Cyberattacchi e difesa delle infrastrutture critiche: il binario del rischio

(di Andrea Puligheddu)
03/08/16

Stando al piano di sviluppo delle ferrovie predisposta da Network Rail, il maggiore gestore e sviluppatore delle infrastrutture ferroviarie in Inghilterra, il 2019 sarà l’anno in cui l’intero reparto di trasporto ferroviario avrà raggiunto una totale copertura digitale.

In altre parole, più di 1,7 miliardi di viaggi sui treni transitanti ogni anno sui binari inglesi verranno gestiti e monitorati, per una percentuale radente l’assoluto, da intelligenze artificiali ed algoritmi ad esso preposti.

Non si tratta di fantascienza o altre visioni estreme: pur essendo presente una componente umana ancora resistente e che per forza di cose sarà costantemente essenziale ed unica, l’aumento del tasso di dipendenza dalle tecnologie digitali per l’intero comparto industriale globale è un fatto ben noto. In tal senso anche il piano delle infrastrutture di trasporto non fa alcuna eccezione.

Purtroppo, altrettanto realistici sono anche i forti rischi propri dell’ambito informatico a cui tali infrastrutture sono quotidianamente esposte, proprio in ragione dell’alto tasso di digitalizzazione da esse posseduto. Sempre restando sul suolo inglese infatti, è stato da poco reso noto il fatto che nel corso degli ultimi 12 mesi il sistema ferroviario UK sia stato oggetto di almeno quattro cyber attacchi di portata considerevole. Apparentemente gli attaccanti si sarebbero esclusivamente limitati a penetrare le barriere difensive della rete ferroviaria, accedendo ai sistemi di scambio, al network di gestione dei passeggeri e di conduzione delle vetture senza porre in essere alcuna altra azione se non quella di limitarsi ad osservarle ed acquisire le informazioni con cui entravano in contatto.

Non è chiaro se chi si celi dietro gli attacchi sia una nazione o più semplicemente una delle miriadi di organizzazioni e singoli che compiono continui atti di penetrazione dei sistemi informatici. Resta di certo il solo fatto che la violazione del sistema ferroviario di uno dei paesi con la protezione cyber più avanzata del pianeta rappresenta un indice inquietante con cui dovere in ogni caso fare i conti. Le ragioni sono molteplici. Innanzitutto, al pari di un’offensiva militare, uno dei potenziali scopi perseguiti dall’hacker in questione potrebbe essere stato quello di ottenere informazioni particolarmente rilevanti attraverso un atto di cyber espionage, tali da poter permettere a chi ne fosse in possesso in futuro di acquisire informazioni e correlazioni utili ad altri fini quali ad esempio generare un blackout dell’intera rete ferroviaria o, peggio ancora, un deragliamento o scontro tra vetture in transito: si pensi al traffico di materiali e persone che quotidianamente avviene sulle reti ferroviarie di ogni nazione occidentale ed al patrimonio di dati e informazioni da essi generati e l’equazione è presto individuata.

Le minacce del cyberspazio per la sicurezza di questi contesti sono continue e soprattutto assolutamente impossibili da mappare attraverso metodi tradizionali. Sotto il profilo della sorveglianza c.d. mirata contro i rischi del terrorismo, in opposizione a quella di massa statunitense recentemente denunciata dallo “Snowden affair”, lo scenario presente lascia purtroppo ben poco spazio a rosee previsioni. Deep web, social media e crittografia sono ormai l’abc della comunicazione tra i terroristi ed i reclutatori fondamentalisti, e sempre di più l’ago della bilancia delle risorse stanziate vede un accrescimento dei fondi a tutela delle frontiere nazionali del cyber spazio (se di frontiere si può parlare!) e volti alla costruzione di piani strategici di intervento efficaci e strutturati.

Anche di questo, la ragione è facilmente intuibile. Si pensi al caso in cui, invece di limitarsi alla sola lettura e osservazione, l’intruso penetrato nel sistema ferroviario di tutta la Gran Bretagna avesse deciso in quel momento di mandare in crash i sistemi ferroviari dello Stato, o peggio se ne avesse approfittato per compiere un atto terroristico cagionando gli stessi terribili effetti di quello di Madrid dell’11 marzo 2004, senza che tuttavia la presenza in questo caso di un terrorista a bordo del mezzo. Non poter disporre di un gruppo di intervento specificamente predisposto a mappare il danno, gestire l’emergenza, tracciare l’attacco ed identificare l’aggressore proprio nel momento in cui ha effettuato la violazione è un disvalore che può costare caro non solo in termini di produttività ed efficienza del sistema, ma anche rispetto alla sicurezza futura di cui godrà l’infrastruttura.

In ultima analisi e rispetto ai contesti delineati, la cybersecurity ricopre un ruolo di fondamentale importanza per gli operatori del settore. Essa rappresenta una vera e propria “key area” a cui far riferimento nello sviluppo dell’infrastruttura, assicurandosi di porre in essere tutte quelle misure atte a scongiurare che casi come quelli prospettati non possano mai accadere. Pur non esistendo infatti misure di sicurezza “assolute” tali da permettere di porre al riparo in modo definitivo dai pericoli di intrusione e danneggiamento, ci sono comunque alcune indicazioni, procedure e prescrizioni da poter predisporre e seguire in modo da rendere certamente più diretta la difesa dei punti di interesse strategico e diluire in larga misura il rischio di attacco.

Innanzitutto va premesso che, stando ai dati riferiti al contesto nazionale, l’80% dei casi di incidenti nei sistemi di sicurezza di rete delle infrastrutture sono causate da problematiche di malfunzionamento involontario dei sistemi, come errate configurazioni di software e applicativi o malfunzionamenti nei protocolli di rete installati. Un primo passo sarebbe dunque quello di predisporre un sistema di configurazione e check periodici che assicurino un continuo funzionamento delle misure logiche adottate a protezione dei sistemi. In tal senso servirsi di personale adeguatamente formato su come comportarsi per gestire l’emergenza è un passo vitale che genera un valore protettivo in più per la struttura.

In secondo luogo occorre un vero e proprio cambio di paradigma interno alle istituzioni affinché si assista ad un mutamento concreto della situazione del cyber risk: in Italia, sin dagli anni 80, le infrastrutture critiche sono costante oggetto di ripetuti, terribili attacchi e vere e proprie stragi come quelli di Fiumicino del 1973 e del 1985 o quello della stazione ferroviaria di Bologna del 1980 (foto). All’epoca era praticamente impossibile prevedere l’accadimento di simili eventi, così come era fortemente limitato il carattere preventivo delle misure schierabili. Ad oggi, non sembra che, sul versante degli attacchi di matrice terroristica inferti, vi sia stato alcun grande cambiamento da un punto di vista del blocco preventivo della minaccia anteriormente al suo ingresso in prossimità dell’infrastruttura: la strage del 22 marzo 2016 a Bruxelles e i recenti fatti di Istanbul sono in tal senso il segno che occorre un totale cambio di mentalità sul versante della sicurezza per le infrastrutture critiche, sia come mentalità che come metodi utilizzati per la loro protezione. Il ruolo del comparto Difesa, in quest’ambito non è solo opportuno: è determinante: In Italia è attiva ormai da tempo l’operazione “Strade sicure”, volta a prevenire le minacce di origine terroristica e violenta, ed oggetto di continuo rinforzo in questi tempi di particolare instabilità geopolitica. Essa certamente ricopre un ruolo di primo piano nel prevenire i rischi fisici di attacchi da parte di ostili, oltre che fornire un fondamentale apporto alla tutela della linearità e funzionalità delle strutture, garantendone la produttività. Ma è davvero sufficiente a delineare un panorama di piena protezione?

Certamente no, o perlomeno non è questo il suo margine di estensione. D’altronde le minacce di tipo informatico ai sistemi critici non sono certo dei fantasmi: nel mondo ci sono oltre 13mila infrastrutture critiche connesse a Internet, ed il 91% di esse presenta vulnerabilità che possono essere sfruttate da cyber-criminali per accedere da remoto. Gli Stati Uniti e l'Europa sono le aree maggiormente in pericolo, rispetto all’intero scenario globale. Lo dice una indagine di Kaspersky Lab, a pochi giorni dall'approvazione dell'Ue della direttiva sulla protezione delle infrastrutture critiche in Europa, avvenuta il 6 luglio 2016. La Direttiva Network and Information Security (c.d. Direttiva NIS), del quale ora si iniziano a vedere le prime implicazioni e i primi prospetti sul lungo periodo. Volendo essere estremamente sintetici, la Direttiva NIS contiene al suo interno sostanzialmente 5 punti fondamentali:

a) tutti gli stati membri devono adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi;

b) istituisce un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra stati membri e di sviluppare la fiducia tra di essi;

c) crea una rete comunitaria di gruppi di intervento per la sicurezza informatica in caso di incidente ("rete CSIRT") per contribuire allo sviluppo della fiducia tra stati membri e promuovere una cooperazione operativa rapida ed efficace;

d) stabilisce obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali;

e) fa obbligo agli stati membri di designare autorità nazionali competenti, punti di contatto unici e CSIRT con compiti connessi alla sicurezza della rete e dei sistemi informativi.

Un simile assetto è strutturalmente predisposto per poter consentire una piena sinergia tra le strutture interforze che si devono occupare della protezione fisica delle infrastrutture (critiche, con particolare riferimento a quelle di traporto, alle difensive ed informative), consentendo un rapido punto di contatto con le controparti private o istituzionali deputate alla protezione logica e delle strutture di gestione e organizzazione.

In aggiunta a ciò è previsto che, sempre tutelando l’ente che ha subito l’attacco, vi sia una notificazione ai soggetti interessati dell’avvenuta violazione solo in alcuni casi specifici, e siano adottate in un’ottica preventiva drastiche e adeguate misure di sicurezza a protezione dei sistemi e delle reti.

Anche se lo strumento normativo di per sé può essere sterile se isolato, è impossibile concepire uno sviluppo in ambito cyber-difensivo totalmente avulso da un imprinting legislativo. Esso deve ritenersi l’elemento fecondante che consentirà, al contrario, un coordinamento maggiore ed una sempre crescente unificazione interforze tra gli Stati europei, necessaria per plasmare un concetto di cyber resilienza nuovo, fondato su basi comuni e condivise sia dal settore pubblico che privato, tale da consentire agli operatori del settore di poter affrontare le circostanze presenti, oltre che quelle immediatamente future, in modo adeguato e con i dovuti strumenti di tutela.

(foto: Network Rail / web / Parlamento Europeo)