Un preoccupante 70% delle organizzazioni che gestiscono infrastrutture critiche ha subito violazioni della sicurezza nell'ultimo anno, tra cui aziende idriche, petrolifere, del gas e elettriche. Una percentuale quasi altrettanto elevata, pari al 64%, prevede uno o più attacchi gravi nel prossimo anno.
Minacce interne nelle agenzie governative e nelle grandi aziende
Nei precedenti articoli di questa serie abbiamo evidenziato i rischi legati alle minacce interne per le aziende statunitensi e il modo in cui queste ultime reagiscono. Mentre le minacce interne nelle agenzie governative e nelle grandi aziende sono un problema noto, con strategie di mitigazione in parte implementate, meno si sa delle minacce interne alle infrastrutture critiche degli Stati Uniti, come gli impianti di depurazione delle acque o le centrali nucleari. Per illustrare la natura di queste minacce, vorrei fornire due esempi tratti da unrapporto del Dipartimento della Sicurezza Nazionale, intitolato Insider Threat to Utilities (Minacce interne ai servizi pubblici).
- Nell'aprile 2011, un dipendente di un impianto di trattamento delle acque avrebbe spento manualmente i sistemi operativi di un impianto di depurazione delle acque reflue a Mesa, in Arizona, nel tentativo di causare un riflusso delle acque reflue per danneggiare le attrezzature e creare un accumulo di gas metano. I dispositivi di sicurezza automatici hanno impedito l'accumulo di metano e hanno allertato le autorità, che hanno arrestato il dipendente senza incidenti.
- Nel gennaio 2011, un dipendente recentemente licenziato da una società statunitense di gas naturale avrebbe fatto irruzione in una stazione di monitoraggio del suo ex datore di lavoro e chiuso manualmente una valvola, interrompendo il servizio di fornitura di gas a quasi 3.000 clienti per un'ora.
Qual è il rischio che incidenti simili e più pericolosi si verifichino nel prossimo futuro?
Le minacce interne alle infrastrutture critiche non sono una novità: basti pensare allo spionaggio e al sabotaggio durante la Guerra Fredda. Tuttavia, i parametri sono cambiati in modo significativo.
Mentre durante la Guerra Fredda la minaccia consisteva nell'accesso fisico privilegiato e nelle conoscenze specialistiche, oltre che nelle capacità di spionaggio e terrorismo, oggi le potenziali minacce sono molto più numerose a causa della "deperimetrizzazione" delle infrastrutture critiche degli Stati Uniti. La globalizzazione e l'outsourcing rendono sempre più labile il confine tra insider e avversari esterni.
Spesso utilizzati per ridurre i costi, fornitori, appaltatori e partner commerciali di fiducia non sottoposti a controlli ottengono un accesso privilegiato alle infrastrutture critiche. L'uso di cloud , lavoro a distanza e tecnologie web all'interno delle organizzazioni che gestiscono infrastrutture critiche aggrava ulteriormente il problema se queste pratiche non vengono trattate e protette in modo speciale. Quindi la minaccia per un impianto locale di depurazione dell'acqua non è più solo una spia straniera dormiente con accesso fisico privilegiato, ma anche dipendenti e appaltatori remoti di fiducia i cui nomi utente e password privilegiati possono essere rubati nel cloud.
Esistono poche informazioni sui dati recenti e sull'impatto degli incidenti causati da insider malintenzionati nelle infrastrutture critiche negli Stati Uniti e all'estero. La maggior parte delle informazioni non viene resa pubblica e anche fonti affidabili come il Computer Emergency Readiness Team (CERT) degli Stati Uniti hanno solo un accesso limitato ai casi e agli scenari di minaccia reali.
Il Dipartimento della Sicurezza Nazionale (DHS) ha tuttavia recentemente iniziato a pubblicare rapporti di valutazione dei rischi nazionali (NRE) che esaminano i rischi derivanti da attacchi interni dolosi. Come afferma l'ultimo rapporto, "la disponibilità limitata di dati sulle minacce interne comporta un margine di incertezza nelle valutazioni dei rischi NRE".
L'NRE si basa su un'analisi strutturale dei dati forniti da esperti in materia del governo federale e del settore privato. Per l'analisi strutturale sono stati selezionati 31 scenari di minacce interne con conseguenze a livello nazionale e sono state valutate le loro conseguenze e probabilità.
Mentre gli esperti ritengono che scenari catastrofici quali "l'interruzione delle transazioni finanziarie internazionali" o "l'introduzione di sostanze chimiche tossiche nella filiera lattiero-casearia statunitense" abbiano una probabilità piuttosto bassa, pari a circa il 10% o meno, considerano scenari con conseguenze meno gravi, quali "frodi organizzate ai danni di Medicare e Medicaid", come quasi certi al 100%. La probabilità mediana per tutti gli scenari in tutti i settori infrastrutturali è stata valutata a circa il 15%.
Quali sono le vulnerabilità più gravi e come risolverle?
Il Computer Emergency Readiness Team (CERT) degli Stati Uniti ha condotto 53 valutazioni in loco delle infrastrutture critiche in tutto il Paese per individuare eventuali vulnerabilità e ne ha individuate tre principali.
Il primo e più comune è la mancanza di segmentazione delle reti interne, insieme a carenze nelle protezioni perimetrali per le enclavi virtuali e fisiche. La segmentazione di rete consiste nella suddivisione di una rete di computer in sottoreti, ciascuna delle quali costituisce un segmento di rete o un livello di rete che rende le risorse interne molto meno accessibili dall'esterno. L'implementazione di questa misura ridurrebbe notevolmente i rischi per i fornitori di infrastrutture critiche.
La seconda vulnerabilità è la mancanza di protezioni perimetrali nelle reti interne, il che significa che ci sono troppo pochi o nessun firewall tra le zone e che le regole dei firewall sono minime e prive di controlli/verifiche.
Il terzo è che l'accesso remoto è stato identificato come uno dei principali punti di ingresso per gli attacchi a causa di una scelta e una progettazione errate dei protocolli di accesso remoto. Il CERT suggerisce l'uso di tunnel VPN e di una zona di sicurezza limitata (DMZ) per le connessioni al fine di eliminare questo rischio.
In sintesi, il fatto che queste vulnerabilità facili da risolvere esistano in infrastrutture critiche è piuttosto sorprendente. Le falle di sicurezza descritte sono ben note e le contromisure e i protocolli appropriati sono adottati come standard in quasi tutte le altre reti aziendali e dovrebbero esserlo ancora di più per le infrastrutture critiche. Speriamo che i CISO responsabili prendano provvedimenti.
Questo articolo è pubblicato nell'ambito dell'IDG Contributor Network.