Di Andrew Tsonchev, Director of Technology di Darktrace
Tra tutte le scoperte della storia, nessuna ha trasformato la nostra civiltà così profondamente come l’elettricità. Dalla sveglia che suona ogni mattina alla luce che spegniamo prima di dormire, il mondo che conosciamo in gran parte è stato reso possibile dall’avvento dell’energia elettrica. Tuttavia, i giorni in cui davamo per scontata la nostra più grande invenzione potrebbero essere prossimi alla fine. Man mano che i conflitti internazionali migrano verso il dominio digitale, i cyber-criminali di Stato prendono di mira sempre più le reti energetiche, con l’intenzione di provocare interruzioni in grado di arrestare bruscamente le attività in aree del mondo che rappresentano il loro obiettivo. E ironia della sorte, più avanzato diviene il nostro mondo plasmato dall’elettronica, più sofisticati saranno questi attacchi informatici che rischiano di farci cadere nei secoli bui del Medioevo.
Il 23 dicembre 2015, presso la centrale elettrica di Prykarpattyaoblenergo nell’Ucraina occidentale, un dipendente ha notato che il cursore del suo computer si muoveva sullo schermo da solo piano piano. All’insaputa di tutti, tranne che di pochi criminali coinvolti, questo lavoratore stava di fatto assistendo all’alba di una nuova era nella guerra informatica. Nei minuti successivi, il cursore ha cliccato sistematicamente un interruttore dopo l’altro, lasciando senza energia oltre 230.000 cittadini ucraini. L’operatore inerte poteva solo osservare mentre il cursore lo disconnetteva dal pannello di controllo, cambiava la password e spegneva il generatore di backup dell’impianto stesso.
Si trattava della prima interruzione ed escalation documentata di un attacco informatico a una centrale elettrica, per questo motivo l’incidente ha provocato molto clamore nella community dell’intelligence globale, che si è interrogata sul fatto che potessero essere coinvolti malintenzionati sponsorizzati da uno Stato, in particolare considerando le tattiche sofisticate che erano state utilizzate. In effetti, i blackout che gettano nell’oscurità città intere, e persino nazioni, rappresentano una tattica devastante nella partita a scacchi geopolitica. A differenza di atti di guerra diretti, questi assalti online sono difficili da rintracciare e garantiscono in questo modo ai responsabili una protezione dalle ripercussioni internazionali che accompagnerebbero un’aggressione militare. E con economie rivali che gareggiano per inventare per primi nuovi utilizzi innovativi dell’elettricità, è palese che un avversario possa cercare di vincere la sfida spegnendo letteralmente la luce al proprio rivale.
L’attacco all’Ucraina ha rappresentato uno spartiacque, perché da allora la possibilità di subire un colpo simile è diventata una preoccupazione fondamentale per i governi di tutto il mondo.
Nel marzo del 2018, diverse aziende di utility, sia in Europa che negli Stati Uniti, sono state colpite da un attacco su larga scala che avrebbe potuto “spegnere le centrali elettriche a proprio piacimento” se lo avesse voluto, ma che invece pare fosse stato condotto per scopi di sorveglianza e intimidazione. Questi attacchi possono avere origine nel cyberspazio ma nel mondo reale una loro qualsiasi escalation che vada oltre ai semplici segnali di avvertimento potrebbe avere conseguenze drammatiche.
Le reti di distribuzione dell’energia sono ambienti estesi e complessi, controllati da sistemi digitali e composti da una vasta gamma di sottostazioni, relè, sale di controllo e contatori intelligenti. Tra apparecchiature legacy che eseguono software vecchi di decenni e nuovi dispositivi IIoT, progettati senza controlli di sicurezza rudimentali, queste reti personalizzate sono pronte per lo scenario delle vulnerabilità zero-day. Inoltre, le difese informatiche convenzionali sono progettate solo per individuare minacce note affrontate dall’IT tradizionale e quindi sono cieche di fronte ai nuovi attacchi che colpiscono tali macchine, uniche nel loro genere.
Tra i tanti componenti, i contatori intelligenti – che comunicano il consumo di elettricità al fornitore – sono notoriamente molto facili da hackerate. E sebbene la maggior parte delle reti elettriche siano progettate per evitare questa evenienza, la rapida adozione dei contatori smart rappresenta un gateway che può essere sfruttato da malintenzionati che cercano di accedere al sistema di controllo di una rete elettrica. In effetti, disabilitare i contatori intelligenti individuali potrebbe essere già una misura sufficiente per sabotare l’intera rete, anche senza dirottare l’intero sistema di controllo. Basta, infatti, una variazione dell’1% nella domanda di elettricità a indurre una rete elettrica a chiudersi per evitare danni, il che significa che potrebbero essere sufficienti pochi contatori compromessi per raggiungere il punto di rottura.
Ancora più allarmante è la considerazione che un cambiamento consistente e improvviso nella domanda di elettricità potrebbe generare un effetto a catena, capace di provocare gravi danni fisici e produrre blackout duraturi. Nick Hunn, esperto di smart energy, afferma che, in un caso del genere, “riparare la rete elettrica e ripristinare un approvvigionamento globale e affidabile potrebbe richiedere anni”.
La capacità di cogliere le attività sospette in una rete energetica richiede una comprensione sottile e in evoluzione di come funziona il sistema complesso delle reti energetiche. Solo la conoscenza di quale sia la condizione normale di funzionamento per ogni particolare ambiente – che comprende milioni di connessioni online in continua evoluzione – può rivelare quelle sottili anomalie che accompagnano tutti gli attacchi informatici, indipendentemente dal fatto che siano mai state riscontrate in precedenza.
Il primo passo è, infatti, la visibilità: sapere in tempo reale cosa sta succedendo in queste reti altamente distribuite. Il modo più efficace per ottenerla è monitorare il traffico di rete generato dai sistemi di controllo, poiché gli strumenti di Operation Technology raramente supportano gli agent software di sicurezza. Fortunatamente, nella maggior parte delle architetture della rete elettrica, queste macchine comunicano con un server SCADA centrale, che può quindi fornire visibilità su gran parte della rete elettrica. Tuttavia, il traffico dal sistema di controllo non è sufficiente per visualizzare lo scenario generale, poiché le sottostazioni remote possono essere direttamente compromesse dall’accesso fisico o servire come punti terminali per una rete di contatori intelligenti. Per ottenere una visione complessiva, è possibile distribuire sonde di monitoraggio dedicate in posizioni remote chiave.
Una volta arrivati a questo livello di conoscenza – monitorando sistemi su misura e spesso antiquati all’interno delle sottostazioni – ci siamo lasciati fermamente alle spalle il mondo dell’IT di base. Piuttosto che trattare con sistemi e protocolli Windows standard, ora ci troviamo di fronte a una giungla di sistemi personalizzati e protocolli proprietari, un ambiente da gestire per il quale le soluzioni di sicurezza tradizionali e standard non sono state progettate.
L’unico modo per dare un senso a questi ambienti è evitare di predefinire ciò a cui dovrebbero assomigliare, e utilizzare invece l’intelligenza artificiale che, mentre “lavora sul campo”, auto-impara a distinguere i comportamenti normali da quelli anomali per ogni rete elettrica.
Questi strumenti di autoapprendimento, indipendenti dal protocollo e dal fornitore, sono in grado di rilevare in modo sorprendente sia minacce rivolte contro macchine obsolete sia attacchi ai nuovi dispositivi IIoT. E in un futuro prossimo in cui le centrali elettriche e le reti energetiche diventeranno sempre più rapidamente il palcoscenico della nuova guerra cyber, non sarà mai troppo tardi per passare alla sicurezza abilitata dall’IA.