Elettronica Plus

Nozomi Networks: proteggere l’approvvigionamento idrico dagli attacchi informaticiERT

Emanuele Temi, Technical Sales Engineer, Nozomi Networks

L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici.

L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo l’aria che respiriamo, non dipendiamo da nient’altro per sopravvivere. Siamo costituiti per circa il 70% da acqua e possiamo restare in vita solo pochi giorni senza averne a disposizione. Poche altre infrastrutture critiche sono così importanti per noi come la fornitura di acqua potabile. Ma di fronte all’aumento delle tensioni globali, cresce la preoccupazione che le forniture idriche, tanto importanti quanto vulnerabili, possano diventare l’obiettivo di attacchi informatici.

All’inizio dello scorso anno, il Centro comune di ricerca dello European Reference Network for Critical Infrastructure Protection (ERNCIP) ha pubblicato il Piano di sicurezza dell’acqua sotto forma di manuale, dedicato all’attuazione di misure di sicurezza per proteggere l’integrità fisica e digitale dei sistemi di approvvigionamento idrico.

Il piano intende consentire agli operatori della fornitura di acqua potabile di gettare le basi per l’attuazione di misure specifiche volte a migliorare la sicurezza del sistema idrico contro minacce e attacchi.

Standard di Sicurezza come guida

Per proteggere l’aspetto digitale del servizio idrico, è utile innanzitutto guardare a standard come ISO, IEC, ISA o altre best practice di cybersecurity, che forniscono ai responsabili della sicurezza una guida strutturata sulle misure di salvaguardia già implementate e quelle ancora da adottare. Tuttavia, standard, certificazioni e normative sono spesso soggetti a burocrazia e devono passare attraverso lunghi processi prima di poter rispondere ai cambiamenti in atto nell’ambiente delle minacce.

Al contrario, le tecniche di attacco dei criminali informatici sono in continua e rapida evoluzione. Spesso, vulnerabilità appena scoperte vengono sfruttate per giorni o settimane prima di essere notate, mettendo i difensori in una posizione di costante svantaggio perché solo in grado di reagire alla dinamicità delle minacce.

Per evitare di restare indietro nei confronti degli attori ostili e individuare tempestivamente potenziali tentativi di attacco, è quindi consigliabile tenere sotto controllo il traffico di dati nell’intera rete dell’impianto e prestare attenzione alle anomalie.

Analisi e identificazione in tempo reale di anomalie sospette sono la migliore protezione contro i cyberattacchi

La sezione 2.2.3 del report ERNCIP tratta dei sistemi di rilevamento informatico delle aziende idriche e identifica i seguenti tre elementi come azioni prioritarie di una strategia di sicurezza:

– Identificazione di uno stato di normalità

Sia i dati dei sensori che il traffico sono analizzati con algoritmi “non supervisionati”. Vengono considerati sia i pacchetti di dati in circolazione sia gli indirizzi IP di tutti i dispositivi che inviano e ricevono. Anche le porte e i protocolli utilizzati per la comunicazione sono inclusi nell’analisi. Dalla somma di tutti questi dati viene estrapolato uno stato “di normalità”, le cui deviazioni successive possono essere identificate come segnali di allarme.

– Sistemi di protezione in tempo reale per i dati dei sensori

Per poter garantire l’integrità dei dati dei sensori, è necessario poterli monitorare in tempo reale. Rilevando tempestivamente le deviazioni, non solo è possibile evitare potenziali attacchi, ma anche correggere più rapidamente eventuali malfunzionamenti durante le normali operazioni.

– Implementazione di un Security Information and Event Management

Il SIEM è uno strumento di sicurezza informatica dall’efficacia collaudata, che consente ai suoi utenti di anticipare i potenziali incidenti e quindi di essere preparati al peggiore degli scenari. I suoi metodi di correlazione ad alte prestazioni consentono di attingere ai dati provenienti da diversi livelli e di combinarli per formare un quadro della situazione, generando segnali di allarme precoci, sulla base dei quali i responsabili della sicurezza possono adottare contromisure informate.

La qualità dell’informazione è fondamentale

Quando si parla di analisi del traffico di rete, la qualità è ben più importante della quantità. Raramente un attaccante esperto genera un volume di traffico elevato, e quindi sospetto. Al contrario, punta ad agire nel modo più discreto possibile, annidandosi nel sistema per poi colpire in un momento critico.

Il modo migliore per identificare un attaccante è cercare le anomalie. Per farlo, è necessario analizzare i log fino ai payload e scrutare la natura di tutti i dati che circolano. Allo stesso modo, occorre esaminare l’infrastruttura che controlla i processi industriali.

Per ottenere una visione affidabile e un’analisi professionale di tutti i processi, un’ampia gamma di sensori ha la stessa importanza del monitoraggio e della valutazione 24/7 di tutti i dati raccolti. Da un lungo periodo di osservazione è possibile determinare i parametri per il corretto funzionamento di un impianto, con deviazioni significative dalla norma che possono indicarne un malfunzionamento o addirittura un attacco informatico

Un quadro generale accurato e aggiornato consente di rispondere più efficacemente agli incidenti critici.

Quando si parla di criticità e di sensibilità alle interruzioni, sono pochi i sistemi di approvvigionamento comparabili con quello idrico, e non è un caso che i limiti di legge per la purezza e potabilità dell’acqua siano tra i più severi al mondo. Per questo motivo, il livello di attenzione alla sua sicurezza deve essere particolarmente elevato, in tema di cybersecurity ma anche di potenziali malfunzionamenti che, allo stesso modo, possono mettere la società in difficoltà.

Un’estesa dotazione di sensori e il monitoraggio dei dati in tempo reale possono non solo proteggere dagli attacchi informatici, ma anche aiutare a rilevare e correggere tempestivamente altri malfunzionamenti che potrebbero compromettere sia la fornitura del servizio che l’integrità stessa dell’acqua.