L’intero comparto industriale, e quindi anche il settore idrico, subisce attacchi opportunistici. A differenza di questi però, i cyberattacchi diretti e intenzionali ai sistemi di approvvigionamento idrico e fognario sono spesso perpetrati da attori statali o gruppi organizzati il cui obiettivo è destabilizzare un Paese o un’economia. La necessità di proteggere tali infrastrutture non è mai stata più pressante.
Negli ultimi mesi sono state pubblicate diverse ricerche in merito allo stato della cybersecurity delle infrastrutture critiche su scala globale che evidenziano come, anche in Europa, le utilities del comparto idrico siano sempre più oggetto di attacchi informatici. Ma non solo. In Francia l’Agenzia Nazionale per la Sicurezza dei Sistemi Informativi (ANSSI) ha trattato almeno 31 compromissioni relative ad attori del settore idrico negli ultimi quattro anni. In Germania il DVGW (associazione tecnica e scientifica per il gas e l’acqua) ha richiesto, ancora in marzo, una maggior integrazione tra le normative vigenti a fronte di un aumento preoccupante degli attacchi contro le reti idriche.
È un dato di fatto che gli operatori del settore idrico si confrontino con minacce cyber sempre più complesse e sofisticate. Sebbene siano già stati compiuti degli sforzi, le diverse organizzazioni devono ulteriormente rafforzare la propria postura difensiva, in base alla criticità della loro attività. L’acqua è una risorsa vitale, di natura critica. Un attacco sferrato con successo può avere gravi conseguenze come interruzioni della fornitura o la contaminazione dell’acqua potabile.
Perché il settore idrico è così vulnerabile?
Il settore idrico è particolarmente esposto ai cyberattacchi, a causa sia della natura distribuita della rete sia della vetustà di alcuni sistemi e dei carenti investimenti in cybersicurezza. A livello infrastrutturale si impiegano talvolta sistemi operativi obsoleti e sistemi industriali progettati venti o trenta anni fa. Questa vetustà di componenti e architetture è spesso sinonimo di numerose vulnerabilità. Inoltre, la crescente digitalizzazione delle infrastrutture, con l’integrazione di oggetti connessi, o addirittura dell’IIoT (internet industriale degli oggetti), amplia il numero di potenziali vettori di attacco, rendendo questi impianti ancora più vulnerabili alle minacce cyber. Un’altra fragilità riguarda più in particolare le piccole e medie aziende pubbliche, a cui mancano le risorse per mettere in campo misure di sicurezza adeguate e che, senza un referente competente, si ritrovano indifese.
In questo contesto, il governo rafforza progressivamente le normative in materia di cybersicurezza per le infrastrutture critiche, tra cui quelle del settore idrico. La direttiva europea NIS2, in vigore in Italia dal 16 ottobre 2024, dovrebbe imporre agli organismi del settore idrico l’attuazione di misure accresciute di governance, difesa, protezione e resilienza di fronte alle minacce informatiche. Tuttavia, sebbene la direttiva miri a proteggere meglio i servizi essenziali contro i cyberattacchi, il decreto di recepimento offre alle aziende e agli enti più scadenze (fino ad ottobre 2026) per adempiere ai vari obblighi previsti, sotto il monitoraggio dell’ACN.
I consigli di Stormshield
Durante quest’attesa, al di là della necessaria conformità, è già possibile seguire alcuni approcci per proteggersi dalle minacce. Secondo Stormshield, le utilities idriche e fognarie possono seguire le linee guida distribuite a numerosi operatori di servizi essenziali (OSE) nell’estate del 2019 dal Ministero dell’Ambiente e da altri ministeri competenti in merito alla gestione dei rischi cibernetici e alla prevenzione e mitigazione di incidenti con impatto rilevante sulla fornitura dei servizi.
In generale si raccomanda un approccio basato su diversi principi chiave, in particolare quello della segmentazione della rete per compartimentare i vari sistemi e limitare la propagazione di un attacco isolando i sottosistemi. Ciò implica sia la separazione di reti IT e reti OT, che raggruppano ICS e PLC che pilotano le apparecchiature, sia una segmentazione interna dell’infrastruttura OT di una data utility. D’altra parte, l’implementazione di firewall specifici per ambienti industriali e di sistemi di rilevamento delle anomalie permette agli operatori di individuare qualsiasi tentativo di manipolazione dei protocolli di rete o dei comandi impartiti ai sistemi automatizzati. Questo monitoraggio avanzato salvaguarda l’integrità dei processi e consente di anticipare qualsiasi potenziale minaccia. Il settore idrico deve progressivamente adottare soluzioni più sicure, integrando al contempo i principi di cybersicurezza in ogni fase operativa. Ciò però implica uno sforzo continuo di modernizzazione delle infrastrutture e un aggiornamento regolare dei sistemi. Inoltre, gli operatori e i gestori di infrastrutture idriche devono essere istruiti in termini di buone pratiche di cybersicurezza per reagire efficacemente in caso di incidente. La sensibilizzazione è essenziale per sviluppare una cultura della sicurezza e migliorare la resilienza di fronte agli attacchi.
Pubblico e privato devono collaborare
La messa in sicurezza delle infrastrutture del settore idrico è una sfida strategica importante. La modernizzazione dei sistemi, la segmentazione delle reti, l’implementazione di soluzioni di monitoraggio avanzate e la formazione continua degli operatori del settore sono leve essenziali per rafforzare la postura di sicurezza e la resilienza di fronte agli attacchi. Sebbene siano state messe in atto delle iniziative, queste devono intensificarsi al fine di garantire una protezione efficace di questa risorsa vitale. Un approccio proattivo e collaborativo tra enti pubblici e operatori privati è indispensabile per affrontare queste sfide e garantire la continuità dei servizi idrici e fognari, in un contesto digitale in costante evoluzione e di minacce onnipresenti.
