Infrastrutture energetiche: affrontare le minacce informatiche
La digitalizzazione ha introdotto innegabili vantaggi nel settore energetico in termini di flessibilità e ottimizzazione della rete di distribuzione. Allo stesso tempo, però, ha generato significative vulnerabilità, che si traducono in ulteriori punti di intrusione in un'area già fisicamente estesa tra produzione, trasmissione e distribuzione dell'energia. Ecco perché le infrastrutture energetiche, essenziali e vitali per la nostra economia, sono sempre più esposte al rischio di attacchi informatici.
Cosa possiamo fare per proteggere i numerosi punti di accesso a queste infrastrutture critiche? Come ridurre al minimo i danni, dall'interruzione delle operazioni alla distruzione fisica delle apparecchiature? Grazie a una migliore comprensione dei vari metodi utilizzati dai criminali informatici, dei tipi di attacco più comuni e delle soluzioni disponibili, i gestori delle infrastrutture potranno prepararsi al meglio e affrontarli.
Una superficie di attacco estesa
Anche prima del passaggio al digitale, le infrastrutture energetiche presentavano una particolare ripartizione geografica, basata su diversi centri di produzione e su una rete di distribuzione frammentata. Di conseguenza, la superficie di attacco risulta già estesa e lo diventerà ancora di più con l'arrivo di innumerevoli sensori, automi e oggetti connessi, l'interconnessione delle reti e l'accesso agli ambienti cloud.
Le postazioni di lavoro, i vari dispositivi connessi e persino i flussi di comunicazione sono tutti potenziali punti di intrusione per i criminali informatici. Questo perché le infrastrutture energetiche sono vecchie di decenni, così come alcuni dei loro impianti. Si ritiene che in generale abbiano superato i 50 anni, ma solo la parte informatica si è mantenuta al passo con le tendenze e ha ammodernato le proprie strumentazioni. La parte operativa (OT) invece, è rimasta generalmente allo stato originale.
Al punto che (troppi) macchinari funzionano ancora oggi con versioni di software vecchie e obsolete che non sono state aggiornate in merito alle ultime vulnerabilità. Con sistemi scollegati e/o reti private all'interno di impianti e centrali elettriche, il rischio è stato ridotto al minimo. Ma la (nota) convergenza IT/OT ha messo in discussione questo isolamento già fragile.
Al contempo, i vari dispositivi utilizzati nelle centrali elettriche, idroelettriche e termiche non sono stati progettati con un approccio di Cybersecurity-by-Design. Tutti questi sensori, siano essi IED (Intelligent Electronic Devices), RTU (Remote Terminal Units) o altri, non appena collegati si trasformano in punti di intrusione facilmente accessibili ai criminali informatici.
Come se non bastasse, questi ambienti spesso utilizzano sistemi "chiavi in mano" che non sono stati progettati per ricevere le patch di sicurezza.
Al di là di questi punti di accesso iniziali, i protocolli di comunicazione utilizzati nel settore energetico rappresentano un'altra grande criticità in termini di sicurezza informatica. Questo perché sono stati spesso sviluppati in un periodo in cui la sicurezza non era una priorità. Il protocollo IEC-104, ad esempio, è comunemente utilizzato per la telemetria nel settore della produzione di energia. Ma non dispone di alcun meccanismo di autenticazione o crittografia, il che lo rende estremamente vulnerabile agli attacchi informatici. Lo stesso vale per il protocollo GOOSE (Generic Object Oriented Substation Events, una funzionalità dello standard IEC 61850). Originariamente progettato per limitare i controlli (che richiedono tempo) e accelerare la resilienza del sistema in caso di guasto, questo protocollo può essere facilmente sfruttato per introdurre pacchetti malevoli. Tale vulnerabilità interessa anche le connessioni remote, come nel caso della telemanutenzione. Essenziali, ad esempio, per l'efficienza operativa delle sottostazioni, queste connessioni possono anche essere sfruttate per l'accesso non autorizzato (e malevolo) alla rete.
Per raggiungere più facilmente questi diversi punti, i criminali informatici possono sfruttare diversi vettori di attacco : di rete, software, fisico o addirittura umano. Un vettore umano è ancora più sensibile nel settore dell'energia, caratterizzato dalla presenza di un gran numero di subappaltatori.
Attacchi informatici polimorfi
Per colpire il settore energetico, i criminali informatici utilizzano diversi tipi di attacco. Trattandosi di un segmento in cui la continuità operativa è fondamentale, gli attacchi Denial of Service (DDoS) e i ransomware costituiscono parte integrante dell'arsenale offensivo classico.
Ma lo spionaggio e il sabotaggio delle infrastrutture energetiche possono assumere altre forme. O seguire anche altri percorsi, come la catena di approvvigionamento. Questo tipo di attacchi hanno quindi la particolarità di colpire i fornitori e i partner commerciali del settore energetico. Attraverso queste realtà, molto meno sicure e quindi più vulnerabili, i criminali informatici ottengono un accesso indiretto alle reti delle aziende energetiche. Questi attacchi sono particolarmente insidiosi perché sfruttano il legame di fiducia tra le aziende energetiche e i loro fornitori di servizi.
In aggiunta a questo già consistente arsenale, esse devono affrontare un ulteriore rischio: la natura altamente sensibile del settore suscita infatti l'interesse degli attori statali nell'ambito di conflitti geopolitici. Si arriva persino a investire in minacce informatiche specializzate, programmate per colpire apparecchiature o processi operativi specifici. Stuxnet nel 2010, BlackEnergy nel 2015 e Industroyer nel 2016 costituiscono tutti esempi di rilievo. Il malware Industroyer, ad esempio, è in grado di rilevare e sfruttare i protocolli di comunicazione utilizzati in una rete industriale e può colpire efficacemente i sistemi energetici.
Più recentemente, i malware Industroyer.V2 e Cosmicenergy hanno spostato l'attenzione sulla protezione dell'OT, mentre altri attacchi informatici si concentrano sul settore IT. Scoperto dai team di Mandiant nel 2023, il malware Cosmicenergy intercetta i comandi passati attraverso il protocollo IEC-104 per interagire con le RTU e la rete OT. "Con questo accesso, un aggressore può inviare comandi da remoto per influenzare il funzionamento degli interruttori e dei disgiuntori della linea elettrica al fine di interrompere l'alimentazione", si legge nell'articolo dei ricercatori. Questo malware non è stato rilevato in seguito a un attacco, ma è stato... scaricato da una utility pubblica di analisi dei malware. Che si tratti di un colpo di fortuna o di un passo falso, questo episodio dimostra che i criminali informatici stanno concentrando le loro ricerche su malware che prendono di mira i protocolli energetici industriali.
Protezione nel settore energetico
Di fronte a questa situazione e a tali minacce, come possiamo proteggere il settore dell'energia? 2018, Guillaume Poupard, all'epoca direttore generale dell'ANSSI, si è presentato davanti alla commissione francese per gli affari esteri, la difesa e le forze armate per mettere in guardia sulle conseguenze di un attacco alle reti di distribuzione energetica di un Paese.
"Sul campo, possiamo notare che il settore energetico francese ha già implementato una serie di sistemi di sicurezza su misura per le proprie attività - spiega Khobeib Ben Boubaker, Head of Industrial Security Business Line presso Stormshield. Un approccio che sta iniziando a dare i suoi frutti in termini di sicurezza informatica. "
Approfondimento continua sul sito Stormshield
Una superficie di attacco estesa
Anche prima del passaggio al digitale, le infrastrutture energetiche presentavano una particolare ripartizione geografica, basata su diversi centri di produzione e su una rete di distribuzione frammentata. Di conseguenza, la superficie di attacco risulta già estesa e lo diventerà ancora di più con l'arrivo di innumerevoli sensori, automi e oggetti connessi, l'interconnessione delle reti e l'accesso agli ambienti cloud.
Le postazioni di lavoro, i vari dispositivi connessi e persino i flussi di comunicazione sono tutti potenziali punti di intrusione per i criminali informatici. Questo perché le infrastrutture energetiche sono vecchie di decenni, così come alcuni dei loro impianti. Si ritiene che in generale abbiano superato i 50 anni, ma solo la parte informatica si è mantenuta al passo con le tendenze e ha ammodernato le proprie strumentazioni. La parte operativa (OT) invece, è rimasta generalmente allo stato originale.
Al punto che (troppi) macchinari funzionano ancora oggi con versioni di software vecchie e obsolete che non sono state aggiornate in merito alle ultime vulnerabilità. Con sistemi scollegati e/o reti private all'interno di impianti e centrali elettriche, il rischio è stato ridotto al minimo. Ma la (nota) convergenza IT/OT ha messo in discussione questo isolamento già fragile.
Al contempo, i vari dispositivi utilizzati nelle centrali elettriche, idroelettriche e termiche non sono stati progettati con un approccio di Cybersecurity-by-Design. Tutti questi sensori, siano essi IED (Intelligent Electronic Devices), RTU (Remote Terminal Units) o altri, non appena collegati si trasformano in punti di intrusione facilmente accessibili ai criminali informatici.
Come se non bastasse, questi ambienti spesso utilizzano sistemi "chiavi in mano" che non sono stati progettati per ricevere le patch di sicurezza.
Al di là di questi punti di accesso iniziali, i protocolli di comunicazione utilizzati nel settore energetico rappresentano un'altra grande criticità in termini di sicurezza informatica. Questo perché sono stati spesso sviluppati in un periodo in cui la sicurezza non era una priorità. Il protocollo IEC-104, ad esempio, è comunemente utilizzato per la telemetria nel settore della produzione di energia. Ma non dispone di alcun meccanismo di autenticazione o crittografia, il che lo rende estremamente vulnerabile agli attacchi informatici. Lo stesso vale per il protocollo GOOSE (Generic Object Oriented Substation Events, una funzionalità dello standard IEC 61850). Originariamente progettato per limitare i controlli (che richiedono tempo) e accelerare la resilienza del sistema in caso di guasto, questo protocollo può essere facilmente sfruttato per introdurre pacchetti malevoli. Tale vulnerabilità interessa anche le connessioni remote, come nel caso della telemanutenzione. Essenziali, ad esempio, per l'efficienza operativa delle sottostazioni, queste connessioni possono anche essere sfruttate per l'accesso non autorizzato (e malevolo) alla rete.
Per raggiungere più facilmente questi diversi punti, i criminali informatici possono sfruttare diversi vettori di attacco : di rete, software, fisico o addirittura umano. Un vettore umano è ancora più sensibile nel settore dell'energia, caratterizzato dalla presenza di un gran numero di subappaltatori.
Attacchi informatici polimorfi
Per colpire il settore energetico, i criminali informatici utilizzano diversi tipi di attacco. Trattandosi di un segmento in cui la continuità operativa è fondamentale, gli attacchi Denial of Service (DDoS) e i ransomware costituiscono parte integrante dell'arsenale offensivo classico.
Ma lo spionaggio e il sabotaggio delle infrastrutture energetiche possono assumere altre forme. O seguire anche altri percorsi, come la catena di approvvigionamento. Questo tipo di attacchi hanno quindi la particolarità di colpire i fornitori e i partner commerciali del settore energetico. Attraverso queste realtà, molto meno sicure e quindi più vulnerabili, i criminali informatici ottengono un accesso indiretto alle reti delle aziende energetiche. Questi attacchi sono particolarmente insidiosi perché sfruttano il legame di fiducia tra le aziende energetiche e i loro fornitori di servizi.
In aggiunta a questo già consistente arsenale, esse devono affrontare un ulteriore rischio: la natura altamente sensibile del settore suscita infatti l'interesse degli attori statali nell'ambito di conflitti geopolitici. Si arriva persino a investire in minacce informatiche specializzate, programmate per colpire apparecchiature o processi operativi specifici. Stuxnet nel 2010, BlackEnergy nel 2015 e Industroyer nel 2016 costituiscono tutti esempi di rilievo. Il malware Industroyer, ad esempio, è in grado di rilevare e sfruttare i protocolli di comunicazione utilizzati in una rete industriale e può colpire efficacemente i sistemi energetici.
Più recentemente, i malware Industroyer.V2 e Cosmicenergy hanno spostato l'attenzione sulla protezione dell'OT, mentre altri attacchi informatici si concentrano sul settore IT. Scoperto dai team di Mandiant nel 2023, il malware Cosmicenergy intercetta i comandi passati attraverso il protocollo IEC-104 per interagire con le RTU e la rete OT. "Con questo accesso, un aggressore può inviare comandi da remoto per influenzare il funzionamento degli interruttori e dei disgiuntori della linea elettrica al fine di interrompere l'alimentazione", si legge nell'articolo dei ricercatori. Questo malware non è stato rilevato in seguito a un attacco, ma è stato... scaricato da una utility pubblica di analisi dei malware. Che si tratti di un colpo di fortuna o di un passo falso, questo episodio dimostra che i criminali informatici stanno concentrando le loro ricerche su malware che prendono di mira i protocolli energetici industriali.
Protezione nel settore energetico
Di fronte a questa situazione e a tali minacce, come possiamo proteggere il settore dell'energia? 2018, Guillaume Poupard, all'epoca direttore generale dell'ANSSI, si è presentato davanti alla commissione francese per gli affari esteri, la difesa e le forze armate per mettere in guardia sulle conseguenze di un attacco alle reti di distribuzione energetica di un Paese.
"Sul campo, possiamo notare che il settore energetico francese ha già implementato una serie di sistemi di sicurezza su misura per le proprie attività - spiega Khobeib Ben Boubaker, Head of Industrial Security Business Line presso Stormshield. Un approccio che sta iniziando a dare i suoi frutti in termini di sicurezza informatica. "
Approfondimento continua sul sito Stormshield
Mercati: Sicurezza industriale
Parole chiave: Cyber security
- Matteo Marconi