In tempi recenti vi sono stati esempi emblematici di attacchi cyber a infrastrutture critiche, tra cui quello di WannaCry che ha interessato il servizio sanitario inglese, l’attacco alla rete di distribuzione dell’energia elettrica in Ucraina, l’attacco alla Aramco in Arabia Saudita. Secondo Kaspersky Lab alla fine del 2016 circa il 24% dei sistemi di controllo industriale nel mondo hanno subito un attacco, e la causa principale del successo di questi attacchi sembrerebbe risiedere nel fatto che gli operatori hanno aggiornato in modo massiccio le infrastrutture con controlli digitali collegati a internet, ma l’aggiornamento è avvenuto senza predisporre adeguate contromisure atte a impedire le intrusioni: da un lato si è guadagnato immediatamente in efficienza grazie alla digitalizzazione, ma altrettanto immediatamente si sono create vulnetabilità sfruttabili da parte di quelle che oramai sono vere e proprie organizzazioni del crimine informatico. Il Massachusetts Institute of Technology ha recentemente prodotto un report, cui hanno contribuito personalità accademiche e di enti governativi, che contiene una serie di raccomandazioni, alcune basate sulla semplice ragionevolezza, prima tra tutte quella di tenere isolati i sistemi di controllo industriale dalle reti pubbliche, quindi da internet: è contraddittorio pretendere di avere controlli sicuri quando questi sono esposti alle reti pubbliche, notorialente insicure. La seconda riguarda la semplicità: una tecnologia di sicurezza deve essere non solo affidabile, ma anche e soprattutto semplice da implementare, in quanto, la complessità è il nemico principale della sicurezza, impedendo una completa gestione di funzionalità spesso superflue che potrebbero anche offrire ampi spazi di intrusione. Terza raccomandazione riguarda gli incentivi dei governi: tra i fattori che modificano i comportamenti nelle economie di mercato sono da considerare non solo le opportunità di business, ma anche tassazioni e regolamenti. Tasse e incentivi devono quindi pilotare verso un maggior allineamento alle esigenze di cyber security, stimolando il cambiamento verso le nuove tecnologie ma nel contempo creando le condizioni perché questo avvenga con una garanzia di robustezza dei sistemi di controllo agli attacchi informatici, per esempio aumentando la tassazione verso le aziende che fanno uso di sistemi non certificati sicuri.
I sistemi industriali sono sotto attacco
