Mentre in America Latina venivano compiute le intrusioni alle centrali energetiche, negli Stati Uniti d’America è stato registrato nella cittadina di Oldsmar, a nord di Tampa, in Florida, un tentativo di avvelenamento dell’acqua potabile con la lisciva. Di questo attacco al sistema idrico vi abbiamo già parlato su queste pagine. Di seguito presentiamo una ricostruzione più approfondita dei fatti.
Lo scorso venerdì 5 febbraio, come emerso successivamente, un malintenzionato ha fatto irruzione nel sistema informatico di un impianto di trattamento delle acque sfruttando un accesso remoto al programma utilizzato per regolare i prodotti chimici che trattano l’acqua potabile.
L’intruso ha modificato il livello di idrossido di sodio portandolo da 100 parti per milione a 11.100 ppm. L’idrossido di sodio, volgarmente noto come soda caustica, viene utilizzato in piccole quantità per trattare l’acidità dell’acqua e per rimuovere i metalli ma, qualora ingerito in grandi quantità, risulta altamente tossico per l’essere umano.
Il lunedì successivo lo sceriffo della contea di Pinellas, di cui fa parte Oldsmar, ha tenuto una conferenza stampa tranquillizzando la popolazione, sottolineando che in nessun momento si è verificato un effetto negativo significativo sull’acqua trattata e, per tale ragione, le persone non sono mai state effettivamente in pericolo.
Dalle ricostruzioni è emerso che il venerdì mattina un funzionario aveva notato l’accesso da remoto al computer utilizzato per il monitoraggio del processo di trattamento e gestione delle sostanze chimiche, ma non gli aveva dato troppa attenzione poiché soventemente tanto il suo supervisore quanto i suoi colleghi si collegano da casa per controllare i processi.
Più tardi ha notato però un ulteriore accesso in cui non solo veniva controllato il funzionamento del sistema, ma venivano anche modificati i parametri, innalzando nel giro di pochi minuti i livelli di idrossido di sodio ben oltre i normali valori di esercizio.
L’operatore ha immediatamente agito sul dispositivo, riportando la concentrazione di lisciva ai normali livelli pari a 100 ppm. Lo sceriffo ha chiarito che, anche qualora la variazione dannosa non fosse stata annullata, le altre procedure di routine nell’impianto avrebbero segnalato l’anomalia, prima che l’acqua diventasse disponibile per i residenti: l’acqua trattata raggiunge difatti il sistema di alimentazione tra le 24 e le 36 ore dopo esser uscita dall’impianto.
Sia l’FBI che i servizi segreti stanno indagando. Il dipartimento dello sceriffo ha avvertito i comuni limitrofi di quanto è accaduto, raccomandando loro di ispezionare i propri sistemi di trattamento delle acque e delle altre infrastrutture critiche alla ricerca di segni di effrazione fisica o virtuale.
Secondo quanto riferito da Christopher Krebs, ex capo della Cybersecurity and Infrastructure Security Agency, al comitato per la sicurezza interna della Camera dei Rappresentanti, la violazione molto probabilmente è stata opera di un impiegato, o ex impiegato, insoddisfatto.
Quel che deve far riflettere è il ricorso a sistemi di gestione da remoto, per giunta gratuiti, senza alcuna implementazione di sistemi di sicurezza: affidare la gestione delle utility a sistemi come Team Viewer, attraverso il quale, senza alcuna autentificazione a due fattori o autorizzazione dall’interno, si poteva facilmente intervenire sul sistema di gestione, lascia molto a desiderare.
Come appurato in seguito, i dipendenti della struttura Oldsmar per accedere in remoto ai controlli dell’impianto, attraverso il sistema SCADA – acronimo inglese di Controllo di Supervisione e Acquisizione Dati – hanno utilizzato un computer con la versione a 32 bit del sistema operativo Windows 7, il cui supporto esteso è terminato il 14 gennaio 2020 e, come se non bastasse, utilizzavano tutti la medesima password di TeamViewer ed il sistema era privo di firewall.
Le rivelazioni illustrano la mancanza di rigore nella predisposizione di modelli di sicurezza, fenomeno riscontrato all’interno di molte infrastrutture critiche. Sebbene il pericolo in questo caso sia stato minimo, giacché scoperto subito, occorrerebbe prendere atto che se gli intrusi possono manomettere a distanza un processo, allo stesso modo possono essere in grado di manomettere le ridondanze di sicurezza, causando spiacevoli inconvenienti.
