“L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici”, lo afferma in questo articolo Emanuele Temi, Technical Sales Engineer, Nozomi Networks. L’esperto spiega quindi come proteggere le forniture idriche da minacce cyber sempre più pericolose.
L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo l’aria che respiriamo, non dipendiamo da nient’altro per sopravvivere. Siamo costituiti per circa il 70% da acqua e possiamo restare in vita solo pochi giorni senza averne a disposizione. Poche altre infrastrutture critiche sono così importanti per noi come le forniture idriche. Ma di fronte all’aumento delle tensioni globali, cresce la preoccupazione che le forniture idriche, tanto importanti quanto vulnerabili, possano diventare l’obiettivo di attacchi informatici.
All’inizio dello scorso anno, il Centro comune di ricerca dello European Reference Network for Critical Infrastructure Protection (ERNCIP) ha pubblicato il Piano di sicurezza dell’acqua sotto forma di manuale, dedicato all’attuazione di misure di sicurezza per proteggere l’integrità fisica e digitale dei sistemi di approvvigionamento idrico.
Il piano intende consentire agli operatori delle forniture idriche di gettare le basi per l’attuazione di misure specifiche volte a migliorare la sicurezza del sistema idrico contro minacce e attacchi.
Forniture Idriche: standard di sicurezza come guida
Per proteggere l’aspetto digitale del servizio idrico, è utile innanzitutto guardare a standard come ISO, IEC, ISA o altre best practice di cybersecurity, che forniscono ai responsabili della sicurezza una guida strutturata sulle misure di salvaguardia già implementate e quelle ancora da adottare. Tuttavia, standard, certificazioni e normative sono spesso soggetti a burocrazia e devono passare attraverso lunghi processi prima di poter rispondere ai cambiamenti in atto nell’ambiente delle minacce.
Al contrario, le tecniche di attacco dei criminali informatici sono in continua e rapida evoluzione. Spesso, vulnerabilità appena scoperte vengono sfruttate per giorni o settimane prima di essere notate, mettendo i difensori in una posizione di costante svantaggio perché solo in grado di reagire alla dinamicità delle minacce.
Per evitare di restare indietro nei confronti degli attori ostili e individuare tempestivamente potenziali tentativi di attacco, è quindi consigliabile tenere sotto controllo il traffico di dati nell’intera rete degli impianti di forniture idriche e prestare attenzione alle anomalie.
Analisi e identificazione in tempo reale di anomalie sospette sono la migliore protezione per le forniture idriche
La sezione 2.2.3 del report ERNCIP tratta dei sistemi di rilevamento informatico delle aziende di forniture idriche e identifica i seguenti tre elementi come azioni prioritarie di una strategia di sicurezza:
- Identificazione di uno stato di normalità. Sia i dati dei sensori che il traffico sono analizzati con algoritmi “non supervisionati”. Vengono considerati sia i pacchetti di dati in circolazione sia gli indirizzi IP di tutti i dispositivi che inviano e ricevono. Anche le porte e i protocolli utilizzati per la comunicazione sono inclusi nell’analisi. Dalla somma di tutti questi dati viene estrapolato uno stato “di normalità”, le cui deviazioni successive possono essere identificate come segnali di allarme.
- Sistemi di protezione in tempo reale per i dati dei sensori. Per poter garantire l’integrità dei dati dei sensori, è necessario poterli monitorare in tempo reale. Rilevando tempestivamente le deviazioni, non solo è possibile evitare potenziali attacchi, ma anche correggere più rapidamente eventuali malfunzionamenti durante le normali operazioni.
- Implementazione di un Security Information and Event Management. Il SIEM è uno strumento di sicurezza informatica dall’efficacia collaudata, che consente ai suoi utenti di anticipare i potenziali incidenti e quindi di essere preparati al peggiore degli scenari. I suoi metodi di correlazione ad alte prestazioni consentono di attingere ai dati provenienti da diversi livelli e di combinarli per formare un quadro della situazione, generando segnali di allarme precoci, sulla base dei quali i responsabili della sicurezza possono adottare contromisure informate.
La qualità dell’informazione è fondamentale
Quando si parla di analisi del traffico di rete, la qualità è ben più importante della quantità. Raramente un attaccante esperto genera un volume di traffico elevato, e quindi sospetto. Al contrario, punta ad agire nel modo più discreto possibile, annidandosi nel sistema per poi colpire in un momento critico.
Il modo migliore per identificare un attaccante alle forniture idriche è cercare le anomalie. Per farlo, è necessario analizzare i log fino ai payload e scrutare la natura di tutti i dati che circolano. Allo stesso modo, occorre esaminare l’infrastruttura che controlla i processi industriali.
Per ottenere una visione affidabile e un’analisi professionale di tutti i processi, un’ampia gamma di sensori ha la stessa importanza del monitoraggio e della valutazione 24/7 di tutti i dati raccolti. Da un lungo periodo di osservazione è possibile determinare i parametri per il corretto funzionamento di un impianto, con deviazioni significative dalla norma che possono indicarne un malfunzionamento o addirittura un attacco informatico.
Un quadro generale accurato e aggiornato consente di rispondere più efficacemente agli incidenti critici
Quando si parla di criticità e di sensibilità alle interruzioni, sono pochi i sistemi di approvvigionamento comparabili con quello idrico, e non è un caso che i limiti di legge per la purezza e potabilità dell’acqua siano tra i più severi al mondo. Per questo motivo, il livello di attenzione alla sua sicurezza deve essere particolarmente elevato, in tema di cybersecurity ma anche di potenziali malfunzionamenti che, allo stesso modo, possono mettere la società in difficoltà.
Un’estesa dotazione di sensori e il monitoraggio dei dati in tempo reale possono non solo proteggere le forniture idriche dagli attacchi informatici, ma anche aiutare a rilevare e correggere tempestivamente altri malfunzionamenti che potrebbero compromettere sia la fornitura del servizio che l’integrità stessa dell’acqua.
di Emanuele Temi, Technical Sales Engineer, Nozomi Networks
