Difese insufficienti: infrastrutture elettriche, petrolifere, gas e idriche a rischio cyber-attacchi

Elettrico, petrolifero, gas e idrico: sono i settori critici su cui si basa l'operatività di qualsiasi Paese al mondo. E sono, tutti, oggetto di attacchi degli hacker. A documentare questa faccia del grande fenomeno della cyber criminalità ci ha pensato anche quest'anno uno dei principali specialisti al mondo in fatto di soluzioni di sicurezza, e cioè McAfee, l'azienda per cui Intel ha speso 7,7 miliardi di dollari.

Nel report "Minacce nell'ombra. I settori delle infrastrutture critiche affrontano gli attacchi cibernetici", redatto in collaborazione con il Center for Strategic and International Studies (Csis, organismo no-profit con sede a Washington) e presentato ieri alla stampa a Milano, è stato fotografato in dettaglio lo stato delle vulnerabilità (e dei relativi danni) delle infrastrutture critiche al servizio della società civile nel mondo. Il rapporto non ha mancato di rimarcare anche un fenomeno collaterale molto diffuso: il numero delle aziende soggette a estorsioni sia cresciuto del 25% nello scorso anno e come India e Messico siano particolarmente interessate da questo fenomeno, con una percentuale di aziende colpite che va dal 60% all'80% del totale.

La premessa di fondo dello studio ha un nome ben preciso, Stuxnet. Il malware che, secondo indiscrezioni mai del tutto smentite, avrebbe sabotato un sistema di controllo industriale della Siemens installato in una centrale nucleare iraniana, ha trasformato il panorama delle minacce. Elevandole, come forse mai successo in precedenza, al rango di arma tanto sofisticata quanto efficace. Il numero degli attacchi contro organizzazioni che continuano a essere impreparate è in sostanziale aumento e il dato relativo alle aziende che operano nel settore delle infrastrutture elettriche (200 i responsabili della sicurezza informatica censiti in 14 nazioni) è nella fattispecie eloquente: il 40% ritiene infatti che le vulnerabilità sono aumentate, il 30% che la propria azienda non sia preparata per un attacco cibernetico e oltre il 40% si aspetta un attacco significativo entro il prossimo anno.

Ed altrettanto inequivocabile è il commento fornito da Stewart Baker, ricercatore che ha condotto lo studio per il Csis: "abbiamo rilevato che l'adozione di misure di sicurezza in settori civili fondamentali è rimasta molto indietro rispetto all'aumento delle minacce nel corso dell'ultimo anno. Nel corso degli ultimi dodici mesi i responsabili del settore hanno fatto progressi modesti per quanto riguarda la protezione delle proprie reti e lo conferma il fatto che i settori dell'energia e quello petrolifero e del gas hanno incrementato l'adozione di tecnologie di sicurezza di un solo punto e di tre punti percentuali rispettivamente". In parole povere la metà delle aziende che opera in questi comparti è esposto ai rischi di attacchi che possono minare e compromettere sistemi critici per una città, una regione o un intero paese. Mentre il livello delle minacce per queste infrastrutture è accelerato, altrettanto non è avvenuto per il livello delle reazioni delle organizzazione interessate, poco sensibili al fatto di aver rilevato con frequenza la presenza di malware creati appositamente per sabotare i loro sistemi. E questo non è certo un quadro che induce a pensare in positivo.

Non meno preoccupante è anche un altro indice, evidenziato di recente da Jim Woolsey, ex direttore dell'Intelligence Centrale degli Stati Uniti, secondo cui "il 90-95% delle persone che lavora sulle reti smart grid non si preoccupa della sicurezza e la considera solo come l'ultima casella da spuntare nel proprio elenco di priorità". Considerando che le smart grid elettriche, la cui adozione si sta diffondendo, sono uno dei filoni più importanti del programma globale per la riduzione dei consumi energetici (per le infrastrutture delle reti intelligenti si spenderanno nel 2015 fino 45 miliardi di dollari a livello globale) la scarsissima attenzione riposta al fattore security è sintomo di una problematica aperta. E registrare una dichiarazione come quella di Phyllis Schneck, vice president e Chief technology officer per l'intelligence nel settore pubblico di McAfee, che ha sostenuto come "i sistemi delle infrastrutture critiche non sono studiati in ottica di sicurezza cibernetica e le organizzazioni devono implementare controlli di rete più solidi per evitare di essere vulnerabili ad attacchi di questo tipo" lascia per lo meno perplessi.

©RIPRODUZIONE RISERVATA