Cybersecurity e Acquedotti

Un binomio che deve guardare alla sostenibilità.

Redazione Gyala, Luglio 2024

Negli ultimi anni, la sicurezza cibernetica degli acquedotti è diventata una questione critica, data la crescente sofisticazione degli attacchi informatici e l’importanza vitale delle infrastrutture idriche. In parallelo, come una priorità globale, è emerso il tema della sostenibilità – con l’Agenda 2030 delle Nazioni Unite – quale framework di riferimento che guida il ciclo di vita della cybersecurity.

Grande attenzione, come stabilito e richiesto dalle normative NIS2, DORA e GDPR (solo per citarne alcune), viene data alla cybersecurity da parte delle aziende che guidano la transizione energetica. E’ il caso dei settori idrico, energy e utilities che da un lato fanno i conti con potenziali vulnerabilità infrastrutturali dovute al lungo ciclo di vita delle infrastrutture e dall’altro hanno la necessità di introdurre nuove tecnologie.
Questa necessaria attenzione alla cyber security viaggia in modo intrinsecamente connesso con un ulteriore elemento: quello della cybersicurezza in ottica di sostenibilità.

La sicurezza informatica svolge infatti un ruolo essenziale nel futuro della responsabilità sociale delle imprese.
L’Agenda 2030 mappa una serie di obiettivi per le imprese che rendono chiaro che la transizione verso la cyber resilenza delle infrastrutture critiche è fondamentale  per il futuro sostenibile, richiedendo livelli di cyber security elevati e una responsabilità oltre che aziendale anche sociale, al fine di mitigare i rischi tramite la creazione di infrastrutture digitali e fisiche resilienti.

Ad esempio, per gli acquedotti, in ambito Agenda 2030 vediamo indicato l’Obiettivo numero 6: Garantire a tutti la disponibilità e la gestione sostenibile dell’acqua e delle strutture igienico-sanitarie.

Panoramica sulla Sicurezza Cibernetica negli Acquedotti

Gli acquedotti sono un target sensibile per gli hacker proprio in funzione della loro funzione critica e della risonanza (anche mediatica) che potrebbero avere i possibili attacchi.

E’ di Novembre 2023 il famoso attacco al Municipal Water Authority di Aliquippa negli Stati Uniti, divenuto famoso per la sua particolarità: l’obiettivo in questo caso non era la “classica” esfiltrazione di dati, bensì dimostrare di poter compromettere il servizio pubblico, dimostrazione ottenuta hackerando un PLC ( Programmable Logic Controller) della stazione di potenziamento.

Il tutto avveniva in un’ottica di attacco “geopolitico” agli Stati Uniti.
L’attacco è stato rivendicato da CyberAv3ngers, gruppo hacker di matrice iraniana.

Tornando un po’ indietro nel tempo, già nel 2021 era stato attaccato un impianto idrico in Florida. L’attacco, fortunatamente sventato, mirava ad aumentare i livelli di idrossido di sodio nell’acqua, con la conseguenza di esporre a gravi danni la salute pubblica.

Questa nuova tipologia di attacchi ha messo in allarme il governo federale USA, l’FBI e l’EPA, tanto da portare alla pubblicazione di un documento per supportare le aziende statunitensi del settore idrico nel correre e migliorare la loro resilienza:  https://www.cisa.gov/resources-tools/resources/water-and-wastewater-sector-incident-response-guide-0) la Water and Wastewater Sector – Incident Response Guide pubblicato a gennaio di quest’anno

Fragilità del settore

Gli esperti che si dedicano all’OT nelle infrastrutture possiedono competenze totalmente diverse da coloro che operano nel campo dell’IT.
Questa difformità è dovuta principalmente alla rapidità con cui gli ambienti industriali, storicamente distinti da quelli informatici, hanno iniziato a convergere con l’OT vedendo progressivamente ed esponenzialmente migliorate così la produttività – grazie all’introduzione di piattaforme come ERP e MES.

Al contempo però gli ambienti industriali hanno mantenuto distanza dai noti problemi che l’IT affronta da decenni. Quindi, nonostante si parli sempre più di convergenza, IT e OT rimangono spesso due mondi distinti: le competenze professionali nei due settori sono molto diverse, con punti di vista che non sempre coincidono tra gli ingegneri specializzati nella produzione e quelli che si occupano delle reti e delle infrastrutture di comunicazione.

L’universo OT è inoltre altamente regolamentato e l’aggiornamento di un solo software richiede la ripetizione dei test di conformità per garantire l’omologazione dei sistemi. Paradossalmente, l’utilizzo di prodotti più recenti può “rappresentare un ostacolo all’innovazione” (per esempio a causa del mantenimento delle certificazioni degli apparati); ecco perché non è raro trovare, nelle linee di produzione, sistemi operativi non più supportati dal produttore stesso, come Windows XP e Windows NT. Funzionano, ma l’assenza di supporto significa che sono estremamente vulnerabili agli attacchi informatici e non garantiscono gli stessi standard di sicurezza delle nuove versioni.

Essendo però chiaro a tutti noi che non si possa prescindere dalla digitalizzazione nel settore industriale, è quindi necessario seguire protocolli di sicurezza standard sulle infrastrutture critiche.

Normative e Regolamenti

In Europa e in Italia, esistono diverse normative che regolano la sicurezza OT negli acquedotti e che guardano alla resilienza delle infrastrutture.

Per esempio, la Direttiva NIS (Network and Information Systems) dell’UE impone obblighi di sicurezza agli operatori di servizi essenziali, inclusi gli acquedotti. In Italia, il Decreto Legislativo 65/2018 recepisce questa direttiva, definendo i requisiti di sicurezza e notificazione degli incidenti.

E ancora il PSA (Piano di Sicurezza delle Acque) introdotto dalla Organizzazione mondiale della Sanità, che prevede – per le strutture tecnico informatiche – uno standard qualitativo finalizzato a garantire la sicurezza del sistema idropotabile, e di conseguenza quella dei cittadini.

Un ruolo chiave è anche quello del Perimetro di Sicurezza Nazionale Cibernetica, introdotto con il Decreto-Legge n. 105/2019, che rappresenta un ulteriore passo avanti verso l’aumento della cyber resilience, stabilendo un quadro di protezione per le infrastrutture critiche, tra cui gli acquedotti. Inoltre, richiede che “I soggetti inclusi nel perimetro di sicurezza cibernetica sono tenuti a predisporre annualmente l’elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, con riferimento a tali asset, a adottare misure nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti al CSIRT (Computer Security Incident Response Team) attivo presso l’ACN. “( Perimetro sicurezza (mise.gov.it))

Strategie di Sicurezza

Partiamo quindi da un contesto ormai abbastanza consapevole di dover migliorare costantemente la protezione di queste infrastrutture tramite un approccio multilivello che guardi alla cyber resilienza e contemporaneamente alla valutazione e alla gestione del rischio. E in questo contesto, molte sono le best practice che si possono applicare:

Segmentazione della Rete: Isolare le reti OT dalle reti IT per limitare la propagazione degli attacchi, ricordando sempre che una rete isolata non è una rete protetta al 100%. La rete, infatti, anche se isolata, è probabilmente soggetta all’intervento di estranei (per esempio manutentori, analisti dei dati) che potrebbero intraprendere azioni che potrebbero infettarla, come per esempio l’utilizzo di una chiavetta.

Monitoraggio Continuo: Implementare sistemi di rilevamento delle intrusioni (IDS) e effettuare un monitoraggio continuo per identificare e rispondere rapidamente agli attacchi.

Immutable backup: soluzioni in grado di rendere immodificabili i backup dei dati da attacchi ramsonware

Formazione del Personale a tutti i livelli

Detection e Reaction: Nelle strategie di cybersecurity, l’adozione di tecnologie che implementano la Detection e Reaction in tempo reale è essenziale, e poterla gestire a livello di singolo endpoint IT e/o OT, rappresenta una componente fondamentale in questo contesto.

Rilevamento Proattivo – risposta immediata: Un approccio proattivo, grazie al monitoraggio continuo, consente di rilevare le minacce in una fase precoce, riducendo il rischio di danni significativi.  Questo comporta la conseguente capacità di rispondere immediatamente alle minacce rilevate – minimizzando il tempo di inattività e il potenziale impatto sulle operazioni aziendali e rappresenta uno dei principali sistemi di protezione.

La risposta di Gyala:

La rete OT – come abbiamo visto – non può essere gestita come quella IT.
La reaction applicata ad un attacco ad un endpoint OT deve poter essere scelta in funzione della specificità di quel singolo end point.

In questo contesto si posiziona Agger, la nostra risposta per massimizzare la cyber resilience delle infrastrutture IT e OT, e che porta all’interno delle infrastrutture critiche:

  • End Point & Detection Response con regole customizzabili anche a livello di singolo agent – dando la possibilità di riflettere le esigenze specifiche dell’end point che proteggiamo.
  • Installazione Cloud, on Premise e/o su reti segregate o classificate – coprendo cosi ogni tipo di esigenza di installazione, rispettando l’architettura delle linee produttive)
  • OT defence avanzata: un sistema di protezione specifico per le infrastrutture OT che controlla da remoto la disponibilità e l’integrità dei PLC, ed è in grado di ripristinarli ricaricandone il software e le configurazioni originali, o di reagire come codificato dal Cliente.
  • Risk management tool: permette di creare una descrizione formale dell’infrastruttura IT e OT, di calcolare l’impatto sui servizi in base alla probabilità e alla portata dell’impatto di ogni potenziale minaccia e, infine, di definire il piano di mitigazione del rischio valutandone l’efficacia.

Conclusioni:

La protezione degli acquedotti richiede un impegno continuo in termini di sicurezza cyber e sostenibilità. Implementare le migliori pratiche di sicurezza, rispettare le normative vigenti e investire in tecnologie innovative sono i passi essenziali per garantire la resilienza delle infrastrutture idriche e il conseguente benessere delle comunità. La sinergia tra cyber security e sostenibilità non solo protegge le risorse idriche, ma supporta anche gli obiettivi globali di sviluppo sostenibile.

Questa connessione Sostenibilità e Cybersecurity è approfondita nella ricerca fatta dalla Fondazione per la sostenibilità Digitale che ha esplorato – grazie a un’approfondita analisi, condotta attraverso focus group comprendenti una eterogenea rappresentanza di esperti – tra cui CIO, CISO, nonché docenti  e ricercatori universitari –  le intersezioni tra sicurezza digitale e sostenibilità nelle sue dimensioni ambientali, economiche e sociali, proponendo un quadro di riferimento che guidi verso una cybersecurity che sia al contempo sostenibile e motore di sostenibilità.

La ricerca ha messo in evidenza tre elementi principali di convergenza:

  • La sovranità Digitale, è emersa come uno degli elementi chiave della sostenibilità, collegata agli  SDG (SDG8 SDG7 SDG3) che guardano alla protezione cyber del nostro paese come strumento indispensabile per proteggere – in un contesto geopolitico sempre più complesso – le infrastrutture e i dati di enti, aziende e cittadini italiani.
  • La convergenza IT/OT è il secondo elemento chiave : “per garantire la sicurezza e la resilienza delle infrastrutture è necessario che le infrastrutture OT si possano gestire con la stessa flessibilità delle infrastrutture IT; la sicurezza delle catene di fornitura e di approvvigionamento (supply chain) è sempre più importante”
    E’ chiaro quindi che attraverso la convergenza tra IT e OT, le  imprese possono ottenere una visione completa e accurata delle proprie operazioni, migliorare l’efficienza operativa, ridurre i costi e promuovere la sostenibilità aziendale.
  • Terzo elemento cruciale è quello della privacy, che non guarda solo al dato del singolo, ma più in generale alla protezione dei dati in tutto il loro percorso attraverso il digitale. In effetti la gran parte degli obiettivi di sviluppo sostenibile richiede l’elaborazione di grandissime quantità di dati riconducibili a numeri elevatissimi di individui e quindi di fatto al trattamento di dati personali.

ARTICOLI CORRELATI

Protezione e Cyber Resilience dei dispositivi elettromedicali con Gyala – Copy

Luglio 3, 2024

Cybersecurity e sostenibilità – Intervista ad Andrea Storico DATAMANAGER.IT La cybersecurity sta...

Leggi

Cybersecurity e Sovranità Digitale, cosa sta facendo l’Italia

Luglio 2, 2024

Cybersecurity e Sovranità Digitale. Cosa sta facendo l’Italia e come adeguarsi per...

Leggi
WHITE PAPER GYALA E NIS2

Whitepaper Gyala e NIS2 – Una guida per le aziende sanitarie

Luglio 1, 2024

Gyala e NIS2, il Whitepaper come guida per le aziende sanitarie FORUMPA.IT...

Leggi