C’è stato un tempo in cui gli attacchi informatici contro i sistemi cyber-fisici (CPS) erano quasi esclusivamente confinati all’ambito teorico. I sistemi di controllo industriale (ICS) erano protetti da air gap, i dispositivi medici risultavano analogamente isolati e i sistemi di gestione degli edifici (BMS) operavano in modo autonomo e autosufficiente.
La diffusione della connettività, però, ha profondamente trasformato questo scenario. Le aziende stanno oggi collegando le tecnologie operative (OT) a Internet, trasferendo nel cloud dati di elevato valore e proprietà intellettuale. Allo stesso tempo, i dispositivi dell’Internet of Medical Things (IoMT) stanno entrando in rete a un ritmo sempre più rapido, abilitando non solo innovazioni salvavita, ma anche diagnosi più tempestive e raccomandazioni terapeutiche in grado di migliorare l’assistenza ai pazienti.
Indice degli argomenti
I sistemi cyber-fisici nella nuova superficie d’attacco
Naturalmente, gli hacker hanno intercettato in questo contesto nuove opportunità. Con il progressivo collegamento dei sistemi cyber-fisici a Internet e al cloud, le stesse vulnerabilità che colpiscono le reti aziendali diventano terreno fertile per i malintenzionati, estendendosi anche ai dispositivi OT, ICS e IoMT.
Gli ospedali di tutto il mondo sono stati ripetutamente colpiti da attacchi ransomware che hanno interrotto servizi critici e compromesso l’assistenza ai pazienti su più livelli. Allo stesso modo, attacchi motivati da ragioni geopolitiche contro la sicurezza di sistemi ICS e OT in Ucraina e in altri Paesi hanno messo a rischio la disponibilità di energia, acqua e altri servizi essenziali. Gli attori delle minacce stanno così adottando approcci sempre meno opportunistici e sempre più mirati contro i CPS.
Claroty ha analizzato una serie di minacce che colpiscono i sistemi cyber-fisici e che stanno diventando sempre più concrete, abbandonando definitivamente il piano puramente teorico.
Dispositivi edge e accessi illeciti nelle reti OT
Una tendenza particolarmente rilevante e al tempo stesso preoccupante è il crescente numero di criminali che sviluppano framework progettati appositamente per colpire dispositivi edge, hypervisor e altre infrastrutture di rete che, nella maggior parte dei casi, non supportano soluzioni di endpoint detection and response (EDR). Sebbene le soluzioni EDR siano altamente efficaci nell’individuare la maggior parte dei malware ed exploit noti, esistono apparecchiature e tecnologie che non ne consentono l’implementazione. Nel corso dell’ultimo anno, gli hacker hanno quindi concentrato i propri sforzi sull’individuazione e sullo sfruttamento di vulnerabilità zero-day e falle comuni, con l’obiettivo di inserire backdoor in questo tipo di tecnologie.
Questa tendenza dovrebbe indurre a una riflessione approfondita in relazione ai CPS, considerando che molti sistemi ICS, sensori dell’Internet of Things (IoT) e altri dispositivi connessi che compongono l’ecosistema CPS non supportano anch’essi l’EDR. Un simile accesso illecito espone la rete, abilita movimenti laterali e, nel contesto dei CPS, può mettere seriamente a rischio i processi fisici.
I CPS richiedono un monitoraggio continuo della rete e delle minacce, nonché l’adozione di una serie di controlli compensativi per far fronte alle difficoltà di patching tipiche sia degli ambienti OT sia di quelli sanitari. Misure come la segmentazione della rete contribuiscono in modo significativo a contenere questo tipo di attacchi e a costruire sistemi realmente resilienti.
Estorsione, ransomware e impatti sui servizi essenziali
Gli ambienti sanitari, così come altri settori delle infrastrutture critiche, sono stati fortemente colpiti da attacchi a fini estorsivi. Queste campagne articolate prendono il via con un accesso furtivo alle reti e con l’esfiltrazione di dati sensibili dell’organizzazione, dei clienti o dei pazienti. I proprietari e gli operatori degli asset vengono, quindi, minacciati di diffondere tali informazioni e di avviare successivi attacchi ransomware qualora le richieste di riscatto non vengano soddisfatte.
Le organizzazioni caratterizzate da un’elevata concentrazione di asset possono subire conseguenze rilevanti anche quando i CPS non rappresentano l’obiettivo primario. Ospedali impossibilitati ad accedere alle cartelle cliniche dei pazienti o sistemi di imaging basati su Windows colpiti da ransomware possono essere costretti a deviare i pazienti verso altre strutture. Allo stesso modo, i settori delle infrastrutture critiche — come energia, servizi pubblici e acqua — affrontano concreti rischi per la sicurezza pubblica qualora i processi vengano interrotti o compromessi da ransomware o altri attacchi informatici.
Un’ulteriore criticità riguarda le attività di ripristino. Per quanto tempo i sistemi critici resteranno offline? Per quanto tempo i pazienti dovranno essere dirottati verso altre strutture o la fornitura di energia risulterà compromessa? In alcuni casi, le organizzazioni si trovano ad affrontare settimane di attività di recupero, con costi estremamente elevati per il business.
I sistemi cyber-fisici davanti all’accelerazione dell’AI
Una ricerca condotta da Anthropic ha portato alla luce una campagna sponsorizzata dalla Cina che ha manipolato la famiglia di Large Language Models “Claude” per condurre attacchi informatici contro numerose aziende tecnologiche di alto valore, istituzioni finanziarie, aziende chimiche ed enti governativi. Nel proprio avviso, Anthropic ha dichiarato: «Riteniamo che questo sia il primo caso documentato di un attacco informatico su larga scala eseguito senza un sostanziale intervento umano».
Le imprese hanno investito in modo significativo nell’intelligenza artificiale e stanno già registrando benefici immediati in termini di efficienza e innovazione. Parallelamente, anche gli attaccanti stanno trasformando l’intelligenza artificiale generativa e i Large Language Models (LLM) – come Claude – in strumenti a duplice uso, capaci di accelerare e rendere più complessi ed efficaci gli attacchi. Il gioco del gatto e del topo è ufficialmente iniziato.
