Nozomi Networks: proteggere l’approvvigionamento idrico dagli attacchi informatici

Emanuele Temi, Technical Sales Engineer, Nozomi Networks

L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici.

L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo l’aria che respiriamo, non dipendiamo da nient’altro per sopravvivere. Siamo costituiti per circa il 70% da acqua e possiamo restare in vita solo pochi giorni senza averne a disposizione. Poche altre infrastrutture critiche sono così importanti per noi come la fornitura di acqua potabile. Ma di fronte all’aumento delle tensioni globali, cresce la preoccupazione che le forniture idriche, tanto importanti quanto vulnerabili, possano diventare l’obiettivo di attacchi informatici.

All’inizio dello scorso anno, il Centro comune di ricerca dello European Reference Network for Critical Infrastructure Protection (ERNCIP) ha pubblicato il Piano di sicurezza dell’acqua sotto forma di manuale, dedicato all’attuazione di misure di sicurezza per proteggere l’integrità fisica e digitale dei sistemi di approvvigionamento idrico.

Il piano intende consentire agli operatori della fornitura di acqua potabile di gettare le basi per l’attuazione di misure specifiche volte a migliorare la sicurezza del sistema idrico contro minacce e attacchi.

Standard di Sicurezza come guida

Per proteggere l’aspetto digitale del servizio idrico, è utile innanzitutto guardare a standard come ISO, IEC, ISA o altre best practice di cybersecurity, che forniscono ai responsabili della sicurezza una guida strutturata sulle misure di salvaguardia già implementate e quelle ancora da adottare. Tuttavia, standard, certificazioni e normative sono spesso soggetti a burocrazia e devono passare attraverso lunghi processi prima di poter rispondere ai cambiamenti in atto nell’ambiente delle minacce.

Al contrario, le tecniche di attacco dei criminali informatici sono in continua e rapida evoluzione. Spesso, vulnerabilità appena scoperte vengono sfruttate per giorni o settimane prima di essere notate, mettendo i difensori in una posizione di costante svantaggio perché solo in grado di reagire alla dinamicità delle minacce.

Per evitare di restare indietro nei confronti degli attori ostili e individuare tempestivamente potenziali tentativi di attacco, è quindi consigliabile tenere sotto controllo il traffico di dati nell’intera rete dell’impianto e prestare attenzione alle anomalie.

Analisi e identificazione in tempo reale di anomalie sospette sono la migliore protezione contro i cyberattacchi

La sezione 2.2.3 del report ERNCIP tratta dei sistemi di rilevamento informatico delle aziende idriche e identifica i seguenti tre elementi come azioni prioritarie di una strategia di sicurezza:

– Identificazione di uno stato di normalità

Sia i dati dei sensori che il traffico sono analizzati con algoritmi “non supervisionati”. Vengono considerati sia i pacchetti di dati in circolazione sia gli indirizzi IP di tutti i dispositivi che inviano e ricevono. Anche le porte e i protocolli utilizzati per la comunicazione sono inclusi nell’analisi. Dalla somma di tutti questi dati viene estrapolato uno stato “di normalità”, le cui deviazioni successive possono essere identificate come segnali di allarme.

– Sistemi di protezione in tempo reale per i dati dei sensori

Per poter garantire l’integrità dei dati dei sensori, è necessario poterli monitorare in tempo reale. Rilevando tempestivamente le deviazioni, non solo è possibile evitare potenziali attacchi, ma anche correggere più rapidamente eventuali malfunzionamenti durante le normali operazioni.

– Implementazione di un Security Information and Event Management

Il SIEM è uno strumento di sicurezza informatica dall’efficacia collaudata, che consente ai suoi utenti di anticipare i potenziali incidenti e quindi di essere preparati al peggiore degli scenari. I suoi metodi di correlazione ad alte prestazioni consentono di attingere ai dati provenienti da diversi livelli e di combinarli per formare un quadro della situazione, generando segnali di allarme precoci, sulla base dei quali i responsabili della sicurezza possono adottare contromisure informate.

La qualità dell’informazione è fondamentale

Quando si parla di analisi del traffico di rete, la qualità è ben più importante della quantità. Raramente un attaccante esperto genera un volume di traffico elevato, e quindi sospetto. Al contrario, punta ad agire nel modo più discreto possibile, annidandosi nel sistema per poi colpire in un momento critico.

Il modo migliore per identificare un attaccante è cercare le anomalie. Per farlo, è necessario analizzare i log fino ai payload e scrutare la natura di tutti i dati che circolano. Allo stesso modo, occorre esaminare l’infrastruttura che controlla i processi industriali.

Per ottenere una visione affidabile e un’analisi professionale di tutti i processi, un’ampia gamma di sensori ha la stessa importanza del monitoraggio e della valutazione 24/7 di tutti i dati raccolti. Da un lungo periodo di osservazione è possibile determinare i parametri per il corretto funzionamento di un impianto, con deviazioni significative dalla norma che possono indicarne un malfunzionamento o addirittura un attacco informatico

Un quadro generale accurato e aggiornato consente di rispondere più efficacemente agli incidenti critici.

Quando si parla di criticità e di sensibilità alle interruzioni, sono pochi i sistemi di approvvigionamento comparabili con quello idrico, e non è un caso che i limiti di legge per la purezza e potabilità dell’acqua siano tra i più severi al mondo. Per questo motivo, il livello di attenzione alla sua sicurezza deve essere particolarmente elevato, in tema di cybersecurity ma anche di potenziali malfunzionamenti che, allo stesso modo, possono mettere la società in difficoltà.

Un’estesa dotazione di sensori e il monitoraggio dei dati in tempo reale possono non solo proteggere dagli attacchi informatici, ma anche aiutare a rilevare e correggere tempestivamente altri malfunzionamenti che potrebbero compromettere sia la fornitura del servizio che l’integrità stessa dell’acqua.

Contenuti correlati

• 
  Come AI e ML stanno trasformando la cybersicurezza OT

  Moreno Carullo, Co-founder, Chief Technical Officer, Nozomi Networks L’intelligenza artificiale (AI) sta vivendo un momento di assoluta popolarità, un periodo in realtà piuttosto lungo. Parliamo di una tecnologia che esiste da decenni e si è continuamente evoluta,...
• 
  Un sensore di sicurezza per i sistemi di controllo industriale da Nozomi Networks

  Arc Embedded è una nuova offerta di sicurezza di Nozomi Networks in grado di fornire una visibilità estesa e in tempo reale sulle operazioni interne dei sistemi di controllo industriale e delle loro risorse sul campo. Questo...
• 
  Nuova ricerca di Palo Alto Networks sugli attacchi continui agli ambienti OT

  Il nuovo report “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, di Palo Alto Networks, realizzato in collaborazione con ABI Research, evidenzia che due imprese italiane su cinque subiscono mensilmente attacchi...
• 
  Benefici e rischi dei Large Language Model nel cloud

  Di Tristano Ermini, Manager, Systems Engineering di Palo Alto Networks Qual è la correlazione tra i modelli linguistici di grandi dimensioni (LLM) e la sicurezza cloud? Questi modelli avanzati possono essere pericolosi, ma possono anche essere utilizzati...
• 
  Strumenti OSINT, un’arma efficace al servizio della sicurezza IT

  Di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk Sotto il nome di Open Source Intelligence (OSINT) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e...
• 
  Sicurezza del software: perché formazione e aggiornamento degli sviluppatori devono cambiare

  A cura di Massimo Tripodi, Country Manager di Veracode Italia Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità...
• 
  Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla

  Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza. Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo...
• 
  Collaborazione fra RS Italia e PVS S.p.A. per un ambiente di lavoro più sicuro

  RS Italia ha annunciato la sua collaborazione con PVS S.p.A. per tutelare la sicurezza e la salute delle persone. “La priorità assoluta per noi è la salute, la sicurezza e il benessere dei nostri collaboratori”, ha spiegato...
• 
  Sicurezza: un problema volutamente ignorato

  Nel momento in cui le normative e i regolamenti che disciplinano la sicurezza entrano in vigore non solo in Europa, ma in tutto il mondo, le aziende devono necessariamente aggiungere funzioni atte a garantire la sicurezza dei...
• 
  Come proteggere le soluzioni OT dagli attacchi cyber

  I cyberattacchi che hanno inizio nell’ambiente IT possono ora facilmente migrare in un sistema OT non protetto, causando interruzioni di operazioni vitali e rischi eccessivi per la salute e la sicurezza pubblica Leggi l’articolo completo su Embedded...