Attraverso un accesso remoto, dei cybercriminali hanno tentato di alterare il sistema di trattamento dell’acqua di Oldsmar, una città della Florida. Fuor della metafora, si è trattato di veri e propri “avvelenatori di pozzi”. L’attacco informatico era infatti diretto a compromettere la sicurezza della distribuzione dell’acqua potabile, andando ad alterare i livelli di concentrazione della liscivia in modo tale da rendere l’acqua tossica per la presenza eccessiva di idrossido di sodio. Tale azione (citata anche come un problema di sicurezza nazionale) sarebbe stata in grado di compromettere la salute di circa 15mila cittadini, se l’anomalia non fosse stata rilevata da un dipendente con il conseguente tempestivo ripristino di funzionamento dei sistemi e di potabilità dell’acqua.
In che modo i cybercriminali hanno avuto accesso e controllo a dei sistemi di un’infrastruttura di questo tipo?
Da quanto emerge già dalle investigazioni successive e dal report congiunto di FBI, DHS, Servizi Segreti e l’Ufficio dello Sceriffo della Contea di Pinellas, l’attacco ha avuto buon esito con due accessi a distanza di circa cinque ore al sistema SCADA, grazie ad una serie di evidenti vulnerabilità. Tutti i terminali degli operatori presso cui era installato il sistema che consentiva la regolazione e il monitoraggio dei processi di trattamento avevano installato TeamViewer per consentire un accesso remoto. Inoltre, gli stessi terminali interconnessi avevano installata una versione 32-bit di Windows 7, sistema operativo obsoleto e senza più supporto tecnico né aggiornamenti di sicurezza. Non solo. L’accesso da remoto a tutti i sistemi era possibile attraverso un’unica password comune per tutte le utenze, senza differenziazione di privilegi.
Appresi i risultati di questa analisi di sicurezza, l’Agenzia per la protezione dell’ambiente (EPA – Environmental Protection Agency) ha così inteso formulare delle raccomandazioni circa le misure di sicurezza informatica da implementare all’interno di tutte le strutture idriche:
- ridurre al minimo gli accessi remoti ai sistemi SCADA, favorendo dispositivi di monitoraggio unidirezionale per impedire di acquisire il controllo remoto;
- installare e gestire un firewall per proteggere da accessi abusivi i sistemi;
- garantire l’aggiornamento e la non obsolescenza dei sistemi;
- adottare autenticazioni a due fattori con password robuste;
- utilizzare esclusivamente reti sicure e valutare l’installazione di VPN;
- implementare un ciclo di gestione di aggiornamenti e patch;
- risolvere le vulnerabilità critiche dei sistemi, dando priorità per l’installazione delle patch ai sistemi connessi ad Internet;
L’EPA ha indicato così quel livello minimo di cybersecurity da adottare come standard comune.
La sicurezza informatica non è soltanto una “tech issue”, ma è soprattutto questione di gestione. Soprattutto se riguarda le cc.dd. infrastrutture critiche.
