I sistemi di controllo industriale, chiamati anche Industrial Control Systems (Ics), sempre più spesso vivono connessi alla rete. E’ un’opportunità che mostra evidenti benefìci per la manutenzione e il controllo a distanza di apparati e risorse.
Tuttavia un numero considerevole di sistemi appartenenti all’infrastruttura critica nazionale (Cni, Critical National Infrastructure), in uso oggi, è stato installato prima che la connettività a Internet fosse la regola e prima dell’avvento di Stuxnet. Molti componenti di Operational Technology (OT) oggi presentano già funzionalità integrate di gestione remota, ma sono del tutto o anche solo in parte privi di protocolli di sicurezza come l’autenticazione.
E questo accade in uno scenario molto diverso, anche solo rispetto a quello di pochi anni fa, quando questi sistemi venivano prodotti, e i protocolli e sistemi legacy la sicurezza informatica non rappresentavano una minaccia realistica.
Pertanto questi dispositivi non hanno mai avuto i controlli di sicurezza integrati che oggi si danno per scontati. Ora però la transizione di questi sistemi su Internet li ha aperti alla possibilità di attacchi da una miriade di angolazioni. Lo rivela il report F-Secure The State of the Station. A report on attackers in the energy industry.
Il rapporto svela come il cybercrime (ma anche gli stati stranieri nemici di un determinato Paese) stia prendendo di mira siti di infrastrutture critiche nazionali e centri di distribuzione di energia in modo esponenziale con i sistemi interconnessi nell’industria dell’energia che possono amplificare gli effetti delle vulnerabilità in uno scenario in cui gli attacchi informatici non vengono rilevati per parecchio tempo.
Più nel dettaglio si evidenzia come le persone restino l’anello debole negli ambiti produttivi, con i dipendenti aziendali bersagli preferiti dai criminali che agiscono con una varietà di avversari diversi, e spesso con specifiche motivazioni e tecniche, ma in ogni caso vogliono compromettere le organizzazioni che gestiscono infrastrutture critiche.
Secondo F-Secure è possibile distinguere nove diversi attaccanti/malware/tecniche che colpiscono l’industria dell’energia, ma in ogni caso lo spear phishing risulta la tecnica iniziale di attacco più comune alla catena di approvvigionamento.
Il successo è spesso garantito dalla mancanza di pratiche mature di cyber security da parte delle organizzazioni.
Si è accennato alla possibilità di attacco da parte di Paesi nemici. Il report segnala come i gruppi di Advanced Persistent Threat (Apt) sponsorizzati dagli stati sono particolarmente temibili e continuino a cercare punti di accesso nelle reti dei Cni per sfruttare opportunità di spionaggio e poter poi esercitare una certa leva politica.
F-Secure per far fronte alle nuove minacce propone le soluzioni di rilevamento e risposta degli endpoint (Edr).
Sami Ruohonen, Labs Threat Researcher della multinazionale finlandese di cyber security, spiega: Edr è un metodo veloce per incrementare le capacità di rilevamento sia delle minacce avanzate sia degli attacchi mirati in grado di superare le soluzioni tradizionali di protezione degli endpoint. Con una soluzione Edr i team IT delle organizzazioni possono operare durante le ore lavorative per rivedere i rilevamenti emersi, mentre un team di risorse specializzate di cyber security si occupa di tutto il resto”.
© RIPRODUZIONE RISERVATA
