Infrastrutture critiche sempre più a rischio

Lo conferma uno studio promosso da McAfee su aziende attive nel settore energetico. Da Stuxnet alle minacce per i sistemi Scada, alle responsabilità dei Governi. Fino alle soluzioni metodologiche, white list comprese.

Non bastano gli attacchi. Non bastano i ricatti.
Nonostante l’80% delle aziende attive nel settore delle infrastrutture elettriche nell’ultimo anno abbia subito attacchi di tipo Ddos e il 25% sia caduto vittima di ricatti o estorsioni, la sicurezza continua a non essere in cima alle priorità dei responsabili It.
Il dato, tanto più sconcertante quanto più oggetto di questi attacchi sono infrastrutture critiche, emerge dal secondo report realizzato da McAfee in collaborazione con il Center for Strategic and Internationa Studies dal titolo ”Minacce nell’ombra: le infrastrutture critiche affrontano gli attacchi cibernetici”.

Obiettivo dell’indagine, che ha visto interpellati 200 responsabili della sicurezza It di aziende nel settore delle infrastrutture elettriche in 14 nazioni, era valutare da un lato l’impatto degli attacchi sulle infrastrutture, dall’altro il livello di preparazione delle aziende nei confronti di possibili attacchi cibernetici.

I risultati non sono confortanti.
Perché se è vero che qualcosa è stato fatto in termini di protezione delle reti e di adozione di tecnologie di sicurezza, è altrettanto vero che questo ”qualcosa” è troppo modesto ( si parla di incrementi tra 1 e 3 punti dal 2009 al 2010) per generare ottimismo negli interpellati.
Così il 40% dei responsabili It si sente più vulnerabile rispetto al passato e il 30% ritiene che la sua azienda sia impreparata di fronte a un attacco. Attacco che oltre il 40% degli interpellati si aspetta entro il prossimo anno.

”Del resto – spiega Ottavio Camponeschi, vice president Sud Europa di McAfee – a fronte di uno scenario in veloce mutazione, le aziende stesse non hanno dato una risposta altrettanto rapida, continuando a relegare la spesa per la sicurezza agli ultimi posti delle loro priorità”.
Dal report emerge che Cina e Italia sono forse meglio protette rispetto a Paesi come Messico, Brasile e Francia. Nondimeno la situazione non è per nulla tranquilla, ”soprattutto perché ci stiamo muovendo velocemente verso l’adozione sempre più diffusa di infrastrutture e reti intelligenti. Tutto questo a partire da oggetti come i contatori dell’energia elettrica, tutti corredati di indirizzo Ip per abilitare servizi di interazione e gestione automatica”.
I contatori sono solo un esempio, ma Camponeschi estende la sua riflessione anche alla domotica, agli smartphone, ai semafori intelligenti.
”L’informatica è talmente pervasiva che tutto si svolge attraverso un indirizzo Ip. Nei nostri laboratori ogni anno registriamo decine di milioni di attacchi. Il problema è che, quando parliamo di infrastrutture critiche, sono proprio le metodologie di attacco che cambiano e spesso le aziende devono fare i conti con veri e propri ricatti che impongono pagamenti in denaro pur di non vedersi isolare tronconi di rete”.

Il caso che lo scorso anno ha fatto scuola è stato naturalmente Stuxnet, al quale si sono poi aggiunti altri malware come Night Dragon, progettati in modo specifico per sabotare i sistemi informatici delle infrastrutture critiche.
”Oggetto degli attacchi sono i sistemi di controllo industriale o i sistemi Scada pper la supervisione e l’acquisizione dati. È qualcosa di cui vi è consapevolezza, ma verso la quale non sono state messe in atto contromisure adeguate”.

Secondo Camponeschi si deve intervenire modificando l’approccio alla sicurezza, passando, in primo luogo, da un concetto di costo a uno di profitto.
Il secondo punto che Camponeschi evidenzia è che ”non si deve aggiornare tutto solo per il gusto di aggiornare”

Tutt’altro che provocatoria, la proposta di Camponeschi parte da un assunto di base importante: troppe macchine, a partire dalla pubblica amministrazione, non sono aggiornate o sono talmente obsolete da non poterlo essere.
”Su quella macchina che non tocco, che non aggiorno, agisco solo in un concetto di white listing: faccio girare solo alcune applicazioni. Questo è un approccio tipico nelle macchine Scada: gli Atm sono progettati per svolgere solo un numero limitato di funzioni e vengono protette limitatamente alla loro operatività”.

Tutto questo, nella visione di McAfee sposta l’approccio dal proteggersi a ogni costo al proteggersi con intelligenza. Approccio questo considerato indispensabile quanto più ci si muove verso l’embedded: ”La sicurezza dovrebbe diventare parte integrante dei processi produttivi”.

Considerazioni a parte meritano le azioni governative. Perché se è vero che una sensibilizzazione sui Governi è necessaria, se è vero che gli stessi Governi (o per lo meno alcuni di essi) si stanno alleando con i grandi enti per intraprendere azioni comuni per combattere il cyber crime, è altrettanto vero che non tutti i governi sono esenti da sospetti.
”Il sospetto che dietro alcuni attacchi ci possano essere stati enti governativi è stato più volte espresso”, conferma Camponeschi, che sottolinea anche come allo stato manchino ancora azioni impositive da parte dei Governi, alle quali debbano poi adeguarsi le imprese. Ed evidentemente, una simile situazione non fa accrescere l’incertezza e la mancanza di fiducia da parte degli enti. Non è certo un caso che oltre la metà degli interpellati nel corso dell’indagine si dica certa di aver già subito attacchi da parte del governo.
In tutto questo scenario, la domanda che sorge spontanea è: se la Cina risulta al momento uno dei paesi meglio protetti, non è per caso che sia per la precisa consapevolezza dei danni che può subire e per la conoscenza altrettanto precisa dei punti più vulnerabili di una infrastruttura?
Honi soit qui mal y pense, dicevano i francesi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome