Ogni ora si verificano nel mondo tra i 5 e i 10mila attacchi informatici. Piccoli o grandi, subiti o respinti, a grandi aziende o piccole realtà, le cifre sono queste. Nel 2020 sono cresciuti molto gli attacchi con ransomware, ossia software malevoli che criptano i dati e li “sequestrano”. Per liberarli e restituirli viene chiesto alla vittima di pagare un riscatto, quasi sempre in valute digitali. Lo scorso anno i proventi di queste estorsioni informatiche sono quadruplicati raggiungendo i 350 milioni di dollari. Dati molto conservativi peraltro visto che di molti di questi attacchi non vengono resi noti. Secondo alcune analisi i danni causati da questo tipo di attacchi è di almeno 20 miliardi di dollari l’anno.

Chi sequestra i dati procede poi per step. Se il riscatto non viene pagato rende noto di aver colpito e bloccato un sistema, creando un danno reputazionale alla vittima. Se poi il riscatto ancora non arriva i dati sequestrati vengono diffusi in rete. A volte però anche pagando si rimane con un pugno di mosche in mano. Non è raro che, una volta ottenuti i soldi, i cyber criminali semplicemente spariscano senza fornire la “chiave” che permette di decriptare i dati o fornendone una errata. Purtroppo “se si tratta di software ben architettati, liberare i sistemi colpiti senza una chiave è quasi impossibile”, spiega a ilFattoquotidiano.it Alberto Pelliccione, fondatore e amministratore della società di sicurezza informatica ReaQta. Pure, come accade in termini più drammatici per i sequestri di persona, pagare o no diventa anche un dilemma etico. Cedere significa ingolosire altri potenziali criminali e incentivare lo sviluppo di nuovi attacchi.

Questo è quello che è successo anche all’oleodotto Colonial, il più importante degli Stati Uniti, bloccato per sei giorni. Alla fine la società ha deciso di pagare i 5 milioni di dollari richiesti. Ad essere colpiti sono stati in particolare i sistemi che gestivano le fatturazione, rendendo così impossibile far pagare la benzina e il gasolio che venivano consegnati. Da qui la decisione del gestore dell’impianto di interrompere i flussi. L’attacco è stato rivendicato da Darkside, un gruppo di criminali informatici professionisti “basati” in territorio russo, senza che questo significhi una qualche connessione con il Cremlino. In un comunicato pubblicato in rete, la cyber gang ha spiegato di agire solo per soldi, senza alcuna motivazione politica, scusandosi per il disagio causato alla comunità.

L’incidente, uno dei più gravi di sempre ad un’infrastruttura energetica, ha riacceso il dibattito sui rischi a cui sono esposti impianti strategici di questo tipo. “Se avessero voluto colpire per fare danni, e non solo per soldi, le conseguenze avrebbero potuto essere molto più serie, spiega Pelliccione. “Collegando i fornitori, e quindi le raffinerie, con i distributori. l’oleodotto è un’infrastruttura particolarmente delicata. Da qui il virus avrebbe potuto risalire a valle o scendere a monte, infettando tutto ciò che è in qualche modo connesso”.

In generale quello delle infrastrutture energetiche è un settore particolarmente esposto a questo tipo di minacce. Per un motivo piuttosto semplice, in molti casi si tratta di impianti costruiti 30, 40 o 50 anni fa. Pensati quindi per reggere a molte avversità ma non alle minacce informatiche che all’epoca neppure esistevano. “Sono strutture non di rado vecchie, che usano sistemi operativi obsoleti, mai aggiornati, e quindi molto vulnerabili. Spesso i terminali non si possono toccare perché altrimenti decade la garanzia dei fornitori. I quali, per aggiornarli, chiedono spesso cifre altissime, nell’ordine dei 10mila euro per ogni singola postazione”, sottolinea Pelliccione che aggiunge “spesso si trovano quindi impianti che hanno sezioni IT moderne ma collegate a sistemi di gestione delle infrastruttura vera e propria, molto datati, un elemento di forte vulnerabilità”. La società di sicurezza informatica russa Kaspersky Lab ha stimato che ci siano almeno 13mila sistemi di controllo di infrastrutture e grandi aziende connesse alla rete. Il 90% presenta serie vulnerabilità. Circa il 30% sono negli Stati Uniti, il 14% in Europa. Una situazione destinata a diventare sempre più delicata con lo sviluppo Iot, internet of things, l’internet delle cose, in cui sempre più apparecchiature sono connesse in rete e diventano varchi di accesso.

E poi venne Stuxnet – Quello a Colonial pipeline è l’ultimo di una lunga serie di attacchi informatici ad infrastrutture energetiche e/o idriche. Nel 2015 un attacco informatico russo paralizzò una centrale elettrica ucraina che forniva energia ad un area abitata da 230mila persone. Nel 2014 fu infiltrato l’impianto sudcoreano Hydro and Nuclear Power che subì un furto di dati. Si ha notizia di pannelli di controllo di centrali nucleari statunitensi risultati esposti ad attacchi. Il 2010 segna una svolta. La Nsa statunitense e i servizi israeliani mettono a punto il software malevolo Stuxnet, progettato per compromettere il funzionamento delle centrali nucleari iraniane. Il virus non era progettato per provocare danni evidenti e devastanti ma piccoli e continui malfunzionamenti. Un modo per non destare sospetti e persino per minare psicologicamente gli ingegneri che gestivano la centrale.

Problema: per ragioni di sicurezza l’impianto nucleare di Natanz non era connesso a internet. Così come non lo sono molte strutture ultra sensibili o militari. Una base che ospita missili atomici, per intenderci, è, o dovrebbe essere, completamente isolata dal web. Il virus fu introdotto nella centrale iraniana fisicamente, con una banale chiavetta usb. Una volta messo in circolazione Stuxnet finì poi però per diffondersi anche fuori da Natanz, provocando danni in diverse infrastrutture estere, compresa una centrale nucleare russa. Sebbene si cerchi di mantenere isolati questi impianti, i punti di ingresso sono a volte insospettabili. In alcuni casi gli attacchi sono avvenuti infiltrando società esterne che si occupavano della manutenzione degli impianti.

Non aprite quella email – Diversamente da quel che si potrebbe pensare, gran parte gli attacchi, anche ad infrastrutture importanti, avvengano nel modo più classico e banale possibile: la posta elettronica. Messaggi esca con allegati o link che, una volta aperti, liberano il software malevolo. Il punto (più) debole è l’uomo. Nel caso di Colonial pipeline le cose sembrano essere andate proprio in questo modo. In tema di alfabetizzazione sulla sicurezza informatica siamo ancora all’anno zero, spiegano gli esperti. Basti pensare che la password largamente più diffusa è “Password1”. L’educazione del personale è l’arma difensiva più potente. Ma formazione significa anche spendere soldi . Su questo Colonial pipeline ha probabilmente qualcosa da rimproverarsi. Negli ultimi anni tutti i suoi profitti sono stati distribuiti agli azionisti tra cui compaiono il colosso petrolifero anglo olandese Shell e i Koch storica miliardaria famiglia ultra conservatrice del Midwest statunitense con diversi interessi nel settore del petrolio. A quanto pare la società ha comunque un’assicurazione con Axa contro i danni da attacco informatico.

“Molto probabilmente la società non era sufficientemente strutturata per fronteggiare un attacco di questo tipo, è possibile che siano stati criptati anche i dati di backup o che questo backup neppure esistesse”, spiega Pelliccione. “Le aziende più preparate hanno procedure appositamente studiate per riavviare rapidamente da zero i sistemi. Inoltre il personale viene addestrato a riconoscere velocemente un attacco, facendo così in modo che le contromisure scattino subito, limitando i danni”. Due giorni fa il presidente statunitense Joe Biden ha siglato un ordine esecutivo, con una dotazione di circa 10 miliardi di dollari, per aumentare la sicurezza informatica degli Stati Uniti. Non è escluso che la Casa Bianca decida di aumentare ulteriormente le risorse per questa finalità. Il Recovery plan italiano stanzia 620 milioni di euro per incrementare la cyber security nella Pubblica Amministrazione.

Sostieni ilfattoquotidiano.it: mai come in questo momento abbiamo bisogno di te

In questi tempi difficili e straordinari, è fondamentale garantire un'informazione di qualità. Per noi de ilfattoquotidiano.it gli unici padroni sono i lettori. A differenza di altri, vogliamo offrire un giornalismo aperto a tutti, senza paywall. Il tuo contributo è fondamentale per permetterci di farlo. Diventa anche tu Sostenitore

Grazie, Peter Gomez

ilFattoquotidiano.it
Sostieni adesso Pagamenti disponibili
Articolo Precedente

Usa, a 11 anni intervistò Obama alla Casa Bianca: Damon Weaver morto per cause naturali

next
Articolo Successivo

Savona, cinque indagati per violenza sessuale di gruppo ai danni due minorenni

next