Sappiamo da anni che gli hackers del governo russo hanno preso di mira diversi settori delle infrastrutture critiche degli Stati Uniti e del mondo, tra cui l’energia, il nucleare, le strutture commerciali, l’acqua, l’aviazione e i settori manifatturieri critici. Il Department of Homeland Security (DHS), la Federal Bureau of Investigations (FBI) e altre agenzie lo hanno reso noto da un po’ di tempo in molti dei loro avvisi.
Negli anni, con l’accelerazione della trasformazione digitale, i cyber criminali e gli hackers sponsorizzati dagli stati hanno sempre più puntato gli occhi su questi settori. La convergenza di asset fisici e digitali porta vantaggi ma anche rischi inevitabili. Gli attacchi contro ospedali, oleodotti, catene di approvvigionamento alimentare e altre infrastrutture critiche hanno messo a fuoco la vulnerabilità dei sistemi cyber-fisici (CPS) e l’impatto sulle vite e sui mezzi di sussistenza quando vengono interrotti. Ora, segnali schiaccianti indicano che le società di infrastrutture critiche sono nel bersaglio del conflitto geopolitico.
All’inizio di aprile, le sottostazioni elettriche ad alta tensione gestite da un fornitore di energia in Ucraina sono state prese di mira dal malware Industroyer2, con l’intento di causare danni manipolando i sistemi di controllo industriale (ICS). E il 13 aprile 2022, il Dipartimento dell’Energia (DOE), la Cybersecurity and Infrastructure Security Agency (CISA), la NSA e l’FBI hanno avvertito che gli hackers hanno sviluppato strumenti personalizzati per prendere di mira gli ICS e i sistemi SCADA.
Dall’inizio dell’anno, abbiamo assistito a continui avvisi. Un consulto congiunto sulla sicurezza informatica, redatto dalla Cybersecurity and Infrastructure Security Agency (CISA), dall’Agenzia per la sicurezza nazionale (NSA) e dall’FBI, pubblicato a gennaio 2022 , descrive in dettaglio tattiche, tecniche e procedure associate a numerosi hacker russi . Date le capacità e le attività dimostrate da questi, non sorprende che la CISA intervenga e parli direttamente agli operatori di reti di infrastrutture critiche, fornendo loro specifici indicatori di compromissione a cui prestare.
Poiché le tensioni geopolitiche hanno continuato a intensificarsi, nel febbraio di quest’anno la CISA ha pubblicato un piano ( PDF ) di raccomandazioni tattiche per preparare e mitigare le operazioni di influenza straniera mirate alle infrastrutture critiche. Il documento contiene i passaggi principali da intraprendere per migliorare la sicurezza delle infrastrutture delle reti, inclusa la comprensione delle risorse presenti nella rete, le loro vulnerabilità e la loro posizione di rischio e lo sviluppo di un solido piano di risposta agli incidenti.
Alla luce dell’evoluzione dell’intelligence, a marzo la CISA e l’FBI hanno avvertito i fornitori e i clienti di reti di comunicazione satellitare statunitensi e internazionali di possibili minacce, hanno offerto raccomandazioni specifiche per la mitigazione e hanno fortemente incoraggiato la condivisione delle informazioni attraverso l’iniziativa Shields Up della CISA.
La linea rossa è sparita
La chiara linea rossa che un tempo esisteva come parte della Guerra Fredda non c’è più. A quei tempi, se la Russia si fosse impegnata in una guerra nucleare, gli Stati Uniti lo avrebbero saputo in pochi minuti e avrebbero risposto. Questo concetto di distruzione reciproca assicurata è ciò che, in larga misura, ha dissuaso sia la Russia che gli Stati Uniti dall’impegnarsi in una guerra nucleare.
La guerra informatica non ci offre l’equilibrio della distruzione reciproca assicurata. Inoltre, l’uso del cyber come arma offensiva all’interno di un conflitto geopolitico potrebbe essere considerato una strategia militare in quanto consente interruzioni pur mantenendo la negazione, o almeno non provocando un’escalation immediata. Dal momento che non abbiamo una visibilità perfetta in tutte le reti di infrastrutture critiche, è difficile rilevare in modo affidabile i primi segnali di tali azioni coordinate e attribuirli in modo accurato. Ecco perché la CISA sta incoraggiando attivamente e collaborando con i proprietari e gli operatori di tali reti per garantire che vengano prese misure proattive per mitigare l’impatto degli attacchi informatici.
Oltre alle evidenti interruzioni, disagi e rischi per la sicurezza posti dalla violazione delle reti di infrastrutture critiche, dobbiamo anche considerare che gli stati-nazione avversari potrebbero sfruttare le interruzioni nei processi e nelle produzioni critiche per impegnarsi in una guerra economica. Ad esempio, più settori dell’economia statunitense potrebbero essere presi di mira, in particolare le loro reti operative, con l’obiettivo di infliggere danni economici alla nazione.