L’industria idrica non viene spesso associata alla cybersicurezza, ma i cambiamenti degli ultimi anni, con un crescente utilizzo dell’automazione e la rapida adozione di strumenti digitali, hanno introdotto il tema anche in questo settore, così come nel settore energy. Eppure, secondo una ricerca del Water Sector Coordinating Council, oltre un terzo degli operatori idrici globali ha allocato solo l’1% del proprio budget alla cybersecurity. Spesso però anche l’assessment dei rischi, i piani di mitigation e le azioni di recovery sono ancora sottovalutati. Abbiamo fatto il punto della situazione con Emanuele Temi, Technical Sales Engineer di Nozomi Networks, società specializzata in cybersecurity.
Quali sono le principali minacce cyber che interessano il settore idrico?
Le minacce che interessano questo settore possono essere molteplici e provenienti da differenti ambiti: interni ed esterni. Sul fronte interno: l’errore umano o il malfunzionamento di un apparato che ha un impatto sull’esercizio del sistema può avere importanti conseguenze ed essere difficile da individuare, specie se si tratta di malfunzionamenti sporadici e con una frequenza difficilmente individuabile. Sul fronte esterno, attaccanti motivati possono sicuramente costituire una minaccia rilevante.
A cosa mirano gli attacchi cyber?
I dati intesi come dati personali degli utenti sono probabilmente di scarso interesse in questo contesto, dato che in un impianto di questo tipo sono quasi del tutto inesistenti. Sarebbe diverso se parlassimo di database di utenti che utilizzano un servizio pubblico come potrebbe essere l’INPS. In questo caso, degli attaccanti potrebbero decidere di colpire queste infrastrutture vedendo in prima istanza un’opportunità di guadagno tramite ransomware ed estorsione esattamente come accade per altri settori. Quindi, qui non si parla di attacco mirato ma di facilità o meno, dal punto di vista dell’attaccante, di ottenere il pagamento di quanto richiesto per consentire al legittimo proprietario di tornare in possesso della propria infrastruttura. Una seconda categoria di attacchi, sicuramente preoccupante perché già vista all’opera in altri paesi, è quella di un atto di cyberwar con l’obiettivo di colpire la popolazione civile servita da quell’infrastruttura. È già successo, ad esempio negli Stati Uniti, che attaccanti abbiano tentato di modificare il livello delle sostanze chimiche usate per purificare l’acqua, mostrando che non si tratta soltanto di uno scenario teorico.
Esiste una consapevolezza del rischio tra le multiutility italiane?
Direi di sì, e molte tra queste stanno già prendendo contromisure per indirizzare il problema e monitorare anche questo aspetto della cybersecurity vista nel suo complesso. E’ un processo che ha richiesto anni, ma oggi è ormai generalmente noto che il problema è presente e che potrebbe avere impatti anche molto gravi.
Quali sono gli strumenti di protezione più indicati per gli attori di questo settore?
Gli strumenti di protezione maggiormente indicati allo scopo sono quelli che passivamente sono in grado di analizzare il traffico di rete in modo approfondito (Deep Packet Inspection, DPI) così da poter fornire visibilità di dettaglio sugli attori e sulle comunicazioni osservate sulla rete. Solo dopo aver definito il perimetro da monitorare è possibile passare alla detection di operazioni anomale sull’infrastruttura e mettere in atto le contromisure necessarie. Uno strumento di questo tipo deve essere in grado di analizzare la singola variabile di automazione scambiata sulla rete ma, contemporaneamente, anche scalare nel caso di infrastrutture distribuite sul territorio permettendo di monitorarle tutte allo stesso tempo. In questo caso l’utilizzo di una soluzione SaaS, come Vantage di Nozomi Networks, permette di raggiungere l’obiettivo senza la necessità di sacrificare la visibilità in sito necessaria