Attacchi informatici a reti produttive
È bene precisare anche che nonostante le reti di tipo IT e OT siano reti separate a livello di logica, di fatto cooperano attivamente. Ne consegue che quando si parla di sicurezza informatica per questi ambienti, sviluppare un approccio di security-by-design per un segmento IT significa supportare attivamente la sicurezza dei sistemi OT e viceversa.
È possibile distinguere gli attacchi in relazione ad un obiettivo specifico: le compromissioni molto selettive che colpiscono solo certi target o aziende specifiche, e gli attacchi gestiti da bot automatici senza l’intervento umano che puntano alla compromissione massiva, ricercando falle generiche e non patchate. Se invece si vogliono dividere gli attacchi dal punto di vista tecnologico allora si distingue fra:
- Attacchi ai dati: Similmente alle reti IT, i malware, come i ransomware ad esempio, colpiscono i sistemi di controllo per compromettere i dati in essi contenuti, cifrando quando possibile anche file di configurazione e database per bloccare la produzione con il fine ultimo di raggiungere il pay-day. L’obiettivo può essere anche correlato alla data exfiltration di dati sensibili, per prendere possesso di proprietà intellettuali o progetti.
- Attacchi ai CNC o PLC: piuttosto che colpire i dati residenti o i flussi, questi attacchi sono principalmente diretti verso i macchinari connessi in rete; in questi casi il pericolo non è più solo virtuale, ma include l’ambito fisico con riflessi sulle persone: ad esempio si consideri l’uso di macchinari come presse, forni o miscelatori chimici. Nel caso di compromissione diretta dei PLC, è possibile scatenare reazioni esplosive, con conseguente compromissione di arti o parti fisiche di un operatore umano se non casistiche peggiori. In ambienti, come le industrie ad alto rischio di contaminazione o di esplosioni, il danno può estendersi ben oltre il perimetro dell’azienda stessa. Oltre ai sistemi produttivi, vi sono anche sistemi maggiormente ibridi, come le centrali di controllo aereo o del traffico dei treni che possono rientrare nel campo OT, tenendo conto del fatto che includono sistemi di gestione radio e centrali di controllo connesse in rete. La storia insegna che casi come quelli della centrale di Natanz (malware Stuxnet) possono ancora avvenire anche se sembra non facciano notizia.
- Attacchi infrastruttura della supply-chain: molti attacchi usano piccoli vettori per raggiungere bersagli più grandi e protetti. Questo è il caso di aziende Corporate che includono nel loco ciclo produttivo aziende minori e terze parti che lavorano e forniscono materiali o servizi software. Un’azienda che fornisce quindi servizi da remoto può essere strumentalmente usata come vettore per infezioni verso aziende maggiori, (caso SolarWind nel 2021).
Ricercatore appassionato di sicurezza informatica.
Certificato eCCPT, eNDP, Sophos.
Sviluppatore ed hacker etico, con la missione di estendere la CyberSecurity ovunque.
Ideatore del progetto LECS.
