Conferenza CSE

La nuova era del Cyber Crime tra IOT e digitale: come difendersi?

913

Cyber Security: il trend di crescita degli attacchi cyber e l’evoluzione dei servizi digitali – anche nei settori industriali – impongono una seria revisione delle modalità di protezione delle infrastrutture critiche

Sono passati più di 7 anni dalla pubblicazione della relazione del Comitato parlamentare per la sicurezza della Repubblica sulle “possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico”. Ricordo di aver letto il documento con stupore e soddisfazione, quando fu stato reso pubblico nell’estate del 2010: anche in Italia le istituzioni avevano finalmente inquadrato la portata del fenomeno.

Erano già più di 15 anni che lavoravo in ambito Information Security con la sensazione che poche persone avessero chiaro il trend di crescita delle minacce informatiche in tutti i settori: dalle banche alle infrastrutture, dalle istituzioni alle PMI.

L’esperienza più significativa che mi fece comprendere la dimensione del fenomeno fu un training sul Cyber Crime, erogato da un team Israeliano specializzato in attività di investigazione e intelligence delle minacce informatiche del settore Finance. In quella occasione capii che esisteva un vero e proprio mercato legato al Cyber Crime dove persone e organizzazioni scambiano ogni tipo di prodotti e servizi: dalla vendita di vere e proprie suite software per la diffusione e il controllo di Banking trojan (come Zeus e SpyEye), alla erogazione di servizi “chiavi-in-mano” come il Trojan-as-a-Serive.

Il pagamento di questi servizi illeciti avveniva attraverso piattaforme di pagamento ancora non del tutto mature dal punto di vista della sicurezza, ma di lì a poco (era il 2009) i bitcoin, la crypto valuta anonima, diventò lo strumento di base per lo sviluppo del black market. Nell’arco di pochi anni la criminalità informatica si è evoluta e trasformata, sulla scia della diffusione delle tecnologie digitali e della scarsa capacità delle Nazioni di normare e controllare le attività svolte nel Cyber Space.

Un’altra importante esperienza maturata a partire dal 2013 riguarda il settore dell’energia.

In questo settore, come in altri settori industriali, si sono diffuse in modo graduale e sempre più pervasivo diverse tecnologie ICT che consentono di migliorare il livello di controllo dei dispositivi industriali e ottimizzare gli interventi di manutenzione grazie all’analisi dei dati di performance delle diverse componenti.

Purtroppo questa graduale diffusione di componenti IT non è stata accompagnata da un’attenta analisi dei potenziali rischi derivanti da questo fenomeno. È infatti molto comune constatare che in molti impianti di generazione di energia le soluzioni di Sicurezza ICT sono spesso trascurate e i sistemi e le reti risultano spesso vulnerabili ad attacchi e intrusioni.

Anche se le infrastrutture SCDA/ICS non sono facilmente raggiungibili da internet, non stupisce sapere che diversi blackout siano stati causati da attacchi informatici. Anche in questo caso gli attacchi non derivano da azioni di pochi individui ma sono il frutto di scambi e collaborazioni che avvengono nel black market.

Uno dei malware più usati nel settore energy è noto con il nome di BlackEnergy, un sistema sofisticato che dal 2007 a oggi ha subito diverse evoluzioni fino a diventare uno degli strumenti usati per gli attacchi informatici che hanno causato i blackout in Ucraina. È proprio per queste ragioni che in Nord America il governo ha imposto una severa regolamentazione il NERC CIP (Critical Infrastructure Protection) che costringe l’intera filiera delle organizzazioni che operano nell’ambito Energy a implementare misure organizzative e tecniche a protezione di queste importanti infrastrutture.

Con la diffusione dell’Internet delle cose e la pervasività di oggetti connessi, dai frigoriferi alle automobili, dalle telecamere alle serrature delle nostre case, le opportunità del Cyber Crime sono aumentate ulteriormente: la riprova è stata la creazione e successiva diffusione a partire dal 2016 del malware Mirai su dispositivi IoT per la creazione di una delle più estese BotNet mai esistite (oltre 600.000 device). Grazie a questa “infrastruttura” sono stati condotti diversi attacchi di Denial of Services e sono stati causati anche incidenti collaterali come i disservizi alla rete di Deutsche Telekom provocati dalla diffusione intensiva del malware.

Un’interessante analisi su Mirai (Understanding Mirai Botnet) mette in evidenza quanto sia complesso studiare questi fenomeni. In particolare colpisce la semplicità con cui questo software sia riuscito a diffondersi su un così grande numero di device, sfruttando una “banale” lista di password di default di numerosi device IoT come telecamere o router ADSL. Il 2017 è stato infine l’anno dei record dei ranswomware: da WannaCry (più di 400.000 sistemi infettati) a NoPetya, il malware diffuso in Ucraina coinvolgendo anche sistemi in ambito ICS/SCADA come quelli della centrale nucale di Chernobyl.

Considerando la velocità con cui il crimine informatico si è evoluto negli ultimi anni, è ormai fondamentale per chi lavora in questo settore tenersi aggiornato su nuove vulnerabilità, minacce, normative e incidenti per riuscire ad essere efficaci nell’analisi dei rischi e nella definizione di strategie efficaci di prevenzione e protezione.

Da questa riflessione nasce il blog del centro di eccellenza Bip CyberSec, uno spazio per condividere informazioni e notizie legate al mondo della sicurezza informatica. Con un obiettivo ambizioso: creare un punto di riferimento per chi, come noi, ha interesse e passione per questo settore in continua evoluzione. La comprensione dei cambiamenti in corso, d’altronde, è il primo passo per difendersi.

 

Lascia una risposta

L'indirizzo email non verrà pubblicato.