Se il virus genera un black-out. Task force Ue per evitare cyber-attacchi alle infrastrutture strategiche

Se il virus genera un black-out

Stuxnet è stato scoperto l'anno scorso. È l'esempio di un malware – malicious software, che non vuol dire maligno, non malizioso – di nuova generazione: talmente sofisticato che, dicono gli addetti ai lavori, non può che averlo finanziato un Governo. Fatto sta che Stuxnet diventa attivo solo quando rileva la presenza di un sistema Scada della Siemens, viceversa è completamente innocuo. Il guaio è che i sistemi Scada per l'automazione industriale, una combinazione di hardware e software che "gira" sotto Windows, servono ad aprire rubinetti, attivare pompe, accendere e spegnere processi industriali. Stuxnet ne aveva solo e soltanto uno nel mirino: l'impianto di Natanz, dove viene arricchito l'uranio in Iran.

Questa è una realtà, non certo un'esercitazione. Grazie a Stuxnet, Natanz e altri quattro impianti iraniani che usano sistemi Scada (nonostante l'embargo internazionale) hanno avuto seri intoppi operativi. Altrove invece, il malware non ha fatto alcun danno. Ma ha ugualmente raggiunto i sistemi Scada di mezzo mondo. Italia inclusa.

La McAfee ha commissionato al Csis, il Center for Strategic and International Studies, un rapporto sugli attacchi digitali alle infrastrutture critiche. Sono stati intervistati i responsabili tecnici di 200 imprese elettriche, petrolifere, del gas e dell'acqua di 14 Paesi. Per farla breve, l'85% delle grandi imprese interpellate ha registrato almeno un'accesso non autorizzato alla propria rete. L'80% ha sperimentato attacchi DDos (così tante richieste di accesso a un server da paralizzarlo). E il 40% ha scoperto di avere Stuxnet nei propri sistemi. Anche le imprese intervistate in Italia? «Sì, e qualcuna per eradicarlo ha dovuto combattere», risponde Camponeschi, che ovviamente non vuol fare i nomi delle aziende. Anche se, diciamo la verità, le grandi aziende petrolifere ed elettriche italiane non sono molte più di due.

«Stuxnet intendeva colpire un bersaglio molto preciso», minimizza Evgeny Morozov, il giovane autore di The net delusion, nel quale sovverte un'idea diffusa: Internet è più utile ai dittatori che ai rivoluzionari. «Tanto le aziende che le agenzie nazionali della sicurezza, hanno interesse a creare allarme», rimarca. Eppure, a chiedergli se è vero che molte nazioni stanno ammassando "armi" digitali sotto forma di malware, risponde: «Certo che sì».

«Quanto accaduto in Estonia nel 2007 e in Georgia nel 2008 ha alzato il livello di consapevolezza», osserva Helmbrecht. In entrambi i casi, c'era in ballo una disputa (addirittura militare, nel caso georgiano) con la Russia. Il furto di certificati elettronici di pochi mesi fa, sul mercato europeo dei diritti a emettere CO2, ha convinto Bruxelles ad aumentare i livelli di sicurezza digitale, dopo che il mercato è rimasto chiuso per giorni. «Abbiamo fatto grandi passi avanti», assicura Helmbrecht, che ha guidato per anni la Bsi, l'Ufficio per la sicurezza digitale della Germania federale. «Stiamo organizzando i Cert come vere e proprie digital firebrigades, i vigili del fuoco digitali, per rispondere con rapidità e coordinazione agli attacchi che verranno».

Gli Stati Uniti si sono mossi prima. La direttiva Clinton del '98 è stata aggiornata da Bush nel 2003, in accordo con il Patriot Act post-11 settembre. Il Tesoro deve coordinare la protezione delle banche. Il ministero dei Trasporti è chiamato a difendere strade, ferrovie, aeroporti. E quello dell'Energia tutte le infrastrutture dell'elettricità. Fino a ieri, si temeva un attacco digitale che interrompesse la distribuzione del gas e quindi la generazione elettrica. Oggi, si teme qualcosa di più.

A settembre è convocata una conferenza a San José, in California, fra il Governo e tutte le utilities, sul tema: «Cyber-sicurezza per la distribuzione energetica». L'amministrazione Obama spinge per ammodernare il grid elettrico americano, trasformandolo in uno smart grid: un network fatto di contatori digitali (nei quali l'Italia è all'avanguardia) e sistemi di controllo intelligenti, grazie a un'iniezione di software e microprocessori. In questo modo, la rete diventa più efficiente: si possono gestire le naturali fluttuazioni delle rinnovabili e si risparmia un sacco d'energia e di soldi. «Nonostante le diffuse preoccupazioni sulla vulnerabilità della rete elettrica – si legge nel report di McAfee – le compagnie elettriche e i Governi sembrano decisi a raddoppiare i rischi... Si prevede che, entro il 2015, verranno investiti 45 miliardi sugli smart grid» in tutto il mondo.

Nell'ultimo quarto di secolo, la digitalizzazione ha raggiunto ogni angolo della società. Ma non è finita: la potenza di calcolo e le connessioni in rete hanno ancora ancora spazio per moltiplicarsi. Insieme ai benefici, cresceranno i rischi. Questa è la realtà. Benvenute le esercitazioni.

©RIPRODUZIONE RISERVATA