Uno spaventoso 70% delle organizzazioni che si occupano di infrastrutture critiche ha subito violazioni della sicurezza nell'ultimo anno, tra cui le aziende idriche, petrolifere e del gas e quelle elettriche. Un numero quasi altrettanto elevato, il 64%, prevede uno o più attacchi gravi nel prossimo anno.
Minacce insider nelle agenzie governative e nelle grandi aziende
Nei precedenti post di questa serie, abbiamo evidenziato i rischi di insider threat per le aziende statunitensi e le modalità di risposta ad essi. Mentre la minaccia insider nelle agenzie governative e nelle grandi aziende è un problema noto, con strategie di mitigazione in qualche modo implementate, si sa meno della minaccia insider alle infrastrutture critiche degli Stati Uniti, come la depurazione dell'acqua o le centrali nucleari. Per illustrare la natura delle minacce, vorrei fornire due esempi tratti da un rapporto del Dipartimento per la Sicurezza Nazionale: ilrapporto Insider Threat to Utilities.
- Nell'aprile 2011, un dipendente solitario dell'impianto di trattamento delle acque avrebbe spento manualmente i sistemi operativi di una società di gestione delle acque reflue di Mesa, in Arizona, nel tentativo di provocare un accumulo di acque reflue che avrebbe danneggiato le apparecchiature e creato un accumulo di gas metano. I dispositivi di sicurezza automatici hanno impedito l'accumulo di metano e hanno allertato le autorità che hanno arrestato il dipendente senza incidenti.
- Nel gennaio 2011, un dipendente appena licenziato da un'azienda statunitense di gas naturale si sarebbe introdotto in una stazione di monitoraggio del suo ex datore di lavoro e avrebbe chiuso manualmente una valvola, interrompendo per un'ora il servizio del gas a quasi 3.000 clienti.
Qual è il rischio che incidenti simili e più pericolosi si verifichino nel prossimo futuro?
Le minacce interne alle infrastrutture critiche non sono nuove, basti pensare allo spionaggio e al sabotaggio durante la Guerra Fredda. Tuttavia, i parametri sono cambiati in modo significativo.
Mentre ai tempi della Guerra Fredda la minaccia consisteva nell'accesso fisico privilegiato e nelle conoscenze specialistiche, oltre che nello spionaggio e nelle abilità terroristiche, oggi l'insieme delle potenziali minacce è molto più ampio a causa della "deperimetrazione" delle infrastrutture critiche statunitensi. La globalizzazione e l'outsourcing rendono sempre più confusa la linea di demarcazione tra insider e avversari esterni.
Spesso utilizzati per ridurre i costi, i fornitori, gli appaltatori e i partner commerciali non verificati ottengono un accesso privilegiato alle strutture delle infrastrutture critiche. L'uso di servizi cloud , lavoro remoto e tecnologie Web all'interno delle organizzazioni che si occupano di infrastrutture critiche aggrava ulteriormente il problema se queste pratiche non vengono trattate e protette in modo speciale. La minaccia per un impianto di depurazione dell'acqua locale non è più solo una spia straniera dormiente con accesso fisico privilegiato, ma dipendenti e appaltatori remoti fidati i cui nomi utente e password privilegiati possono essere rubati nel cloud.
Esistono poche informazioni sui numeri recenti e sull'impatto degli incidenti di insider malintenzionati nelle infrastrutture critiche negli Stati Uniti e all'estero. La maggior parte delle informazioni non viene resa pubblica e persino fonti affidabili come il Computer Emergency Readiness Team (CERT) degli Stati Uniti hanno un accesso limitato a casi e scenari di minacce reali.
Il Department of Homeland Security (DHS), tuttavia, ha recentemente iniziato a rilasciare rapporti di National Risk Estimate (NRE) che esaminano i rischi derivanti da attacchi insider dolosi. Come si legge nell'ultimo rapporto, "la limitata disponibilità di dati sulle minacce insider comporta un'incertezza associata alle valutazioni del rischio NRE".
L'NRE si basa su un'analisi strutturale dei dati raccolti da esperti del governo federale e del settore privato. Per l'analisi strutturale sono stati selezionati 31 scenari di minaccia insider con conseguenze a livello nazionale e sono state valutate le loro conseguenze e probabilità.
Mentre gli esperti ritengono che scenari catastrofici come "l'interruzione delle transazioni finanziarie internazionali" o "l'introduzione di una sostanza chimica tossica nella fornitura di latte negli Stati Uniti" abbiano una probabilità piuttosto bassa, pari a circa il 10 percento o meno, considerano scenari con conseguenze meno gravi come "frodi organizzate su Medicare e Medicaid" come quasi il 100 percento di probabilità. La probabilità mediana per tutti gli scenari in tutti i settori infrastrutturali è stata valutata a circa il 15%.
Quali sono le maggiori vulnerabilità e come risolverle?
Il Computer Emergency Readiness Team (CERT) degli Stati Uniti ha condotto 53 valutazioni in loco di strutture di infrastrutture critiche in tutti gli Stati Uniti per identificare le vulnerabilità e sono state individuate tre vulnerabilità principali.
La prima e più comune è la mancanza di segmentazione delle reti interne e le carenze nelle protezioni perimetrali delle enclavi virtuali e fisiche. La segmentazione della rete si riferisce alla suddivisione di una rete di computer in sottoreti, ognuna delle quali è un segmento o un livello di rete che rende le risorse interne molto meno accessibili dall'esterno.
La seconda vulnerabilità è la mancanza di protezioni di confine nelle reti interne, vale a dire che i firewall tra le zone sono troppo pochi o inesistenti e i set di regole del firewall sono minimi e mancano di auditing/verifica.
Il terzo è che l'accesso remoto è stato identificato come un punto di ingresso primario per gli attacchi a causa di una cattiva scelta e progettazione dei protocolli di accesso remoto. Il CERT suggerisce l'uso di tunnel VPN e di una zona a sicurezza limitata (DMZ) per le connessioni, al fine di eliminare questo rischio.
In sintesi, il fatto che queste vulnerabilità facili da risolvere esistano nelle infrastrutture critiche è piuttosto sorprendente. Le falle di sicurezza descritte sono ben note e le contromisure e i protocolli appropriati sono adottati come standard in quasi tutte le altre reti aziendali e dovrebbero esserlo ancora di più per le infrastrutture critiche. Speriamo che i CISO responsabili agiscano.
Questo articolo è pubblicato nell'ambito di IDG Contributor Network.