L’agenzia nazionale canadese per la sicurezza informatica ha emesso un avvertimento alle organizzazioni responsabili delle infrastrutture vitali, esortandole ad adottare ulteriori misure di sicurezza, tra cui l’autenticazione obbligatoria a due fattori, dopo una serie di incidenti che hanno coinvolto sistemi di controllo industriale accessibili via Internet. Il Canadian Centre for Cyber Security (Cyber Centre) e la Royal Canadian Mounted Police (RCMP) hanno recentemente ricevuto segnalazioni di accesso non autorizzato a diverse strutture, tra cui un impianto di trattamento delle acque, una compagnia petrolifera e del gas e un sito agricolo.
In un caso, un impianto idrico ha subito la manomissione dei valori di pressione con conseguente degrado del servizio. Un altro incidente ha coinvolto una compagnia petrolifera e del gas, dove la manipolazione di un indicatore automatico del serbatoio ha innescato falsi allarmi. Un terzo caso ha visto gli hacker interferire con i controlli di temperatura e umidità in un silo di essiccazione dei cereali, che avrebbe potuto creare condizioni pericolose se non rilevato tempestivamente. Questi eventi sottolineano il fatto che anche quando l’infrastruttura critica rimane operativa, gli aggressori possono comunque infliggere rischi fisici o danni alla reputazione.
Il advisory rapporto pubblicato dal Canadian Centre for Cyber Security evidenzia che gli aggressori sembrano fare affidamento sull’accesso opportunistico a dispositivi direttamente visibili su Internet, tra cui controllori logici programmabili (PLC), unità terminali remote (RTU), interfacce uomo-macchina (HMI), sistemi di controllo di supervisione e acquisizione dati (SCADA) e sistemi di gestione degli edifici. Il documento sottolinea che, sebbene non sia stato identificato alcun attore specifico sponsorizzato dallo stato, queste campagne di hacktivisti prendono sempre più di mira le infrastrutture fisiche per creare interruzioni, allarme sociale o danni alla reputazione.
Poiché i sistemi di controllo industriale sono ora comunemente connessi a Internet per fornire accesso remoto, monitoraggio o supporto ai fornitori, rappresentano un obiettivo allettante per gli attori delle minacce. Il Cyber Centre avverte che la progettazione e l’implementazione di molti di questi sistemi non hanno originariamente dato priorità alla sicurezza informatica, il che significa che le credenziali predefinite o deboli, i servizi esposti e la mancanza di segmentazione della rete rimangono prevalenti. Una volta acceduti, questi sistemi possono essere manipolati o utilizzati come punto di snodo per altre reti operative.
In risposta a questi incidenti, l’agenzia raccomanda ai proprietari delle infrastrutture di adottare misure immediate. Questi includono la conduzione di un inventario completo di tutti i dispositivi ICS accessibili da Internet e la valutazione se debbano rimanere esposti. Laddove l’esposizione diretta non può essere eliminata, si consiglia alle organizzazioni di implementare una rete privata virtuale con autenticazione a due fattori per l’accesso remoto, implementare strumenti di prevenzione e rilevamento delle intrusioni, eseguire test di penetrazione regolari e mantenere una gestione continua delle vulnerabilità. I comuni e le utility più piccole che potrebbero non avere una supervisione formale della sicurezza informatica sono invitati a coordinarsi con i fornitori di servizi e confermare che i dispositivi gestiti dal fornitore siano configurati in modo sicuro e mantenuti per tutto il loro ciclo di vita.
Una delle raccomandazioni specifiche sottolinea il ruolo dell’autenticazione a due fattori, o 2FA, per l’accesso remoto e amministrativo ai sistemi infrastrutturali. Richiedendo un secondo metodo di verifica oltre a una password, le organizzazioni possono ridurre significativamente il rischio di accesso non autorizzato derivante dal furto di credenziali o dal phishing. L’allerta del Cyber Centre pone la 2FA in primo piano come controllo di base ma vitale nella protezione delle reti di infrastrutture critiche.
Le organizzazioni che gestiscono servizi vitali si trovano ora ad affrontare una maggiore esposizione perché i componenti dell’infrastruttura sono sempre più interconnessi e la combinazione di tecnologie informatiche e reti tecnologiche operative è cresciuta. La compromissione di un dispositivo può portare a un accesso più ampio al sistema, a potenziali interruzioni del servizio o a incidenti critici per la sicurezza. Gli esperti affermano che la sicurezza fisica si intreccia con la sicurezza informatica quando la pressione dell’acqua, i livelli di carburante o le condizioni ambientali vengono manipolati dagli aggressori.
L’allerta sottolinea inoltre che gli hacktivisti possono non solo mirare a un guadagno finanziario, ma anche cercare visibilità, minare la fiducia o creare allarme pubblico. Attaccando i dispositivi connessi a Internet nell’energia, nell’agricoltura o nella gestione dell’acqua, gli avversari possono fare una dichiarazione evitando la distruzione su larga scala, che a sua volta può ridurre il rilevamento immediato. Queste tattiche sottolineano la necessità di un monitoraggio vigile sia degli eventi tecnici insoliti che del comportamento fisico anomalo delle piante.
A seguito di questo avviso, agli operatori delle infrastrutture canadesi e alle organizzazioni municipali viene chiesto di rivedere la loro posizione di sicurezza, controllare i registri di accesso remoto, assicurarsi che gli account amministrativi siano bloccati e applicare l’autenticazione a più fattori ove possibile. Il Cyber Centre sottolinea che i controlli e il monitoraggio degli accessi sono efficaci solo se supportati dalla governance, dalla pianificazione della risposta agli incidenti e da un chiaro coordinamento tra i team IT e i team tecnologici operativi.
Sebbene l’avviso non attribuisca gli incidenti a una particolare nazione o gruppo, riflette la più ampia tendenza globale delle campagne di targeting delle infrastrutture da parte di attori che cercano di sfruttare i sistemi operativi esposti. Questi sviluppi hanno suscitato una rinnovata attenzione in tutti i settori, tra cui l’acqua, l’alimentazione, l’industria manifatturiera e l’energia. Il governo canadese sta sfruttando questo momento per spingere le organizzazioni a trattare la sicurezza informatica per le infrastrutture come un problema di sicurezza pubblica e resilienza nazionale.
In sintesi, l’avvertimento del Cyber Centre dovrebbe essere preso dai fornitori di infrastrutture come un invito all’azione. Con i numerosi incidenti già segnalati e la crescente connettività dei sistemi industriali, il quadro dei rischi non è mai stato così urgente. L’autenticazione a due fattori, i controlli degli accessi remoti, l’inventario dei dispositivi esposti e la supervisione integrata dei fornitori rappresentano passaggi fondamentali per proteggere la sicurezza nazionale e la continuità del servizio dei settori critici del Canada.