Click here… NIS2: strategie di adeguamento
“Click here… NIS2: strategie di adeguamento” è stato il titolo dello speech di Domenico Raguseo, Head of Cybersecurity di Exprivia, all’evento “NIS2: Sfide, Opportunità e Soluzioni per PMI e Supply Chain”, tenutosi il 18 dicembre a Vicenza, organizzato dal Digital Innovation Hub (DIH) di Confartigianato Imprese Vicenza e da S News, con il contributo della Camera di Commercio di Vicenza, dell’EBAV e il supporto di TKH Security Italia, TKH Group.
Di seguito un approfondimento sul tema a firma Raguseo.
Buona lettura!
CLICK HERE… NIS2: STRATEGIE DI ADEGUAMENTO
di Domenico Raguseo
Nella storia ci sono spesso fatti che passano inosservati al momento, ma che dopo qualche anno e per qualche ragione diventano pietre miliari.
Questo è sicuramente il caso di Stuxnet e Mirai.
Il caso Stuxnet
L’attacco Stuxnet , scoperto nel 2010, non è stato né il primo né l’ultimo attacco che avesse come obiettivo infrastrutture industriali (i sistemi SCADA) utilizzati nel controllo industriale. I sistemi SCADA sono sistemi in cui un’unità di controllo (PLC, controllore logico programmabile) comunica con sensori che rilevano e con attuatori che eseguono comandi dopo che il PLC li ha elaborati. L’automazione industriale si basa su questi dispositivi.
Ma perché Stuxnet è diventato famoso rispetto ad altri? Sicuramente perché le condizioni geopolitiche lo hanno reso popolare, anche se chi ha fatto attacco e chi lo ha subito non ha mai dichiarato di averlo fatto o subito, ma anche perché grazie a questa popolarità il mondo ha scoperto che la cybersecurity non era qualcosa che aveva a che fare con i data centers, ma con la vita di tutti giorni. Il mondo ha scoperto che a causa di un attacco cyber, persone a km di distanza potevano restare senza luce, senza energia e molti potevano anche morire.
I sistemi SCADA, infatti, che fino a qualche anno fa avevano interfacce proprietarie e comunicavano con sensori ed attuatori utilizzando protocolli proprietari per migliorare efficienza e user experience, erano stati sostituiti con sistemi che utilizzavano HMI (Human Management Interface) su sistemi aperti e che comunicavano con protocolli IT, quindi sicuramente più gradevoli ed efficienti, ma molto meno sicuri. Per gli amanti della cronaca, gli attaccanti hanno trovato il modo di entrare nella rete dell’attaccato utilizzando una chiavetta USB, oltre che di sfruttare le quattro vulnerabilità non conosciute dei sistemi.
Per chi sta già dando dello sprovveduto al poveretto che ha preso la chiavetta all’esterno e portata all’interno, ricordo che parliamo del 2010 e che le chiavette, in quella lontana era, erano il gadget più diffuso nelle conferenze di cybersecurity. Non si sa se ci fossero delle policies che impedissero ai dipendenti di introdurre chiavette dall’esterno, ma se la policy esisteva l’attacco è da classificare interno, mentre se le policies non esistevano l’attacco è esterno in quanto l’attaccante sfruttava non solo le vulnerabilità dei sistemi, ma anche vulnerabilità di processo.
Il caso MIRAI
Perché invece MIRAI è diventato famoso? Si tratta di un attacco lanciato da una botnet installata su un insieme di dispositivi compromessi e controllati dall’attaccante. Scoperto nel 2016, ha come obiettivo principale i dispositivi dell’Internet of Things (IoT), come telecamere IP, router domestici e altri dispositivi connessi alla rete. Sfrutta credenziali deboli o predefinite (ad esempio username e password di default) per prendere il controllo dei dispositivi IoT vulnerabili. Una volta compromesso, il dispositivo viene aggiunto alla botnet e obbedisce agli ordini del suo controllore (attaccante) soprattutto per lanciare attacchi DDoS (Distributed Denial of Service).
Ma è diventato famoso perché ha dimostrato che i dispositivi IoT non sono sicuri? Temo di no. Il motivo è che ha letteralmente sconvolto il modo con cui poter calcolare il ritorno di investimento sull’implementazione di contromisure di sicurezza. Infatti, in economia il ritorno di investimento si basa sul valore dell’asset e sul valore del servizio. Qual è il valore di una telecamera o di un dispenser di sapone e che valore possiamo dare al dispenser di sapone? Nessuno. Il problema è che a causa dell’insicurezza di un dispenser, un attaccante può utilizzare il dispenser per attaccare un DNS utilizzato per fornire servizi critici, un sistema per la produzione e distribuzione di energia elettrica o semplicemente un sistema di check-in di un ospedale con conseguenze fatali per gli utenti di questo servizio.
Gli attacchi e le vulnerabilità
Stuxnet e Mirai ci insegnano che la nostra vita dipende, in maniera irreversibile, da sistemi digitali interconnessi che non si trovano in centri elaborazione dati ben protetti. Il problema è che tali sistemi possono essere trovati anche nella gestione di un sistema industriale, o semplicemente in un dispenser casalingo, dove le priorità relative agli investimenti e ai processi non sono le stesse di un centro elaborazione dati.
Questi sistemi, infatti, possono essere attaccati con le stesse tecniche con le quali si attacca un centro elaborazione dati perché, che si tratti di un dispositivo o di un protocollo interno o esterno a un data center, agli attaccanti non interessa. Se una turbina di raffreddamento di una centrale non funziona a causa di un attacco, non si può fermare tutto e ricominciare manualmente le operazioni. Questo è valido per un sistema SCADA, ma anche per un sistema digitale quale sistema check-in di un ospedale o di un aeroporto. Se i sistemi non funzionano, è difficile fare roll-back e passare alle operazioni a mano.
La difesa perimetrale, per quanto importante, non è più sufficiente. Se l’attaccante vuole attaccare, ha tutto il tempo di studiare la vittima e prima o poi troverà un modo per sfruttare la vulnerabilità di sistema o quella umana. La mancanza di consapevolezza, infatti, è la vulnerabilità più difficile da risolvere: non è sufficiente una patch, ma sono necessari programmi di formazione continui.
L’effetto farfalla di Lorenz
Spesso facciamo riferimento al dato come a un oggetto del desiderio, come ai gioielli di una corona. Ma attenzione: la digitalizzazione non è solo fatta di dati, che pur sono importanti ed il cui uso improprio può dar adito a preoccupazioni anche sulla privacy, ma anche di automazione e di processi che prescindono dal dato e che se non funzionano possono produrre danni notevoli, quali l’esplosione di una centrale nucleare.
Edward Lorenz nel 1962 formulò una teoria per cui in un sistema estremamente sensibile alle condizioni iniziali, piccolissime variazioni possono portare a risultati completamente diversi, da cui deriva l’idea poetica secondo cui il battito d’ali di una farfalla in Brasile potrebbe, in teoria, causare un tornado in Texas settimane dopo. Ovviamente questo fenomeno necessita che si realizzino tante condizioni altamente improbabili. Sicuramente Lorenz non avrebbe mai pensato che un giorno un dispenser di sapone compromesso in Europa avrebbe potuto causare un attacco DDoS contro un DNS in America e un decesso in Asia.
La sicurezza come valore intrinseco
Ma quanto si deve investire per proteggere un dispenser che non ha valore e servizio rilevanti? Probabilmente nulla, ma a causa dell’insicurezza di un’infrastruttura, qualcun altro potrebbe pagarne le conseguenze.
Pertanto è necessario investire sulla sicurezza a prescindere dal ritorno di investimento. Senza sicurezza la vita su questo pianeta non sarebbe la stessa. Questo significa che la sicurezza è un bene dal valore intrinseco, come l’ossigeno: è impossibile calcolare il ritorno di investimento dell’ossigeno, ma cosa accadrebbe se non ce ne fosse più?
Il problema è che l’umanità trova spesso accordi in presenza di un ritorno di investimento, e meno quando si tratta di beni dal valore intrinseco, pensando “Ma se è così importante, sicuramente ci sarà qualcuno che se ne occupa al posto mio”.
Il problema è che così non è e, esattamente come per l’ossigeno, le istituzioni da anni oramai hanno cominciato a normare il consumo della digitalizzazione in domini sempre differenti (GDPR, NIS) o gli stessi ma estesi (NIS2). Se la NIS si preoccupava del fatto che la digitalizzazione delle infrastrutture critiche richiedesse un’adeguata protezione di tali infrastrutture e se il GDPR ha un focus sulla protezione e sulla privacy del dato, la NIS2 recepisce la consapevolezza che la vita sul pianeta è possibile non solo se le infrastrutture estremamente critiche funzionano, ma se anche tutti gli elementi a contorno, inclusi i fornitori di tali infrastrutture, a loro volta funzionano.
Conclusione
Quindi, le priorità a prescindere dalla NIS2 sono:
- implementare le contromisure di sicurezza, iniziando da una valutazione della propria postura e conoscendo le minacce a cui si è maggiormente esposti,
- fare una gap analysis,
- pianificare l’implementazione di tali contromisure.
La NIS2 infatti, oltre ad essere una direttiva da rispettare, diventa anche un valido aiuto per definire i piani di lavoro al fine di garantire ai cittadini e al sistema Paese di poter continuare ad usufruire dei benefici dell’ecosistema digitale.
Nella foto: Domenico Raguseo all’evento di Confartigianato Imprese Vicenza e S News “NIS2: Sfide, Opportunità e Soluzioni per PMI e Supply Chain”.