Nel contributo che vi proponiamo qui di seguito Emanuele Temi (in foto), Technical Sales Engineer di Nozomi Networks, analizza i rischi specifici di sicurezza che riguardano un’infrastruttura così critica come il sistema idrico, tra attacchi reali e indicazioni per ridurre il rischio.
Buona lettura.
L’industria idrica non viene spesso associata alla cybersicurezza, ma i cambiamenti degli ultimi anni, con un crescente utilizzo dell’automazione e la rapida adozione di strumenti digitali, hanno introdotto il tema anche in questo settore.
Con la modernizzazione dell’IT e l’introduzione di sistemi di operational technology (OT) e Internet of Things (IoT), sempre più digitalizzati e interconnessi, gli hacker si sono accorti del valore potenziale dei dati delle infrastrutture critiche e hanno individuato vulnerabilità significative nei sistemi. Se la connettività digitale delle utility è cresciuta, infatti, lo stesso non si può dire della consapevolezza relativa alla sicurezza. Si tratta di una tendenza piuttosto preoccupante: man mano che l’infrastruttura idrica diventa sempre più connessa, gli attacchi da hacker, ransomware e attori non statali continueranno a crescere di intensità e gravità. La sicurezza delle reti OT e IoT è gestita in maniera differente e spesso più complessa rispetto a quella impiegata per l’infrastruttura IT, verso la quale vengono dirette maggiori risorse.
Dal momento che le reti idriche rappresentano un servizio cruciale, gli effetti degli attacchi cyber possono creare notevoli disagi alle comunità servite.
Nel contesto della sua trasformazione digitale, il settore dei servizi idrici deve necessariamente porre attenzione alla cybersecurity, al fine di non rischiare perdite finanziarie, leak di dati o, addirittura, l’interruzione dei servizi.
I rischi di cybersecurity per i fornitori del sistema idrico
Il settore dei servizi idrici e delle acque reflue vale quasi 500 miliardi di dollari ma non è mai stato un bersaglio monetizzabile per gli hacker, almeno fino ad oggi. Si tratta di un settore che è sempre stato caratterizzato da poca automazione o necessità di accesso a servizi da remoto e, oltre all’interruzione fisica dei servizi e dei macchinari, non ha mai avuto molto valore per gli hacker.
Le innovazioni tecnologiche degli ultimi anni ne hanno spinto notevolmente la produttività: l’accesso da remoto ha consentito agli impiegati in attività specializzate di connettersi da postazioni diverse in tutto il mondo, continuando a infondere innovazione e a identificare e risolvere problemi complessi. Automazione e IoT sono ora componenti strutturali delle moderne infrastrutture critiche.
Tuttavia, questa trasformazione digitale non è stata accompagnata da una trasformazione della cybersecurity altrettanto efficace, sia per la natura stessa del settore, in cui molti operatori non hanno conoscenza dei rischi e delle minacce che potrebbero essere messe in atto, sia perché la sicurezza dei sistemi OT e IoT è spesso considerata troppo difficile da implementare.
Il Water Sector Coordinating Council ha stimato che oltre un terzo degli operatori idrici ha allocato solo l’1% del proprio budget alla cybersecurity. Non è solo una questione di costi, però: l’assessment dei rischi, i piani di mitigation e le azioni di recovery sono spesso state sottovalutate.
Negli ultimi vent’anni, si sono verificati attacchi di cybersecurity di diverso livello, con impatti notevoli in tutto il settore. Tra i più recenti in Europa, ad esempio:
- Ad agosto 2022, il fornitore di acqua del Regno Unito, South Staffordshire PLC, ha subito un attacco ransomware Clop che ha compromesso Thames Water, il più grande servizio idrico e impianto di trattamento delle acque reflue che serve Londra e le aree circostanti. L’attacco ha coinciso con una forte siccità che ha portato al razionamento dell’acqua in otto regioni del Regno Unito, con l’obiettivo di creare un’emergenza e costringere al pagamento del riscatto. Fortunatamente, l’attacco è stato identificato in tempo e non ha compromesso la fornitura di acqua.
- Sempre ad agosto 2022, un attacco massiccio e coordinato ha colpito diverse infrastrutture in Montenegro, con l’obiettivo di compromettere i sistemi di approvvigionamento idrico, i servizi di trasporto e i servizi governativi online. Centocinquanta computer di istituzioni statali sono stati infettati da malware. L’intervento per rimuovere le postazioni compromesse è stato significativo e fortunatamente i dati del Ministero della Pubblica Amministrazione non sono stati danneggiati in modo permanente. Una squadra di esperti informatici dell’FBI è stata impegnata per indagare sull’attacco.
- Nel 2021, un impianto per il trattamento delle acque in Oldsmar, Florida, è stato hackerato per tentare di avvelenare le forniture di acqua aumentandone i livelli di sodio. L’attacco è stato sventato prima di raggiungere i consumatori.
Dato che molte delle tecnologie utilizzate nel settore idrico sono comuni tra tutti gli operatori, è probabile che una vulnerabilità individuata in un impianto sia presente anche in tutti gli altri. Sebbene la collaborazione tra le varie aziende e con gli enti governativi stia crescendo, ci sono ancora molte azioni da intraprendere ed è necessario costruire consapevolezza in merito a rischi e soluzioni.
La mitigazione
Una mentalità pre-breach è fondamentale per mitigare i rischi cyber nell’industria idrica, anche per gli operatori più piccoli. È necessario essere preparati in anticipo per qualsiasi tipo di violazione (pre-breach, appunto) e continuare ad aggiornare i sistemi e monitorare l’insorgere di nuove minacce. Se una utility riesce a identificare un attacco nelle fasi iniziali, può intervenire per prevenire alcuni danni. La protezione degli ambienti OT e IoT richiede risposte sia proattive che reattive.
- Pianificazione: è necessario tenere sempre in conto la possibilità di un attacco, agire in anticipo per mettere al sicuro i sistemi e mettere in campo i giusti piani per fermare l’attacco e per il recovery successivo.
- Formazione interna: è necessaria una formazione costante e aggiornata dei dipendenti relativamente alle procedure di sicurezza, all’identificazione delle minacce e alle azioni da intraprendere in caso di attacco.
- Collaborazione: gli hacker hanno identificato vulnerabilità comuni a diverse utility. Condividere le informazioni relative a nuove minacce aumenta la consapevolezza e consente a ciascuna struttura di avere tutte le informazioni necessarie in anticipo.
- Fare pulizia: valutare regolarmente la propria impronta digitale consente di identificare debolezze nei sistemi. Applicazioni non monitorate e datate sono particolarmente suscettibili di essere attaccate.
- Investire: circa il 38% delle utility idriche negli Stati Uniti alloca solo l’1% del budget per la cybersecurity. Le strategie di mitigazione sono sì costose, ma sono molto più economiche rispetto alle alternative.