Conferenza CSE

Impianto di trattamento delle acque colpito da un attacco informatico

840

Un attacco hacker in Florida ha quasi avvelenato le acque di un’intera cittadina

È di qualche giorno fa la notizia di un attacco hacker ai danni di un impianto di trattamento delle acque di Oldsmar, cittadina di 15mila abitanti in Florida. Gli autori hanno tentato di portare i livelli di liscivia, una sostanza chimica già presente nell’acqua potabile, dalle normali 100 parti per milione (ppm) a 11.100, un aumento esponenziale e una quantità sufficiente ad avvelenare l’intera cittadina qualora questa acqua modificata avesse raggiunto le singole abitazioni partendo dall’acquedotto.

Fortunatamente il tentativo di intrusione è stato scoperto e prontamente bloccato. Un dipendente del sistema idrico infatti ha rilevato la disfunzione e ha subito regolato la liscivia sui livelli normali. In tutto, secondo le autorità cittadine, l’attacco sarebbe durato tra i 3 e i 5 minuti.

Ma come è possibile avvelenare una città con un attacco hacker? I criminali hanno basato il loro tentativo sull’aumento oltre le soglie di sicurezza della liscivia fornita da questi acquedotti. Il composto in questione viene normalmente utilizzato per controllare l’acidità dell’acqua ed è sostanzialmente innocuo se assunto nelle quantità limite ma andando oltre questi valori si rischiano danni seri e immediati per la salute.

L’acqua municipale è facilmente bersaglio degli hacker in quanto l’infrastruttura informatica in Florida non è aggiornata e su di essa non vengono fatti investimenti per migliorare la situazione.

Gli attacchi informatici ai sistemi cittadini infatti sono da tempo temuti dagli esperti di sicurezza in materia. Nell’ultimo decennio, dalle dighe ai gasdotti, sono stati introdotti sistemi di gestione che permettono il monitoraggio di questi ultimi da remoto. La trasformazione digitale di queste infrastrutture comporta però anche il rischio che qualcuno provi ad entrarvi dall’esterno e a manometterne il funzionamento, esattamente come appena avvenuto in Florida, ma non solo.

Negli ultimi anni altri attacchi di questo tipo sono avvenuti in diversi paesi del mondo: recentemente, scrive il New York Times, alcuni hacker affiliati alle Guardie rivoluzionarie iraniane avevano cercato di attaccare il sistema idrico di Israele, senza riuscirvi, e Israele si era vendicato a sua volta compiendo un attacco informatico contro un porto iraniano. In passato gli Stati Uniti avevano creato un virus, Stuxnet, con l’obiettivo di sabotare il software della centrale nucleare iraniana di Natanz, e nel 2017 hacker russi avevano cercato di manomettere alcune centrali elettriche, ma l’attacco era stato fermato in tempo. Sempre degli hacker russi, lo stesso anno, avevano compiuto un attacco informatico a un impianto petrolchimico saudita, disabilitandone i sistemi di sicurezza. Addirittura già nel 2013 alcuni hacker iraniani entrarono nel sistema di gestione di una piccola diga nello stato di New York, la “Bowman Avenue dam”. Ancora oggi non è chiaro il motivo di un attacco ad una diga così piccola, forse in realtà confusa per errore, con la molto più grande “Arthur R. Bowman dam”, che però si trova in Oregon.

Sebbene il metodo di intrusione nell’attacco in Florida fosse l’abuso delle credenziali di accesso remoto condivise tra i dipendenti, ci sono molti altri approcci che gli hacker possono utilizzare per infiltrarsi nelle infrastrutture critiche. Con la maggiore interconnessione fornita da Internet, non ci sono più molte strutture che possono fare affidamento sull’isolamento o su un vuoto d’aria per la sicurezza. Mentre gli attori statali sono più concentrati sull’infiltrazione nella rete elettrica, potrebbe diventare più semplice attaccare strutture municipali apparentemente meno critiche e meno protette. 

Ma quindi questo attacco poteva essere evitato? Dalle informazioni note su questo incidente informatico, sicuramente poteva essere prevenuto con un accesso tecnico remoto configurato in modo più sicuro. Questa struttura consentiva l’ingresso ai loro sistemi ICS con un pacchetto software chiamato TeamViewer, che non era configurato in modo sicuro e forse nemmeno un software autorizzato. Oltre al problema dell’accesso remoto insicuro, viene in mente un’altra difficoltà operativa: perché l’applicazione HMI ha consentito un tale valore per l’idrossido di sodio? Come ha affermato Jeremy Morgan, consulente in materia di rischi e soluzioni, “questo è stato solo un tentativo scadente, a meno che l’autore dell’attacco non abbia modificato anche i file delle impostazioni o qualcosa di ancora più profondo. I team di ingegneri non dovrebbero mai costruire un HMI che lo consenta, e anche se ne hai bisogno per emergenze o manutenzione, dovrebbero esserci blocchi manuali sulla valvola che richiedono l’intervento umano. Questo è il territorio del sistema di controllo 101 “. Tutte le strutture infrastrutturali devono essere più consapevoli dei problemi di sicurezza informatica.

Ci sono due aspetti principali della consapevolezza. Il primo aspetto è la formazione dei dipendenti sulle migliori pratiche per la sicurezza informatica. Nel caso della struttura di trattamento della Florida, l’incidente poteva essere prevenuto da migliori pratiche di sicurezza delle password e regole sulla condivisione degli account tra i dipendenti. Il secondo aspetto è disporre dei prodotti di sicurezza informatica appropriati per applicare e controllare le migliori pratiche di sicurezza, identificare rapidamente le intrusioni e fornire avvisi contestuali agli esperti che possono mitigare un attacco. 

Con l’aumento degli attacchi di sicurezza informatica OT, le aziende devono essere più proattive nell’implementare controlli di sicurezza informatica più forti e selezionare gli strumenti giusti per aiutarle a farlo. 

Lascia una risposta

L'indirizzo email non verrà pubblicato.