l'analisi

Il caso Colonial Pipeline è l’ultimo monito per una Italia poco cyber

Il ransomware che blocca la fornitura di petrolio negli Usa è solo l’ultimo caso che mostra una fragilità pericolosissima. E se gli Usa stanno correndo ai ripari verso un problema sottovalutato, in Italia siamo ancora più in ritardo e più vulnerabili. Ecco perché

13 Mag 2021
Alessandro Curioni

Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity - Data Protection

ransomware

Improvvisamente nella prima metà di maggio del 2021 il mondo si è accorto che quanto accade oltre uno schermo può avere una serie di conseguenze significative nel mondo reale.

Il fatto è ben noto da molti anni a chi si occupa di cybersecurity e il caso della Colonial Pipeline che ha precauzionalmente chiuso il più grande oleodotto della East Coast dopo un attacco ransomware, è stata soltanto l’ennesima conferma.

Se un ransomware minaccia gli equilibri del petrolio: la nostra fragilità ci può costare carissima

Infrastrutture critiche industriali sotto attacco

Senza tornare al famigerato Stuxnet, il malware utilizzato da Stati Uniti e Israele per sabotare il programma nucleare iraniano nel 2006, negli anni i casi non sono mancati.

WHITEPAPER
Intelligent enterprise: dall’azienda estesa alla filiera integrata e collaborativa
IoT
Manifatturiero/Produzione

Tra il 2014 e il 2015 la rete elettrica ucraina è stata colpita da Black Energy e Industroyer con conseguenti black out.

Ancora più recentemente sono stati attaccati sistemi di distribuzione dell’acqua potabile sia in Israele che negli Stati Uniti.

L’elenco potrebbe essere molto più lungo, ma sarebbe superfluo elencare quelli che sono centinaia di casi che hanno ispirato anche il mio prossimo libro. Piuttosto il tema riguarda prima le ragioni per cui i sistemi SCADA e ICS sono un’enorme questione di sicurezza e poi se e come si può fare qualcosa per ridurre dei rischi che allo stato attuale sono completamente fuori controllo.

IT-OT: il pericolo arriva dal passato e dal futuro

L’Internet delle Cose, soprattutto di quelle grandi o grandissime, si presenta con un grado di vulnerabilità molto elevata determinata da due fattori concomitanti: le vetustà di molti sistemi e la compatibilità retroattiva. In particolare i sistemi industriali (SCADA e ICS) hanno richiesto alle aziende investimenti significativi, di conseguenza hanno un ciclo di vita molto lungo.

In questo settore non è raro incappare in oggetti che montano sistemi operativi che risalgono alla “preistoria” dell’informatica e quindi non sono più supportati dai produttori. Il secondo tema è quello della compatibilità retroattiva che garantisce a chi dispone di SCADA o ICS la possibilità di integrare nuovi sistemi dotati di software più recente. In sostanza l’ultimo arrivato si adatta a quello che trova effettuando il downgrade di sé stesso, che lo porta a ereditare tutte le debolezze presenti nei dispositivi più vecchi.

Questa combinazione apre le porte a una tipologia di attacco non banale, ma non impossibile, che va sotto il nome di downgrade o roolback attack che proprio grazie all’interoperabilità e comunicazione tra sistemi di diverse generazioni consente di indurre un sistema a «abbassare» il proprio livello di sicurezza per comunicare con un altro più vecchio. Il caso più noto riguarda la vulnerabilità scoperta in OpenSSL con degrado della comunicazione TLS alla versione SSL 3.0.

Se tutto questo è un’eredità che ci arriva dal passato un “regalo” del futuro è l’integrazione delle reti OT (quelle industriali) e IT (quelle gestionali). Se le prime abbiamo visto che hanno un ciclo di vita decisamente lungo, le seconde viaggiano ad “alta velocità”. Fino a ieri la risposta stava nella completa segregazione delle due, ma ormai sembra che siano destinate a integrarsi sotto la pressione dei veri o presunti vantaggi di business. Questa convergenza propone un doppio problema di sicurezza. Da una parte quello che non risulta pericoloso rispetto a sistemi recenti potrebbe rivelarsi una minaccia devastante per quelli obsoleti. Di conseguenza i primi potrebbero essere semplicemente il ponte per raggiungere l’obiettivo sensibile all’attacco. Dall’altra parte le reti OT potrebbero a loro volta rappresentare, cole le loro vulnerabilità note, il punto di ingresso ideale per bypassare le più recenti contromisure.

Perimetro è la parola sbagliata

L’idea stessa che si possa in qualche modo delimitare un oggetto come la Rete e una società come quella dell’informazione appare piuttosto stravagante soprattutto per chi si occupa di sicurezza da molti anni e dal almeno un decennio si è confrontato con la cosiddetta “scomparsa del perimetro”.

Appare un richiamo a un passato che non tornerà più quello di parlare di perimetro di sicurezza nazionale cibernetica. Cloud computing, Internet delle Cose, smart working, rendono perfino difficile immaginare il terreno su cui andrebbe disegnato tale perimetro che a questo punto, per fare un esempio banale, dovrebbe comprendere i router domestici di centinaia di migliaia di lavoratori e quindi relative famiglie. Aggiungiamo poi come i diversi oggetti smart che popolano case e uffici creano falle di natura imprevedibile.

Giusto per fare un esempio banale e anche un po’ “ridicolo” tre anni orsono nella rete di un’azienda del petrolchimico con sedi in diversi paesi europei si diffuse ripetutamente, nel giro di pochi giorni un ransomware che bloccò le attività dell’organizzazione. Dopo avere escluso l’impossibile si scoprì la verità, per quanto improbabile apparve al momento.

Il dispositivo “untore” in cui si annidava il malware era la macchina del caffè aziendale di ultima generazione connessa alla rete wifi. Di fronte a situazioni di questo genere è facile comprendere quanto il termine perimetro risulta per lo meno inadeguato per definire lo spazio digitale da porre sotto tutela.

Quale strategia per la difesa Paese

Il più delle volte quando qualcuno pronuncia la parola “strategia” mi viene l’orticaria, perché non di rado un piano strategico è lastricato di buone intenzioni, più o meno come la strada che porta all’inferno. In realtà almeno alcune cose si potrebbero fare.

La prima riguarda un allineamento tra gli investimenti nell’innovazione digitale e quelli in cyber security, a maggior ragione se arrivano dallo Stato.

Poiché il legislatore, soprattutto quello europeo, sta faticosamente cercando di regolamentare la società dell’informazione attraverso norme “risk based” forse dovrebbe applicare la stessa logica alle indicazioni attuative nel momento in cui eroga finanziamenti.

Cyber security, la strategia europea: facciamo il punto

In concreto se domani vengono stanziati 10 miliardi di euro per un progetto di digitalizzazione dei sistemi elettrici; l’istituzione che li eroga svolgerà un adeguato risk assessment che tenga conto delle minacce, del loro potenziale impatto sulla comunità e delle possibili contromisure, quindi stabilirà quale quota dello stanziamento debba essere destinata inderogabilmente all’implementazione di tali contromisure.

La cyber security nel PNRR: troppo poco e senza organicità

E’ vero che i rischi si trasformano nel tempo, ma ciò non toglie che la security by design sia un elemento chiave, perché se progetto un’auto senza impianto frenante ci sono ben poche possibilità di riuscire a montarlo quanto la macchina è finita. C’è poi una seconda opportunità, che peraltro richiederebbe giusto la volontà di essere messa in opera.

Mi riferisco a un tema a me molto caro, quello dell’educazione digitale nelle scuole, che per sua natura dovrebbe comprendere anche la cybersecurity.

Sull’argomento ho già scritto proprio su queste pagine spiegando come sulla carta esistono già mezzi e risorse per iniziare a lavorare, certo sarebbe opportuno fossero potenziati, ma ciò non toglie quanto vecchio adagio: “tra il dire e il fare c’è di mezzo il mare” resta ancora oggi tristemente vero.

.

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4