attacco informatico_darktrace_infrastrutture critiche

Portata avanti nell’ombra a colpi di bit, negli Stati Uniti è in corso una nuova ondata di attacchi contro le autorità e i servizi pubblici. I criminali sono ormai “regolarmente” infiltrati anche negli enti municipali che sempre più spesso vengono tenuti sotto scacco dai ransomware con l’aggravante che, forse, i responsabili di questi attacchi non salderanno mai il proprio conto con la giustizia.

È di qualche settimana fa la notizia che alcuni hacker hanno manomesso un impianto di trattamento delle acque in Florida. I cybercriminali sono stati in grado di controllare a distanza un computer per modificare i livelli chimici dell’acqua, aumentando la quantità di idrossido di sodio prima che un addetto dell’impianto fosse in grado di sventare l’attacco e neutralizzare la manomissione.

Purtroppo, l’attacco alla città di Oldsmar non è il primo di questo genere. L’anno scorso le strutture di gestione delle acque di Israele, in particolare le pompe utilizzate per l’irrigazione agricola, sono state colpite da due attacchi informatici: uno in Alta Galilea e uno nella provincia centrale di Mateh Yehuda. Anche se gli attacchi sono stati fermati, si è scoperto che gli hacker avevano tentato di alterare i livelli di cloro dell’acqua.

Ciò che preme osservare oggi è che anche se i cyberattacchi si muovono nello spazio digitale, oggi hanno effetti concreti e sempre tangibili sulla realtà, con la conseguenza di dover fare i conti, inevitabilmente, con una bomba a orologeria.

La sfida da fronteggiare che ne risulta è incredibilmente vasta e complessa, non perché chi si occupa della sicurezza delle infrastrutture critiche nazionali non sia competente e preparato, ma perché il problema, oggi, non può più essere risolto e affrontato dalla sola forza umana.

Dal punto di vista teorico, una regola empirica della sicurezza informatica stabilisce che più sensibile è un sistema, meno debba venire in contatto con la rete Internet. Tuttavia, è ormai accertato che l’”air-gapping” – ovvero la tecnica di sicurezza utilizzata per garantire che la rete del sistema da tutelare sia fisicamente isolata da altre reti – non rappresenti più una misura efficace contro gli hacker.

La trasformazione digitale, che ha così rapidamente pervaso le infrastrutture critiche nazionali negli ultimi anni, ha anche “aperto” nuovi “percorsi” di intromissione per gli hacker: dalle e-mail di spoofing inviate ai dipendenti fino alle componenti del sistema più critiche come i compressori di gas e le turbine. È importante sottolineare che questi nuovi percorsi non hanno nemmeno bisogno di indirizzare direttamente l’obiettivo finale perché l’attacco abbia successo; nel febbraio dello scorso anno, ad esempio, l’attività di un gasdotto statunitense si è interrotta per due giorni a causa di un attacco ransomware che è riuscito a diffondersi “solo” fino ai pannelli di controllo utilizzati dagli operatori per monitorare il processo. Eppure, proprio mettendo offline questi sistemi, gli aggressori hanno costretto gli addetti a fermare deliberatamente il processo per preservarne la sicurezza. Anche nel caso dell’attacco in Florida una mossa relativamente ovvia e semplice ha dato il via all’attacco, ma, fortunatamente, nessuno dei 15.000 residenti ha subito danni.

È evidente come non si possa, né sia opinabile, rallentare la trasformazione digitale in corso, eppure è arrivato il momento di ripensare profondamente la sfida cibernetica perché nessuna città o amministrazione locale è immune da attacchi simili, e quello avvenuto in Florida non è un caso isolato.

Il futuro della sicurezza OT per le infrastrutture critiche nazionali

La nuova generazione di attacchi che affronteremo richiederà, quindi, soluzioni di sicurezza dotate dell’intelligenza di agire rapidamente per conto degli esseri umani. Cercare unicamente di impedire agli aggressori di entrare nei sistemi è inutile ed è un approccio che funziona solo per gli attacchi meno pericolosi; inoltre, costruire muri più alti non è più sufficiente per arginare gli attacchi più sofisticati che colpiscono le infrastrutture critiche nazionali. Oggi, l’Intelligenza Artificiale è così avanzata ed efficace che è in grado di individuare le prime avvisaglie di attacco non appena emergono fermandole ancor prima che si intensifichino e, soprattutto, identificando anche quei segnali così sottili da essere impercettibili all’occhio umano.

Gli ambienti più critici non possono permettersi di fallire perché quando è in gioco la sicurezza pubblica anche un’interruzione operativa di pochi secondi non è tollerabile. Per questo è necessario investire in sistemi di Intelligenza Artificiale in grado di lavorare nel background per bloccare in maniera autonoma e dinamica gli attacchi e difendere così i sistemi più critici 24/7, come l’Immune System di Darktrace, che si basa proprio sull’analisi tramite AI della totalità dei dati dell’organizzazione per stabilire ciò che è “normale” e individuare così le sottili deviazioni che indicano la presenza di un attacco. In questa nuova cyber guerra dove anche le strutture più critiche che garantiscono il soddisfacimento dei bisogni primari dei cittadini non sono esenti da azioni illecite e colpose, l’Intelligenza Artificiale Darktrace è in grado di combattere gli attacchi più avanzati con tattiche altrettanto sofisticate che individuano, interpretano e rispondono alla minaccia prima che causi danni non solo allo spazio digitale ma, come avvenuto in Florida, anche agli esseri umani.

Di Matthew Wainwright, CISO di Middletown Rhode Island