L’operatore della rete elettrica nazionale svedese, Svenska kraftnät, ha confermato di aver subito una violazione dei dati a seguito di una denuncia da parte del gruppo di criminali informatici Everest, legato alla Russia. Gli hacker affermano di aver ottenuto 280 gigabyte di dati dall’operatore, anche se il contenuto esatto del furto rimane sconosciuto.
Secondo il responsabile della sicurezza informatica dell’operatore, la violazione è stata scoperta dopo che un ricercatore di sicurezza ha avvisato la società che Everest aveva pubblicato dati sulla sua piattaforma di leak. L’operatore ha dichiarato che sta indagando sull’incidente e ha sottolineato che la sua fornitura di energia elettrica rimane inalterata.
La società ha dichiarato che una soluzione di trasferimento file esterna è stata compromessa. I funzionari hanno sottolineato che, sebbene sia stato effettuato l’accesso ai dati, non vi è alcuna indicazione che i sistemi operativi vitali siano stati colpiti. L’indagine è in corso e le autorità non hanno rivelato pubblicamente che tipo di documenti sono stati esposti.
Nel frattempo, Everest ha affermato sul suo sito di fuga di notizie di aver avuto accesso a centinaia di gigabyte di dati da Svenska kraftnät e ha minacciato di rilasciarne altri a meno che le sue richieste non vengano soddisfatte. Tuttavia, l’operatore non ha confermato se i dati siano autentici o quale possa essere l’impatto completo.
Perché le organizzazioni di infrastrutture critiche sono prese di mira
I gestori di reti nazionali e di altre infrastrutture sono obiettivi interessanti perché gestiscono grandi volumi di dati sensibili e fanno parte dei servizi essenziali. Gli aggressori possono utilizzare le informazioni rubate a scopo di estorsione, per ottenere un vantaggio strategico o per causare interruzioni indirette.
In questo caso, il fatto che i sistemi operativi non siano stati interessati dimostra come gli aggressori possano concentrarsi sul furto di dati piuttosto che sul sabotaggio diretto. Il rapido riconoscimento dell’incidente da parte dell’operatore e la collaborazione con le autorità riflettono la crescente attenzione alla risposta e alla trasparenza nelle violazioni dell’infrastruttura.
Cosa significa questo per gli utenti e la sicurezza nazionale
Sebbene al momento non vi sia alcuna minaccia per l’approvvigionamento elettrico della Svezia, la violazione solleva interrogativi sulla sicurezza dei sistemi non core che supportano le infrastrutture critiche. Gli strumenti di trasferimento file esterni, i portali di accesso e i data warehouse sono vettori di attacco comuni. Le organizzazioni devono trattarli come parte della superficie di attacco.
Dal punto di vista della sicurezza nazionale, l’attacco illustra l’evoluzione delle tattiche dei gruppi di criminalità informatica e ransomware. Invece di prendere di mira direttamente le operazioni, gli avversari cercano sempre più dati per fare leva, attraverso il riscatto o la pubblicazione. Questo cambiamento complica gli sforzi di rilevamento e mitigazione, soprattutto quando i dati diventano una commodity.
Cosa farà Svenska kraftnät
Svenska kraftnät ha dichiarato che sta lavorando con le forze dell’ordine svedesi e le agenzie di sicurezza informatica per determinare l’intera portata della violazione. L’azienda sta rivedendo lo strumento interessato, valutando tutti i dati esposti e rafforzando di conseguenza la propria posizione di sicurezza. La società si è inoltre impegnata a fornire aggiornamenti man mano che l’indagine procede.
L’operatore ha inoltre chiarito che le operazioni di trasmissione dell’energia elettrica rimangono stabili e inalterate in questo momento. Tale garanzia mira a mantenere la fiducia del pubblico e rassicurare le parti interessate che l’incidente non ha compromesso l’affidabilità della rete.