Colonial Pipeline, se è l’infrastruttura IT (non l’OT) il problema per la sicurezza: la lezione | Agenda Digitale

cyber security

Colonial Pipeline, se è l’infrastruttura IT (non l’OT) il problema per la sicurezza: la lezione

Come ci insegna anche il recente caso Colonial Pipeline, nella stragrande maggioranza degli attacchi informatici la parte del sistema più vulnerabile non è l’infrastruttura di Operational Technology ma la buona vecchia Information Technology. Ecco perché

04 Giu 2021
Alberto Berretti

Dipartimento di Ingegneria Civile ed Ingegneria Informatica, Universita' di Tor Vergata

Photo by Anton Maksimov juvnsky on Unsplash

L’attacco informatico a Colonial Pipeline negli Stati Uniti è arrivato sui giornali, andando quindi ben oltre un pubblico di esperti, anche per gli effetti concreti che tale attacco ha prodotto. Ma non è il primo, e non è un punto di svolta epocale dal punto di vista della metodologia dell’attacco (lo è per le conseguenze e per le reazioni).

Occorre dunque fare un po’ di chiarezza.

Il caso Colonial Pipeline è l’ultimo monito per una Italia poco cyber

Perché la sicurezza dell’infrastruttura OT è cruciale per le aziende

Gli impianti industriali moderni sono tipicamente controllati da sistemi informatici: sensori, attuatori, RTU (remote terminal units), sistemi SCADA (Supervisory Control And Data Acquisition) che sono quanto di più simile vi sia al “computer” tradizionale in questo contesto – rilevatori di guasto, router, modem, e così via. Questi componenti sono collegati tra di loro tramite reti informatiche di vario tipo, non solo a livello di supporti fisici (dalla rete Ethernet tradizionale a varî protocolli wireless, fibra ottica, CANbus, etc.) ma anche a livello di protocolli, taluni specializzati. Tutto ciò rientra in quella parte del sistema informatico dell’azienda che passa sotto la sigla di “Infrastruttura OT”, dove OT sta per Operational Technology: tecnologia operativa, il “sistema nervoso” degli impianti. La sicurezza di questa parte dell’infrastruttura informatica dell’azienda è fondamentale per garantirne le funzionalità: qui non è in gioco la riservatezza l’integrità o la disponibilità dell’informazione, secondo il tradizionale schema RID che caratterizza l’analisi della sicurezza dell’informazione, ma sono in gioco le funzioni specifiche. Si tratta di un terreno altamente complesso perché vi è molta meno standardizzazione, vi sono molti dispositivi, sistemi operativi, applicazioni, etc. specifici del settore industriale, la documentazione è spesso scarsa e non liberamente disponibile, i protocolli proprietari, e così via.

NEWSLETTER
Cloud, Software e molto altro. Non perdere le notizie più rilevanti della Newsletter di ZeroUno
CIO
CRM

Ma ogni azienda ha anche, parallelamente a quest’infrastruttura informatica, un’altra infrastruttura informatica del tutto tradizionale: tutta la parte gestionale, alle prese con aspetti mondani come gestire i clienti, inviare e rispondere alle email, occuparsi di siti web e della comunicazione aziendale, occuparsi della fatturazione e degli stipendi dei dipendenti – la cosiddetta infrastruttura IT (la buona vecchia Information Technology).

Il grosso dell’attenzione mediatica, recentemente, si è concentrato sugli incidenti che accadono nella parte OT della rete dell’azienda. Non senza ragione: una serie di vicende di altro profilo negli ultimi 15 anni hanno portato alla ribalta proprio l’importanza di mettere in sicurezza le infrastrutture critiche, a partire dalla vicenda Stuxnet[1]. Gli effetti eclatanti[2] (turbine che si rompono, impianti petrolchimici sabotati, impianti di purificazione delle acque che introducono sostanze in quantità potenzialmente tossiche nell’acqua potabile e cosí via…) contribuiscono ovviamente a creare un clima di attenzione esattamente su questa parte dell’infrastruttura da parte dell’opinione pubblica.

I problemi (gravi) sul “versante” IT

Ma a parte un piccolo numero di casi – e anche in questo piccolo numero di casi, se facciamo bene attenzione ai dettagli – il problema non è nella rete OT, ma nella buona, vecchia, cara infrastruttura informatica gestionale.

Nel dicembre del 2019 la società multi-utilities italiana IREN è stata colpita da un attacco ransomware che non ha causato l’interruzione dei servizi operativi, ma di molte altre funzioni aziendali, ad esempio.

Utility sotto attacco cyber: cosa impariamo dagli ultimi casi

Ma la vicenda dell’impianto di purificazione dell’acqua in Florida sopra citato è emblematica: un singolo computer con installato Windows 7, che non è più supportato da Microsoft da gennaio 2020 quindi vulnerabile secondo ogni metrica ragionevole di vulnerabilità, modalità di autenticazione degli utenti deboli, e l’utilizzo di strumenti come TeamViewer per il controllo a distanza degli impianti sono errori gravi che non hanno nulla a che fare con la sicurezza dell’infrastruttura OT e che potevano essere evitati a costo zero o quasi zero, semplicemente mettendo in atto quelle misure elementari di sicurezza che ogni security manager che conosce il suo mestiere sa[3].

Le “connessioni” tra rete operativa e rete informatica gestionale

La rete operativa è raramente totalmente disconnessa dalla rete informatica gestionale, in pratica. Il modo in cui le due reti possono essere connesse dal punto di vista pratico sono tantissimi: tipicamente sono connesse in forma completamente ufficiale, magari con un firewall in mezzo in cui delle porte vengono aperte su richiesta per permettere la gestione e la manutenzione remota dal comodo della propria scrivania. Porte che vengono aperte sul firewall magari in seguito a una telefonata o a una email a un operatore (chi scrive parla per esperienza diretta). A volte la rete direttamente operativa (ad es. nel settore della distribuzione dell’energia, la rete nelle cabine di distribuzione) è solo a un paio di firewall di distanza dalla rete gestionale, dove per firewall magari si intende un router con un packet filter. Ci possono essere delle VPN (reti private virtuali) configurate male. O molto più semplicemente ci si affida alla sicurezza delle password che regolano l’accesso alle risorse, e al fatto che “tanto stiamo su un’intranet, su una rete privata”: intranet sì, ma che riceve email e naviga sul web, e quindi vulnerabile a ogni tipo di attacco di phishing. O al ransomware.

Il fatto che nessuna azienda vuole ovviamente vendere servizi che non può fatturare implica che attacchi all’infrastruttura gestionale possono riflettersi immediatamente in una interruzione del servizio, come nel caso di Colonial Pipeline, fatto che viene percepito dall’opinione pubblica come un attacco alla rete operativa.

Se prendiamo il settore della distribuzione dell’energia elettrica, ad esempio, non sono noti attacchi all’infrastruttura operativa, eccetto quanto successo in Ucraina nel dicembre 2015, in un contesto sostanzialmente bellico. E nel caso ucraino, l’attacco è iniziato comunque nella parte gestionale delle reti informatiche, utilizzando metodi tradizionali di attacco (spearphishing e un malware come BlackEnergy che era già noto dal 2007[4]), muovendosi poi sui sistemi di controllo (SCADA) e da lì agendo sulla rete operativa.

Conclusioni

Per troppo tempo la sicurezza dell’infrastruttura informatica aziendale è stata affidata a una pila di scartoffie con la motivazione della “certificazione” e degli standard. Chi scrive è perfettamente cosciente dell’importanza sia degli standard, che della certificazione che delle scartoffie che ne conseguono, ma queste cose non possono essere un sostituto alla verifica della sicurezza “con le mani sul ferro” per vedere davvero come stanno le cose (verifica della sicurezza “con le mani sul ferro” che peraltro nella dizione “vulnerability assessment” fa anche parte delle scartoffie medesime).

Il problema nasce quando si spendono cifre assolutamente significative per la messa in sicurezza di una infrastruttura operativa, spesso utilizzando soluzioni al limite dello sperimentale, per evitare attacchi che hanno una probabilità di accadere estremamente piccola, che hanno un’altra origine, che prendono altre strade e che possono essere evitati potenziando la sicurezza informatica “tradizionale” della parte gestionale della propria infrastruttura. A partire dalla gestione dell’autenticazione degli utenti, che non può essere affidata, negli anni 20 del XXI secolo, alle semplici password. A partire dalla gestione dei backup. A partire dalla gestione degli aggiornamenti del software e del firmware dei propri dispositivi, che può essere fatto solo a condizione di avere soluzioni di asset management all’altezza e non solo qualche foglio Excel.

  1. v. ad es. https://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet ma la quantità di letteratura sulla vicenda Stuxnet è sterminata
  2. https://www.eenews.net/stories/1060123327 ehttps://www.pewtrusts.org/en/research-and-analysis/blogs/stateline/2021/03/10/florida-hack-exposes-danger-to-water-systems
  3. v. https://www.scmagazine.com/perspectives/understanding-floridas-water-treatment-hack-and-how-to-stop-future-attacks/
  4. https://blog.threatstop.com/2016/03/07/threatstop-report-blackenergy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4