Una ricerca di Semperis ha indagato sugli attacchi IT negli Stati Uniti e nel Regno Unito contro le utility idriche ed elettriche, spesso prese di mira più volte durante l’anno. I recenti attacchi da parte di gruppi statali contro le multiutility sottolineano la vulnerabilità delle infrastrutture critiche. ‘The State of Critical Infrastructure Resilience, Evaluating Cyber Threats to Water and Electric Utilities’ include dati suddivisi per Usa e UK.
Mancano le competenze per rilevare attività malevole
Un avviso dell’EPA alle utility idriche ha raccomandato misure per rilevare, rispondere e riprendersi dagli attacchi informatici. Un’utility pubblica a Littleton, MA, è stata recentemente violata da un gruppo collegato a Volt Typhoon, sponsorizzato dallo Stato cinese. American Water Works, principale utility idrica e delle acque reflue degli Stati Uniti, ha inoltre rilevato attività non autorizzate nella sua rete informatica, interrompendo il servizio clienti e la fatturazione. Per gli esperti di cybersicurezza è preoccupante che più di un terzo (38%) delle utility ritenga di non essere stato preso di mira da attacchi informatici. Secondo loro è probabile che una buona parte di questi operatori non abbia la tecnologia o le competenze per rilevare attività malevole.
Gli attacchi IT alle utility pubbliche: il pericolo Cina
Chris Inglis, Strategic Advisor di Semperis ed ex Direttore Nazionale della Cybersecurity degli Usa
Molte utility pubbliche probabilmente non si rendono conto che la Cina si è infiltrata nella loro infrastruttura. Ad esempio, è noto che gli attori delle minacce sponsorizzati dalla Cina come Volt Typhoon preferiscono gli attacchi Living off the Land. Azioni difficili da rilevare e che possono rimanere dormienti, impiantando backdoor, raccogliendo informazioni o aspettando di colpire per mesi o addirittura anni.Il report ha rilevato che quasi il 60% degli attacchi è stato effettuato da gruppi sostenuti da Stati sovrani. Inoltre, il 54% delle utility ha subìto una corruzione permanente o la distruzione di dati e sistemi come conseguenza dell’attacco. Nel 67% degli attacchi, gli attaccanti hanno compromesso sistemi di identità, come Active Directory, Entra ID e Okta. Un altro 15% delle aziende non è sicuro se tali sistemi siano stati interessati.
L’era della resilienza
I potenziali impatti pubblici derivanti dalla mancanza di elettricità, riscaldamento o acqua pulita, anche per un breve periodo, possono essere significativi. Lo studio di Semperis indica che i clienti dei servizi di pubblica utilità negli Stati Uniti e Regno Unito sono stati relativamente fortunati, finora.
Mickey Bresman, CEO di Semperis
Se non si migliora la resilienza, gli attaccanti continueranno a farsi avanti. Le utility hanno l’opportunità di affrontare questa sfida. Devono presumere che le violazioni si verificheranno e, tramite esercitazioni, possono mettere in pratica scenari di attacco che potrebbero diventare realtà in futuro.
Gli attacchi IT costituiscono un problema per tutto il Paese
Ciò che distingue gli operatori dei servizi di pubblica utilità da molti altri settori è la natura critica del loro lavoro. Se un operatore elettrico o idrico viene compromesso, i potenziali rischi per la salute e la sicurezza pubblica possono mettere a rischio un’intera nazione. Semperis sottolinea che la resilienza agli attacchi IT dovrebbe essere la massima priorità per ogni organizzazione coinvolta in infrastrutture critiche.
È fondamentale rafforzare i sistemi
Chris Inglis
I sistemi che forniscono le nostre reti elettriche e la nostra acqua potabile pulita sono il fondamento di tutto ciò che facciamo. E tuttavia continuiamo a svolgere le nostre attività, fiduciosi che qualcun altro se ne occuperà. Nessun altro se ne occuperà. Dobbiamo rafforzare i nostri sistemi ed estrarre gli elementi criminali, ora.
Ripristino rapido e soprattutto sicuro
Per migliorare la resilienza operativa contro gli attacchi, le aziende di servizi pubblici dovrebbero:
- identificare i componenti dell’infrastruttura Tier 0 essenziali per il ripristino da un attacco informatico.
- Dare priorità alla risposta agli incidenti e al ripristino per questi sistemi. Seguiti dalle funzioni mission-critical (Tier 1), dalle funzioni business-critical (Tier 2) e quindi da tutte le altre funzioni (Tier 3).
- Documentare i processi di risposta e ripristino e metterli in pratica utilizzando scenari reali che coinvolgano persone e processi al di fuori del reparto IT.
- Concentrarsi non solo sul ripristino rapido ma anche sul ripristino sicuro. Gli attaccanti spesso tentano di compromettere i backup per mantenere la persistenza nell’ambiente, anche dopo i tentativi di ripristino. Implementare soluzioni che supportino velocità, sicurezza e visibilità in situazioni di crisi.
