L’acqua è un bene essenziale. Poche altre infrastrutture critiche sono così importanti come la fornitura di acqua potabile. Per questo di fronte all’aumento delle tensioni globali, cresce la preoccupazione che le forniture idriche, tanto importanti quanto vulnerabili, possano diventare l’obiettivo di attacchi informatici.
Emanuele Temi, Technical Sales Engineer di Nozomi Networks ci illustra il Piano di sicurezza dell’acqua, un manuale, dedicato all’attuazione di misure di sicurezza per proteggere l’integrità fisica e digitale dei sistemi di approvvigionamento idrico.
Il piano, pubblicato lo scorso anno dal Centro comune di ricerca dello European Reference Network for Critical Infrastructure Protection (Erncip), intende consentire agli operatori della fornitura di acqua potabile di gettare le basi per l’attuazione di misure specifiche volte a migliorare la sicurezza del sistema idrico contro minacce e attacchi.
Standard di Sicurezza come guida
Per proteggere l’aspetto digitale del servizio idrico, è utile innanzitutto guardare a standard come ISO, IEC, ISA o altre best practice di cybersecurity, che forniscono ai responsabili della sicurezza una guida strutturata sulle misure di salvaguardia già implementate e quelle ancora da adottare.
Purtroppo, però, le tecniche di attacco dei criminali informatici sono in continua e rapida evoluzione.
Spesso, vulnerabilità appena scoperte vengono sfruttate per giorni o settimane prima di essere notate, mettendo i difensori in una posizione di costante svantaggio perché solo in grado di reagire alla dinamicità delle minacce.
Per evitare di restare indietro nei confronti degli attori ostili e individuare tempestivamente potenziali tentativi di attacco, è quindi consigliabile tenere sotto controllo il traffico di dati nell’intera rete dell’impianto e prestare attenzione alle anomalie.
Tenere sotto controllo il traffico di dati
La sezione 2.2.3 del report Erncip tratta dei sistemi di rilevamento informatico delle aziende idriche e identifica i seguenti tre elementi come azioni prioritarie di una strategia di sicurezza:
- Identificazione di uno stato di normalità. Sia i dati dei sensori che il traffico sono analizzati con algoritmi “non supervisionati”. Vengono considerati sia i pacchetti di dati in circolazione sia gli indirizzi IP di tutti i dispositivi che inviano e ricevono. Anche le porte e i protocolli utilizzati per la comunicazione sono inclusi nell’analisi. Dalla somma di tutti questi dati viene estrapolato uno stato “di normalità”, le cui deviazioni successive possono essere identificate come segnali di allarme.
- Sistemi di protezione in tempo reale per i dati dei sensori. Per poter garantire l’integrità dei dati dei sensori, è necessario poterli monitorare in tempo reale. Rilevando tempestivamente le deviazioni, non solo è possibile evitare potenziali attacchi, ma anche correggere più rapidamente eventuali malfunzionamenti durante le normali operazioni.
- Implementazione di un Security Information and Event Management. Il Siem è uno strumento di sicurezza informatica dall’efficacia collaudata, che consente ai suoi utenti di anticipare i potenziali incidenti e quindi di essere preparati al peggiore degli scenari.
La qualità dell’informazione è fondamentale
Il modo migliore per identificare un attaccante è cercare le anomalie. Per farlo, è necessario analizzare i log fino ai payload e scrutare la natura di tutti i dati che circolano. Allo stesso modo, occorre esaminare l’infrastruttura che controlla i processi industriali.
L’importanza del monitoraggio per rispondere più efficacemente agli incidenti critici
Quando si parla di criticità e di sensibilità alle interruzioni, sono pochi i sistemi di approvvigionamento comparabili con quello idrico, e non è un caso che i limiti di legge per la purezza e potabilità dell’acqua siano tra i più severi al mondo.
Per questo motivo, il livello di attenzione alla sua sicurezza deve essere particolarmente elevato, in tema di cybersecurity ma anche di potenziali malfunzionamenti che, allo stesso modo, possono mettere la società in difficoltà.
Un’estesa dotazione di sensori e il monitoraggio dei dati in tempo reale possono non solo proteggere dagli attacchi informatici, ma anche aiutare a rilevare e correggere tempestivamente altri malfunzionamenti che potrebbero compromettere sia la fornitura del servizio che l’integrità stessa dell’acqua.
