Tra le ultime e più inquietanti notizie per quello che riguarda gli attacchi informatici ci sono i casi di attacchi contro le infrastrutture critiche.
Ovvero quelle infrastrutture indispensabili al funzionamento di uno stato e al benessere dei suoi cittadini. Tra i più spaventosi ci sono gli attacchi contro le organizzazioni che svolgono funzioni vitali per i cittadini, come ad esempio ospedali, case di cura, aziende di servizi, banche, ecc.

Proprio per questo oggi vogliamo fare il punto della situazione per quello che riguarda la sicurezza informatica degli impianti che gestiscono una risorsa essenziale per la vita umana: l’acqua.

Attacchi informatici agli Impianti Idrici
  1. Digitalizzazione degli impianti e rischi cyber
  2. Strategie di mitigazione dei rischi
  3. Passaggi per la messa in sicurezza
  4. Casi reali passati
  5. Analisi conclusiva

Digitalizzazione degli impianti e rischi cyber

Negli ultimi anni, gli impianti idrici si sono sempre più digitalizzati iniziando ad utilizzare apparecchiature IoT e OT, e sfruttando i vantaggi dei sistemi di gestione da remoto. Questo ne ha aumentato l’efficienza e ha semplificato alcune operazioni ma le ha anche esposte a rischi di nuovo tipo: quelli informatici. Fino ad un paio di decenni fa nessun hacker avrebbe trovato vantaggioso attaccare queste strutture. Oggi invece, le compromissioni delle infrastrutture critiche è divenuta un’attività estremamente remunerativa per gli aggressori. All’aumento delle tecnologie in gioco e delle minacce cibernetiche però, non è corrisposto un aumento negli investimenti per la sicurezza informatica e per la valutazione dei rischi. Il che rende il settore idrico estremamente vulnerabile.

Negli ultimi anni sono stati definiti degli standard (ISO, ISA, altri) e messi a disposizione dall’EPA strumenti appositi il self-assessment, documenti informativi e guide per rendere i sistemi di approvvigionamento idrico e di trattamento delle acque a prova di calamità, naturale o informatica.

Strategie di mitigazione dei rischi

Nel 2022 è stato redatto il primo piano di sicurezza idrica dal ERNCIP (European Reference Network for Critical Infrastructure Protection).
Il documento analizza tutti gli aspetti della sicurezza idrica a sia fisica che cibernetica e sono individuati tre elementi che dovrebbero avere priorità assoluta nella gestione della sicurezza dei sistemi informatici in questo ambito:

  • Definire uno stato “normale”: Come prima cosa è necessario capire quale sia lo stato standard di traffico dati, di pacchetti in circolazione tra gli indirizzi IP, le porte e i protocolli. Per fare questo vengono raccolti ed analizzati i dati mentre l’impianto è in funzione. Trovato uno stato normale, ogni deviazione potrà essere interpretato come un campanello di allarme
  • Protezione in tempo reale: Un altro aspetto fondamentale è il rilevamento delle anomalie in modo che sia possibile valutare i casi e intervenire tempestivamente contro gli attacchi o i malfunzionamenti. In questo ambito è indispensabile avere una buona qualità nell’analisi delle informazioni e la supervisione dei dati 24/7. I potenziali aggressori, infatti, saranno veterani dell’hacking e cercheranno di creare anomalie trascurabili per non dare l’occasione alla società di respingere l’attacco.
  • Implementazione di un Security Information and Event Management (SIEM): Si tratta di uno strumento che permette di anticipare i potenziali incidenti. Si basa su metodi di correlazione tra i dati provenienti da diversi livelli che permette di creare un quadro completo della situazione. Così facendo permette a chi gestisce l’emergenza di prendere decisioni meglio circostanziate.

Passaggi per la messa in sicurezza

Ovviamente ogni piano di messa in sicurezza prevede delle fasi che permettano il raggiungimento degli obiettivi prefissati.
Per quello che riguarda il settore idrico è possibile individuare una roadmap composta di 5 fasi:

  1. Pianificazione: Non si può navigare a vista, la possibilità che un malintenzionato possa attare attraverso la rete deve sempre essere tenuta in considerazione. Proprio per questo è necessario mettere al sicuro i sistemi preventivamente ed elaborare piani per il rilevamento, il contrasto e il recupero.
  2. Formazione del personale: I dipendenti devono essere costantemente aggiornati sulle minacce in circolazione e allenati a riconoscerle. Proprio come per i piani anti-incendio, ciascuno deve sapere quale procedure seguire nel caso individui dei segnali sospetti o nel caso sia noto l’attacco.
  3. Collaborazione: Diverse strutture possono avere le stesse vulnerabilità la condivisione di strategie difensive e delle informazioni relative a vulnerabilità e rischi può aiutate ad innalzare i livelli di sicurezza.
  4. Fare pulizia: Monitorare periodicamente lo stato dei sistemi, quelli non sorvegliati o obsoleti potrebbero dover essere sostituiti o protetti per evitare di divenire facili prede per i malintenzionati
  5. Investire risorse: La maggior parte delle strutture in questo settore non ha ancora la percezione degli sforzi necessari a mitigare i rischi di attacchi hacker. Questo si riscontra facilmente se si considera il budget investito in cybersecurity che è spesso irrisorio rispetto a quello che sarebbe necessario.

Casi reali di attacchi informatici ad impianti idrici

Se pensate che gli attacchi informatici agli impianti idrici siano rari, vi sbagliate di grosso: negli ultimi decenni sono stati numerosi, sia da parte di cyber gang criminali, che di singoli. Ecco i casi più rilevanti:

Italia, 2023

Nel febbraio del 2023, i criminali di BlackBasta hanno colpito la società di servizi ACEA. Si è trattato di un attacco di tipo Ransomware che non ha avuto conseguenze dirette sulle forniture dei servizi. Ma si è concentrato più sull’esfiltrazione e la pubblicazione di una mole incredibile di dati. La ACEA ha subito informato l’agenzia nazionale per la Cybersicurezza e la polizia postale che sono intervenute in sostegno dell’azienda romana.

Regno Unito, 2022

La South Staffordshire PLC è la società che fornisce acqua potabile nel Regno Unito. Lo scorso agosto ha subito un attacco informatico ad opera della gang Clop, già nota per i suoi attacchi contro le infrastrutture critiche. Ad essere compromesso è stato il Thames Water, l’impianto che rifornisce Londra e la sua periferia di acqua e si occupa del trattamento delle acque reflue. L’attacco, che è stato volutamente sferrato in concomitanza con un momento di grave siccità non ha, per fortuna, portato a conseguenze drastiche grazie alla rapidità con cui è stato rilevato e contrastato.

Montenegro, 2022

Nello stesso mese durante un attacco informatico a tappeto contro le infrastrutture critiche del Montenegro, gli hacker hanno preso di mira tra gli altri, i sistemi di approvvigionamento idrico.

Norvegia, 2021

La Volue, società norvegese che fornisce software e applicazioni per gli impianti di trattamento delle acque, è stata colpita da Ryuk ransomware all´inizio di Maggio 2021. L´attacco poi si è esteso arrivando a coinvolgere oltre 200 fornitori pubblici di acqua norvegesi. Questo ha dato un forte impulso per la messa in sicurezza dell´azienda.

Florida, 2021

Il caso più eclatante risale al febbraio 2021 quando l’impianto per il trattamento delle acque di Oldsmar è stato colpito da un attacco che mirava ad aumentare i livelli di idrossido di sodio (soda caustica) presenti nell’acqua. I rischio era l’avvelenamento di tutti i cittadini a cui quell’acqua era destinata. Anche in questo caso i criminali sono riusciti ad accedere tramite credenziali di accesso a software per la gestione da remoto condivise tra più utenti e hanno poi sfruttato delle vulnerabilità di Windows 7. L’attacco è stato contrastato in modo efficiente e non ha portato a conseguenze notevoli.

Israele, 2020

A Dicembre 2020 alcuni criminali informatici hanno individuato delle falle nel sistema di controllo di un serbatoio di acqua riciclata. Era possibile, infatti accedere al sistema di interfaccia umano-macchina da internet senza alcuna richiesta di autenticazione. Si è trattato di un anno terribile gli impianti idrici israeliani che sono stati diffusamente vittime di attacchi da parte, sembra, di hacker affiliati al governo iraniano che miravano ad avvelenare l’acqua aumentando i livelli di Cloro ivi contenuti. A quanto si sa, non ci dovrebbero essere state vittime e questo avrebbe dato una forte spinta al paese per migliorare le difese informatiche delle infrastrutture critiche.

Kansas, 2019

Nella contea di Ellswort un ventiduenne ha manomesso il sistema di depurazione del Post Rock Rural Water District. Il giovane aveva lavora to per la compagnia ma il rapporto si era concluso nei mesi precedenti. Il punto cruciale di questo attacco è che l’autore non è uno spietato hacker ma un ex-dipendente. Le credenziali che ha utilizzato gli erano state fornite legittimamente per l’espletamento delle sue funzioni ma, a diversi mesi da suo licenziamento erano ancora funzionanti e permettevano facilmente un accesso non autorizzato. Anche in questo caso, una tragedia è stata solo sfiorata.

North Carolina, 2018

Nell’ottobre 2018 ci sono state due violazioni informatiche ai danni della Onslow Water and Sewer Authority (ONWASA), un’azienda che rifornisce di acqua circa 150000 abitazioni con sede a Jacksonville. A distanza di circa dieci giorni prima Emotet e successivamente Ryuk sono riusciti a fare breccia nelle difese della società, che è stata costretta a spegnere parte della sua infrastruttura informatica per limitare la diffusione e a rallentare l’attività. Anche in questo caso, le conseguenze sono state solo la per struttura IT e non per l’erogazione dei servizi, ma sarebbe potuta andare molto peggio.

Michigan 2016

Nel 2016 un dipendente incauto della Lansing Board of Water and Light dello stato del Michigan fece clic su un allegato dannoso causando un’ intrusione hacker. I sistemi di distribuzione di elettricità e acqua non sono stati colpiti ma diversi altri servizi sono rimasti inabilitati per diverso tempo. Infine gli amministratori hanno deciso di cedere e pagare il riscatto.

Georgia, 2013

Nel 2013 ancora una volta la tragedia è stata sfiorata quando dei criminali sono riusciti ad accedere fisicamente ai pannelli di controllo dell’acqua e a modificare le impostazioni relative alla quantità di fluoro e cloro presenti. In seguito a questo attacco ibrido la popolazione è stata invitata a non utilizzare l’acqua del rubinetto per diversi giorni. Gli autori non sono stati individuati ma la possibilità più plausibile, anche a detta del direttore dell’impianto, è che a compiere questo gesto possa essere stato qualche ex-dipendente ancora in possesso delle chiavi.

California, 2007

Ancor prima, già nel 2007 un ex-dipendente di un sistema di canali californiano aveva installato un programma non autorizzato per deviare una parte dell’acqua del fiume. Anche in questo episodio l’ex-dipendente aveva ancora accesso indiscriminato ai pannelli di controllo, in quanto il suo pass non era stato disabilitato.

Australia, 2000

Tra il marzo e l’aprile del 2000 un ex-impiegato nell’impianto di trattamento delle acque reflue di Maroochy ha scelto un modo molto pericoloso per vendicarsi di una mancata assunzione. Dopo aver tentato per ben 46 volte un accesso illecito ai sistemi informatici della società senza che ne fosse rilevato neanche uno è riuscito a prendere il controllo dell’impianto da remoto. Ha dirottato alcuni ordini arrivando a danneggiare una delle pompe e a provocare lo scarico di acque reflue nei fondali marini: un grave danno per la flora e la fauna locali e per gli abitanti che hanno dovuto convivere con dei cattivi odori per un certo tempo.

Conclusioni

Guardando alla time-table degli incidenti informatici che hanno coinvolto impianti idrici negli ultimi 25 anni, si notano degli andamenti estremamente chiari. Nei primi anni 2000, gli attacchi erano per lo più vendette personali di ex-dipendenti insoddisfatti che riuscivano ad accedere fisicamente all’impianto per manometterlo.

Col passare del tempo gli autori degli attacchi sono diventate le più famigerate gang ransomware ma incredibilmente i punti di accesso non sono cambiati di molto: le credenziali non più in uso ma ancora attive o le credenziali condivise da molti utenti. A distanza di oltre 20 anni dal primo caso riportato ci sono ancora impianti idrici troppo vulnerabili che non pianificano investimenti seri nella sicurezza informatica. Sebbene ancora non ci siano state tragedie legate alle intrusioni negli impianti idrici, e sebbene gli hacker si siano concentrati finora, prevalentemente sui guadagni economici, gli episodi passati evidenziano come avvelenare l’acqua potabile sia facile quanto chiedere un riscatto per questi criminali. Nessuno ci può assicurare che gli hacker inizino a minacciare la salute pubblica per ottenere un riscatto milionario o che lo stesso possa succedere come parte di attacchi in ambito di guerra ibrida.

Le strategie specifiche di prevenzione e mitigazione dei rischi cominciano ad esistere per cui la domanda diventa: vogliamo davvero arrivare a rischiare una tragedia?

Articoli che potrebbero interessarti: