenza cyber-fisica", dice Mussington. "Una cosa è avere un sistema critico come un'automobile, un ponte o un tunnel. Un'altra cosa è inserire un'infrastruttura di comunicazione all'interno di quel sistema fisico. Improvvisamente, la complessità è molto maggiore, con diversi tipi di rischi e priorità che devono essere armonizzati". Il nesso cyber-fisico è davvero evidente con l'Internet delle cose, dove le tecnologie informatiche si diffondono in un gran numero di sistemi che prima non erano collegati in rete".
Il mancato riconoscimento della convergenza cyber-fisica può avere conseguenze disastrose per le infrastrutture critiche, ma utilizzarla come base per l'innovazione può dare enormi frutti.
"Possiamo essere più sicuri e più efficienti allo stesso tempo", afferma Katara. "Dobbiamo solo abbandonare lo status quo".