cybersecurity

Fabbriche sotto attacco cyber, ecco perché siamo esposti alla catastrofe

I nuovi strumenti di attacco, che non fanno altro che sfruttare antiche ed intrinseche vulnerabilità delle reti di sistemi per il controllo industriale, non mettono a rischio solo le “vecchie” infrastrutture critiche ma anche l’Industria 4.0 e la futura società basata su pervasive tecnologie “smart”.

21 Giu 2017
Corrado Giustozzi

Docente LUISS, Rexilience

cyber_106365116

La scorsa settimana ha fatto notizia, anche al di fuori delle reti degli addetti ai lavori, l’annuncio della scoperta di un malware specificamente progettato per attaccare i sistemi di distribuzione dell’energia. Denominato Industroyer da alcuni ricercatori e CrashOverride da altri, questo malware dalla provenienza incerta è il principale indiziato dell’attacco che lo scorso 17 dicembre ha provocato un black-out di circa 75 minuti nella fornitura dell’energia elettrica a Kiev, capitale dell’Ucraina.

Subito etichettato come “la più grande minaccia ai sistemi di controllo industriale dai tempi di Stuxnet”, Industroyer è effettivamente un malware ben confezionato e potenzialmente assai pericoloso: oltre infatti a disporre di tutte le funzioni proprie ed ormai tipiche della sua categoria quali la modularità, la capacità di aprire backdoor sulla macchina ospite, la capacità di collegarsi al server di Comando e Controllo mediante connessioni protette (tramite rete Tor), la capacità di persistenza e quella di sfuggire agli antivirus, esso offre in più la capacità di interagire direttamente con praticamente tutti i sistemi di controllo industriale grazie alla presenza di moduli specializzati che implementano i principali protocolli standard di comunicazione e controllo impiegati nel settore energetico, ossia  IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e  OLE for Process Control Data Access (OPC DA). In questo modo, una volta installato ad esempio in un sistema di controllo di sottostazione, esso può non solo monitorare l’attività degli attuatori ma anche controllarli direttamente, inviando loro comandi che essi eseguiranno docilmente.

Industroyer è stato sicuramente sviluppato da qualcuno che non solo conosce molto bene i sistemi di controllo industriale in termini generali, ma ha anche familiarità con i principali prodotti di mercato. Ad esempio nel suo codice è presente un modulo in grado di sferrare un attacco di tipo Denial of Service indirizzato specificamente verso i sistemi Siemens SIPROTECT, sfruttando una vulnerabilità di questi apparati nota sin dal 2015 (CVE-2015-5374); mentre un altro componente del payload sembra essere stato sviluppato ad hoc per certi prodotti di controllo dell’alimentazione industriale commercializzati da ABB. Tuttavia, a fronte di una evidente similarità funzionale tra Industroyer ed altri malware già noti per attaccare i sistemi di distribuzione dell’energia, quali BlackEnergy e KillDisk, i ricercatori non hanno rilevato alcuna somiglianza a livello di codice: segno che Industroyer è un progetto autonomo, o comunque non direttamente derivato da altri malware analoghi conosciuti.

Ma al di là dei proclami un po’ allarmistici sulla micidialità di questo nuovo malware e in generale sull’elevarsi del livello della minaccia cibernetica verso le infrastrutture critiche, che purtroppo finiscono paradossalmente per anestetizzare il grande pubblico nei confronti della reale percezione del rischio, quale è la riflessione che andrebbe realmente fatta? Sicuramente la qualità degli strumenti di attacco è in crescita, e non lo si può ignorare: tuttavia il vero problema è che i sistemi critici da cui dipende il funzionamento della nostra società sono ancora troppo vulnerabili, essendo intrinsecamente privi, per ragioni storiche e tecniche, di difese strutturali native. La loro protezione quindi non è un “nice to have” ma un “must”, ed andrebbe affrontata in modo più sistematico ed efficace a tutti i livelli. Certo la cosa non è facile, per un numero enorme di motivi: ma è indubbio che l’intero mondo dei sistemi di controllo industriale deve affrontare un drammatico cambio di passo se vuole continuare a dormire (e farci dormire) sonni tranquilli.

Ma perché ci troviamo in questa situazione? Innanzitutto per via della rapidissima penetrazione delle tecnologie ICT nel mondo dei controlli industriali avvenuta in questi ultimi anni. In passato i sistemi ICS (Industrial Control System) erano governati da logiche di controllo realizzate ad hoc ed implementate mediante microcontrollori programmabili. Questi apparati avevano scarsissima potenza di calcolo e limitata capacità di comunicazione: attorno ad essi si sono sviluppati quindi dei protocolli di interfacciamento verso sensori ed attuatori estremamente semplici ed efficienti, dotati delle sole funzioni “core” sia per facilità di implementazione e debugging che per le intrinseche limitazioni dell’hardware. Questo ha significato, ad esempio, l’assoluta assenza nei protocolli di concetti quali “utente”, “autenticazione”, “autorizzazione”, peraltro assolutamente non necessari nel contesto classico in cui tali sistemi operavano. Infatti, e questo è il secondo fattore rilevante, i sistemi di controllo industriale si sono sviluppati in un momento storico ed in un ambito operativo nei quali la sicurezza IT non li tangeva e non era considerata un rischio, essendo tutti gli apparati isolati dal mondo esterno non solo fisicamente ma, soprattutto, logicamente.

Lo sviluppo dei microcomputer prima, e dei computer personali dopo, ha tuttavia portato ben presto a sostituire molti degli apparati di controllo e supervisione dedicati con PC commerciali basati su sistemi operativi standard, sui quali era ovviamente più facile sviluppare software. Successivamente la diffusione della connettività a basso costo basata su TCP/IP ha portato a mettere in rete tali apparati per facilitarne la gestione ed il controllo da remoto.  Le reti ICS sono dunque diventate a tutti gli effetti delle reti di sistemi ICT, con tutte le vulnerabilità di sicurezza di questi ultimi ma non le stesse difese. E con la differenza, rispetto al mondo puramente ICT, che sfruttandone le vulnerabilità non si ottengono solo effetti logici: si possono aprire valvole, chiudere interruttori, attivare motori. Nel dominio dei sistemi cyber-physical gli effetti di un attacco cyber si riflettono direttamente sul mondo fisico, e i danni sono reali, tangibili e potenzialmente spaventosi.

Il contesto tecnico-operativo inoltre non consente una facile risoluzione dei problemi. Tanto per cominciare, un sistema ICS di norma non si può fermare e quindi il suo software di base non viene quasi mai aggiornato; gli aggiornamenti peraltro richiederebbero una ricertificazione formale di tutti i sistemi, operazione complessa e costosa che assai raramente viene affrontata. Inoltre non si può correre il rischio che qualche processo si blocchi o anche semplicemente venga rallentato, e quindi non è possibile installare ad esempio antivirus o software di sicurezza locali sulle macchine di controllo né IDS/IPS sulle reti di connessione. Ecco perché è così comune trovare impianti industriali o sistemi di controllo dell’energia che dipendono ancora da computer basati su XP “barebones”, e tuttavia facilmente raggiungibili in rete da remoto. Anche la sostituzione degli attuali protocolli di comunicazione industriali con nuove versioni più moderne e sicure procede fra mille ostacoli e difficoltà, perché per farli girare servono macchine più potenti e non è facile sostituire d’un colpo apparati e sistemi obsoleti ma ancora perfettamente funzionanti, i quali sono stati pensati (ed ammortizzati) per durare in esercizio decenni.

Ultimamente, grazie anche a casi spiacevoli come quelli verificatisi sempre in Ucraina nel 2015, la sensibilità internazionale è fortunatamente in aumento su questi temi. La Direttiva NIS, emanata lo scorso anno e di obbligatoria attuazione entro la prima metà del 2018, obbliga ad esempio tutti gli Stati Membri dell’Unione Europea ad attuare contromisure che innalzino la sicurezza di molti comparti critici, tra cui ovviamente quello industriale. Ma contestualmente è in atto una forza contraria che, sotto l’impulso di una innovazione ed un progresso che si vogliono sempre più rapidi, spinge l’industria a sviluppare sempre più in fretta sistemi sempre più complessi e sempre più connessi, spesso tralasciando in nome del “time to market” ogni considerazione strutturale relativa alla sicurezza dei singoli sistemi e del sistema complessivo. La Fabbrica 4.0, le città intelligenti, le smart grid, i dispositivi IoT ubiqui e pervasivi, sono realizzazioni straordinarie che però non possono non tenere conto delle mutate esigenze di sicurezza date dal contesto e dal periodo nel quale viviamo. Il rischio che la nostra società sta correndo è quello di star poggiando infrastrutture straordinariamente critiche su fondamenta di argilla, che sarebbe un errore dalla portata potenzialmente davvero catastrofica.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati