Attacco informatico alle Utilities: quali i rischi e quale la prassi? Azioni contro la centrale idrica in Florida e Stuxnet come casi studio

Di Giulia Guastella*

Roma. Nella narrativa delle minacce digitali, è un fatto notorio come l’expertise – nell’ambito del suo lavoro di analisi sugli attacchi informatici – abbia bisogno di appurare innanzitutto il target, ovvero quale sia il bersaglio prescelto dal cyber offensore per svolgere le proprie attività criminali.

Riuscendo a leggere le mosse dell’avversario, si può infatti intervenire per bloccare l’attacco.

Tuttavia, risulta prodromico a questo lavoro di analisi evidenziare quel distinguo che si sostanzia tra la guerra convenzionale, nota per far uso di tecniche di attacco tradizionali coadiuvate dall’utilizzo di strumenti privilegiati (si pensi alle guerre combattute a mezzo di cacciatorpedinieri, carri armati, missili da contraerea), e la cd. “guerra asimmetrica”, che segue altra tipologia di schemi.

Se infatti durante un’operazione militare si paralizza od oscura l’intelligence avversaria, le sue capacità di analisi del territorio e le comunicazioni, si è già fatto un grande passo in avanti nel migliorare le chances delle proprie forze armate. E, soprattutto, si avrà un’idea sulle successive mosse della controparte.

Quando parliamo di cyber war, il concetto principe intorno al quale deve ruotare la nostra analisi affinché siano più chiare le operazioni compiute su quella che è la “quinta dimensione della rivalità internazionale”[1], è quello di anonimato.

Pertanto, le considerazioni da fare sono diametralmente opposte: non vi è alcuna qualificazione delle parti in causa, non viene effettuato un confronto preventivo nell’ambito del quale venga stabilita un’equa distribuzione delle forze da spendere in campo, non vengono valutati pro e contro e, soprattutto, non vige nessun accordo in ordine alla gestione dei tempi e alle modalità di scontro.

Queste premesse implicano che la vittima non è in alcun modo preparata all’attacco che da un momento all’altro potrà ricevere.

Generalmente, l’attacco cibernetico si serve di un algoritmo codificato a mezzo di un computer per diffondere effetti pregiudizievoli di varia natura.

Tali effetti, poi, si differenziano in base alla tipologia di attacco (si va dal Trojan, al ransomware, al Ddos, allo spyware, al phishing, per citarne alcuni) o al suo sistema bersaglio (se, ed eventualmente quali, vulnerabilità possiede), e sono il prodotto dell’azione di due parti, che agiscono sulla scena in qualità di protagoniste: da un lato una parte attrice – non identificabile – , dall’altro la parte lesa – la vittima identificabile.

Il profilo della parte lesa spazia da quello del singolo utente che agisce da un dispositivo mobile o fisso, nella forma di privato cittadino o alternativamente di utente aziendale, fino a attori di più vasta portata.

Per dare un’idea quanto più chiara possibile del target, si pensi, ad esempio, che a ricevere un’intrusione sia un’entità le cui azioni producono effetti che possono ricadere nella sfera giuridica di terze parti: un sito istituzionale o una catena di distribuzione.

Oggi, apprendiamo che la linea di demarcazione delle vittime di attacchi informatici si spinge ben oltre le categorie classiche, andando ad integrare anche il settore delle utility.

Aumentano dunque i numeri dei dispositivi infettati, ma più di ogni altra cosa aumenta la portata del danno e l’escalation che questo, a vario titolo, può provocare sugli individui nonché su altri attori del medesimo scenario di riferimento.

Il fine che si prefigura la presente analisi è quello di mettere in luce le dinamiche concrete del fenomeno appena presentato, raccontando i rischi ai quali, oggi, vanno incontro le multinazionali del secondo settore.

Si porteranno in esame alcuni casi studio e la relativa prassi, utilizzando come cartina di tornasole i documenti ufficiali varati dai governi sui maggiori dossier della sicurezza cibernetica e le policies aziendali degli stessi Stati – bersaglio, con l’obiettivo di avviare un confronto pratico sugli schemi di protezione delineati dagli stessi governi.

Dopo un prioritario approccio introduttivo, risulta ora essenziale volgere uno sguardo alla prassi. Pertanto, si proseguirà illustrando gli istituti di cui si sostanzia la disciplina ed in seguito si evidenzieranno le maggiori criticità di un settore oggi tanto fondamentale quanto in palese rischio.

Il settore dell’energia elettrica: una minaccia concreta

Fonti ufficiali rivelano che ad esser maggiormente nel mirino, oggi, sia proprio il settore dell’erogazione dell’energia elettrica.

Tuttavia, anche qui occorre svolgere una doverosa quanto cauta premessa, che sia in grado di raccogliere tanto elementi scientifici quanto altri giuridici.

Se dalla Giurisprudenza apprendiamo che “in claris non fit interpretatio”, da un’indagine svolta su un campione di più di 100 dirigenti di aziende del settore, effettuata in oltre 20 paesi del mondo, è stato rilevato che la preoccupazione prima, a fronte di un attacco informatico, sia l’interruzione dell’erogazione di elettricità (il 57 per cento si ritiene molto preoccupato a tale proposito), seguito dalla sicurezza per dipendenti e/o clienti (53 per cento) e dai danni agli asset fisici della rete (43 per cento).

Questo dato emerge dal rapporto annuale effettuato nel 2017 da Accenture, Outsmarting Grid Security Threats, realizzato nell’ambito del programma di ricerca Digitally Enabled Grid.[2]

Se infatti, per un verso, lo sviluppo di nuove tecnologie digitali sta contribuendo al progresso scientifico in termini di sicurezza, qualità dei servizi ed efficienza operativa (soprattutto da quando è esplosa la pandemia da Covid – 19), d’altro canto non si può negare che la Cyber Security rappresenti fonte di preoccupazione nello sviluppo delle smart grid.

Come se non bastasse, le utilities sono sempre più esposte alla crescita dei dispositivi domestici connessi all’Internet of Things; e, nonostante l’esposizione al rischio non sia quantificabile con esattezza, il 77 per cento degli interpellati ritiene comunque che l’IoT veicoli potenziali minacce di natura cibernetica.

Le differenze variano da paese a paese.

In Asia ed in Europa, esperti ritengono che il rischio interessi in maggior misura le attività di distribuzione, mentre per il Nord America il pericolo maggiore è rappresentato dagli attacchi ai siti di governo.

Ma questo, lo approfondiremo più nel dettaglio durante l’analisi dei singoli casi studio. Al momento preferiamo concentrarci sulla disciplina sottesa all’uso della tecnologia intelligente.

smart grid solution diagram

Smart grid”: cosa sono e quali i vantaggi?

La traduzione immediata di questa espressione è “rete intelligente”. Ma di che tipo di rete stiamo parlando, qual è la su funzione e, soprattutto, perché dovrebbe essere intelligente?

Certamente non si può non convenire col fatto che è all’ordine del giorno l’uso di concetti preceduti dalla parola “smart”: smart city, smart work, smart car, non da ultimo “smart grid”.

Evidentemente, anche il linguaggio si è adeguato al cambiamento epocale, ragion per cui la ricerca ha compreso che bisognava pensare ad un nuovo paradigma di riferimento, che ricollegasse la nuova e pervasiva realtà della digitalizzazione al parlato comune. E una tale trasformazione si verifica giorno per giorno, atteso che con l’evolversi delle tecnologie, anche le stesse città si trasformano. Nella fattispecie, la smart grid rappresenta un insieme di reti elettriche e di tecnologie che, grazie allo scambio reciproco d’informazioni, permettono di gestire e monitorare la distribuzione di energia elettrica da tutte le fonti di produzione.

Allo stesso tempo, la smart grid consente di soddisfare le diverse richieste di elettricità degli utenti collegati, produttori e consumatori in maniera più efficiente, razionale e sicura.

Inoltre, l’adozione di reti intelligenti consente diversi benefici: primo fra tutti assicura l’integrazione della generazione distribuita, in secondo luogo contribuisce a ridurre i tempi di interruzione elettrica.

Essendo sistemi di produzione di elettricità ricavati da fonti rinnovabili, sotto forma di unità di piccola produzione, (ad esempio gli impianti fotovoltaici residenziali o aziendali o le piccole centrali a biomassa), sono allacciati direttamente alla rete elettrica di distribuzione.

Un’altra novità importante introdotta delle smart grid è la gestione bidirezionale dell’energia: potendo riceverla, ma anche immetterla nel sistema quando è in eccesso, essa redistribuisce il flusso in tempo reale e a seconda degli effettivi bisogni.

Ciò sicuramente permette al nuovo modello, rispetto alla tradizionale centrale elettrica, di lavorare in modalità integrata con la distribuzione dei servizi essenziali.

Per raggiungere questi obiettivi, le smart grid contano su dispositivi intelligenti, tali da permettere uno scambio continuo di informazioni tra tutti i nodi. In tal modo, oltre a ovviare a falle del sistema, permette di ridurre gli sprechi. Da qui il suo valore di rete efficiente, o intelligente.

Gli smart device che fanno parte della rete intelligente sono sensori, smart meter, computer e altri apparati tecnologici, afferenti al sempre più imperante mondo dell’IOT (Internet Of Things).

La sua flessibilità è un altro vantaggio: è in grado di accettare energia da qualsiasi fonte, rinnovabile o no, anche se la nascita delle smart grid è prevalentemente legata all’introduzione delle fonti rinnovabili nel sistema.

Le caratteristiche tecnologiche innovative delle smart grid riguardano principalmente la gestione della generazione distribuita, permettendo anche l’ottimizzazione delle fonti rinnovabili, e si distinguono rispetto a una rete elettrica tradizionale principalmente per i due aspetti peculiari già accennati:

  • funzionamento bidirezionale
  • abbinamento a dispositivi “intelligenti” (ICT).

L’evoluzione della rete elettrica scaturisce anche per la presenza di nuovi elementi dalla parte della produzione e dalla parte dell’utilizzo di energia elettrica. Infatti, si hanno:

  1. Fonti rinnovabili non programmabili (fotovoltaico, eolico)
  2. Generazione distribuita
  3. Nuove tipologie di utenti: prosumer; veicoli elettrici

Il dato fondamentale che distingue le smart grid rispetto alle reti elettriche tradizionale, è quindi l’importanza di un sistema di comunicazione e di informazioni, composto da dispositivi intelligenti, composti da sistemi di contatori di energia, sistemi di misura e sensori, tutti interconnessi tra di loro.

Questa interconnessione, insieme con l’impiego di algoritmi evoluti, permette la gestione intelligente dei flussi di energia, integrando i vari sistemi di generazione con le esigenze degli utilizzatori e dei diversi protagonisti che subentrano nella rete energetica.

Un case study: attacco alla centrale elettrica in Florida

È avvenuto all’inizio di febbraio 2021, per l’esattezza venerdì 5.

Abbiamo visto come il cyber criminale abbia l’imbarazzo della scelta fra un numero sconfinato di tecniche con cui condurre le proprie attività: può inquinare intere reti riempendole di virus (botnet), può innescare un attacco man – in the middle (MITM) durante una comunicazione tra due router, può  operare tramite server di rete, mandando email pishing a tutti i computer connessi, oppure più semplicemente servirsi di piattaforme dall’uso abbastanza comune.

In questo caso di specie, si è strategicamente fatto uso di un software proprietario mediamente noto, TeamViewer, che di norma funge da applicazione per controllo da remoto, condivisione di desktop, riunioni online e simili funzioni di supporto ad altri dispositivi.

Dopo alcune ricostruzioni, sembra che il fine ultimo fosse quello di mandare in shutdown il sistema idrico di Oldsmar, città della Florida, modificandone da remoto la quantità di idrossido di sodio (NaOH).

Fortunatamente, l’attacco è stato sventato prima che potesse causare danni alla popolazione: l’idrossido di sodio, anche noto come liscivia o soda caustica, viene notoriamente immesso nell’acqua per regolare i livelli di acidità, ma assumerne quantità elevate può essere letale per gli esseri viventi perché si tratta dello stesso composto inorganico usato in alcuni detergenti domestici corrosivi.

L’attribuzione gioca un ruolo chiave in queste dinamiche: saperla riscontrare richiede un lavoro di intelligence molto complesso e tempistiche quasi per nulla brevi ma, una volta accertata, permette non solo di identificare il soggetto e il suo grado di punibilità, ed eventualmente di aprire un fascicolo d’indagine a carico di colui che è l’autore del reato, ma anche di far scattare sanzioni commisurate au danni materiali, civili ed economici arrecati. Entrano in gioco diverse branche del Diritto, fra cui certamente quello Penale per quanto riguarda la disciplina da applicare al reato commesso, e quello Civile che punisce la responsabilità da fatto illecito ex art. 2043 cc.

Non essendo però ancora chiaro chi vi sia dietro l’attacco in Florida, per quanto riguarda l’azione si può parlare di un accesso a distanza tramite TeamViewer, come accennato più sopra.

Siamo di fronte ad un esempio reale di attacco ad una utility.

Il parere degli esperti

Ciò che più di ogni altra cosa incuriosisce, non sono tanto le modalità dell’intromissione del worm, quanto effettivamente il tipo di target sul quale la scelta del cyber offensore sarebbe ricaduta. D’altronde, “Quello dell’attacco alle utility rappresenta un vero e proprio trend in crescita” – spiega Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano – “e le stesse società di servizi pubblici sono allo stato attuale impreparate”.

Daniel Kapellmann Zafra, Manager of Analysis, Mandiant Threat Intelligence, invece commenta dicendo che “A partire dallo scorso anno, Mandiant Threat Intelligence ha osservato un aumento degli attacchi informatici da parte di hacker con l’obiettivo di accedere e conoscere i sistemi industriali accessibili in remoto. Attraverso l’interazione da remoto con questi sistemi, gli hacker hanno svolto operazioni a impatto limitato, ma nessuna di queste ha provocato danni a persone o infrastrutture.”

Fra l’altro, vorremmo noi precisare, quello appena avvenuto il Florida non è certo il primo caso di attacco ad una utility di cui il mondo ne abbia memoria.

Nel 2009, un caso molto simile vedeva come protagonista la centrale nucleare di Natanz, in Iran. In quel caso, l’intrusione del worm Stuxnet fu effettuata attraverso un dispositivo usb inserito in computer che collegava sia i devices della centrale, sia quelli di altre aziende – dipendenti dalla stessa – connessi alla medesima banda di rete.

Stuxnet

Ma qual era, poi, lo scopo di Stuxnet?

Dopo numerose analisi, gli orientamenti degli esperti si divisero sul punto, ma la corrente maggioritaria ritenne che la motivazione della spedizione fosse palesemente politica, e che fosse da attribuire agli Stati Uniti che, in collaborazione con Israele, non volevano giungere a siglare l’accordo sul nucleare con l’Iran.

Questo confronto ci serva per fare il punto della situazione in Florida muovendo da un precedente molto simile. L’analisi va fatta a valle, partendo non dai presupposti ma dall’evento che si è verificato.

Ciò che accomuna il caso dell’attacco alle due centrali non è quindi l’azione, né la modalità di esecuzione, ma esclusivamente la scelta del target. Ed è dall’analisi del bersaglio che si comprende come mai si è scelto di sferrare quel determinato tipo di attacco. Vediamo in che senso.

Se, infatti, l’intento principale di un attacco informatico è la ricerca del guadagno finanziario tramite l’uso di mezzi criminali (ad es. le azioni che permettono il realizzarsi del furto di identità̀ e di dati informatici), il fine ultimo è talmente chiaro che permette di classificare tale condotta come un atto di “cyber crime” o di “cyber espionage”.

Se, invece, l’intento dell’attacco è esclusivamente la volontà̀ di arrecare un danno significativo a una Nazione o ai suoi cittadini, l’intrusione informatica subita da infrastrutture civili, o militari, ricadrebbe con ogni probabilità̀ nell’alveo di un classico “atto di guerra” disciplinato dallo jus ad bellum. Quest’ultima fattispecie, quindi, non risponde alla voce “atti di cyber crime”, ma ricade nel più ampio novero di episodi di “cyber war”.[3]

Le misure difensive pensate dall’ UE e dai paesi membri

Da questa analisi emerge in maniera acclarata come gli attacchi hacker alle società di servizi rappresentino la nuova frontiera del crimine non solo cibernetico, ma anche a livello internazionale.

Sebbene il primo malware della storia a guadagnarsi l’attenzione dei media sia stato, nel lontano 1988, il Morris Worm, non era ancora nell’uso dei cyber offensori scegliere quale bersaglio privilegiato le utility.

I primi episodi che, in questo senso, hanno fatto tremare il mondo risalgono ai primi anni 2000.

Poco prima di Stuxnet, grande eco ebbe l’attacco sferrato nel 2007 all’Estonia dal più sedicente gruppo di hacktivisti dell’Est Europa, un episodio che ha sconsacrato l’inizio della guerra informatica russa.

Lo si ricorda come un attacco cibernetico in grande stile, capace di far scattare l’art. 5 dello Statuto della Nato che prevede la difesa collettiva a favore di un paese aggredito, membro dell’Alleanza.

Nel 2013, hacker iraniani furono sorpresi mentre tentavano di mettere le mani su una piccola diga a New York.

Nel 2015 e 2016 gli hacker russi – si presume siano afferenti allo stesso gruppo di cui più sopra – hanno interrotto l’elettricità prima in alcune aree dell’Ucraina occidentale, poi nella capitale Kiev.

Nel 2017, gli stessi, furono fermati poco prima di riuscire a sabotare una centrale elettrica americana ma si riscattarono immediatamente con un attacco informatico contro un impianto petrolchimico saudita, arrivando a disabilitarne i sistemi di sicurezza.

Non è un caso, dunque, che sin dal 2018 l’Unione europea abbia inserito con una certa lungimiranza, all’interno del campo di applicazione della Direttiva Nis (Network and Information Security) anche i fornitori e i distributori dei servizi idrici.

Anche il Legislatore italiano, attraverso il Perimetro di sicurezza nazionale cibernetica – pubblicato con DPCM 30 luglio 2020, n. 131, in Gazzetta Ufficiale ed entrato in vigore lo scorso 5 novembre – si sta dimostrando particolarmente attento alla sicurezza degli “operatori pubblici e privati che erogano un servizio essenziale per gli interessi dello Stato”.

Qualora uno dei soggetti elencati nel documento dovesse rimanere vittima di un attacco cyber, sarà obbligato ad informare, entro e non oltre le 6 ore dall’inizio dello stesso, lo CSIRT (Computer Security Incident Response Team – Italia), il gruppo di esperti istituito presso il DIS (Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri).

In caso di grave violazione, verrà attivato l’NSC, il Nucleo per la sicurezza cibernetica presieduto dal professor Roberto Baldoni, il cui compito è quello di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.

Nello specifico, è l’art. 3 che individua i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro:

  1. interno;
  2. difesa;
  3. spazio e aerospazio;
  4. energia;
  5. telecomunicazioni;
  6. economia e finanza;
  7. trasporti;
  8. servizi digitali;
  9. tecnologie critiche;
  10. enti previdenziali/lavoro.

Per restare in tema con quanto accaduto in Florida, l’acqua potabile non rientrerebbe nel Perimetro ma, come anticipato, lo fa sotto la direttiva Nis.

Inoltre, in Europa si sta lavorando nell’ottica di implementare una procedura uguale per tutti gli Stati membri in materia.

L’obiettivo è quello di lavorare adoperando una multilevel strategy: da un lato, continuare a monitorare il trend degli attacchi attraverso il lavoro tecnico degli analisti ed i servizi di intelligence; dall’altro, agire in maniera insistente e continuativa con strumenti di soft law, normative e direttive per fare il possibile affinché si possa allontanare il pericolo di subire le conseguenze disastrose di vere e proprie distruzioni di massa.

 

*Autrice de Il dominio geopolitico dello spazio cibernetico

 

[1] G. Guastella, Il dominio geopolitico dello spazio cibernetico, Ex Libris, dicembre 2020

http://www.edizioniexlibris.com/2020/11/09/il-dominio-geopolitico-dello-spazio-cibernetico/

[2] Accenture Consulting, Outsmarting Grid Security Threats, 2017 https://www.cybersecitalia.it/wp-content/uploads/2018/01/Accenture-Outsmarting-Grid-Security-Threats-POV.pdf

[3] G. Guastella, Stuxnet (Iran, 2009) – Il case study per disarticolare la Cyber War, ICT Security Magazine, 8 gennaio 2021.
https://www.ictsecuritymagazine.com/articoli/stuxnet-iran-2009-il-case-study-per-disarticolare-la-cyber-war/

 

© RIPRODUZIONE RISERVATA

Autore