Nella seconda metà del 2017 si è registrato un lievissimo calo nel numero di attacchi ai sistemi di automazione industriale (ICS, Industrial Control Systems). Ma questa purtroppo è l’unica buona notizia contenuta nella ricerca sulle minacce informatiche ai sistemi di Industrial Automation (ICS) pubblicata ieri da Kaspersky Lab.
“A livello generale, rispetto al 2016 abbiamo avuto modo di osservare un lieve calo nel numero di attacchi agli ICS – ha dichiarato Evgeny Goncharov, a capo dell’ICS CERT di Kaspersky Lab – Questo potrebbe voler dire che le aziende hanno cominciato a prestare maggior attenzione ai temi della cybersicurezza ICS, stanno verificando i segmenti industriali delle loro reti e stanno formando i loro addetti. Si tratta di una buona notizia dal momento che per le imprese è sempre più importante adottare provvedimenti in modo proattivo per evitare di mettere in atto soluzioni cautelative in futuro”.
A quanto pare, si cominciano a vedere i primi risultati della “presa di coscienza” del problema cybersecurity da parte delle aziende. Ma la strada da fare è ancora lunghissima: secondo il report, i prodotti di Kaspersky Lab hanno bloccato tentativi di attacco sul 37,8% dei computer dove sono stati installati (-1,4% sul 2016). Il 22,7% degli attacchi proviene da Internet, +2,3% rispetto all’anno precedente, anche se la percentuale per Europa e Nord America è leggermente più bassa. E la lista dei paesi più colpiti è rimasta la stessa della prima metà dell’anno, con in testa il Vietnam (69,6%) seguito da Algeria, Marocco, Indonesia e Cina (che registra un 59,5% di sistemi attaccati).
Indice degli argomenti
Cambiano gli attacchi
A fronte di un calo di attacchi francamente trascurabile, abbiamo poi una moltiplicazione dei ceppi: nel secondo semestre 2017 sono stati censiti 18.900 malware modificati, circa 9.000 in più che nel primo semestre. Inoltre, cambia la composizione statistica degli attacchi: nel 2017, il 10,8% degli ICS è stata attaccata da malware che puntava a inserirli in una “botnet”, una rete di computer “zombie” controllabile da un server centrale remoto. Altro dettaglio interessante, nello scorso anno il 3,3% dei sistemi di automazione industriale esaminati sono stati oggetto di attacchi non mirati da parte di programmi per il mining delle criptovalute. Questo tipo di malware è particolarmente insidioso perché produce un forte carico computazionale sul computer aggredito, e mina la sua capacità di svolgere le funzioni di controllo cui è deputato, rendendo di fatto instabile l’intero sistema di produzione che è pilotato dal computer colpito.
I comparti colpiti
Secondo gli esperti dei Kaspersky Lab, quasi tutti i tipi di aziende hanno subito attacchi ai loro sistemi ICS. Tuttavia, è possibile stilare una classifica, che vede le aziende del settore dell’energia come le più bersagliate, con almeno un attacco rilevato nell’anno nel 38,7% dei casi. Al secondo posto troviamo i network di engineering e integrazione ICS, con il 35,3%, e a seguire gli altri settori con percentuali fra il 26 e il 30%. È appena il caso di ricordare che in uno scenario, sempre meno fantascientifico, di cyberwar, proprio il comparto della produzione/distribuzione di energia e quello delle reti di distribuzione dei software di controllo industriali sarebbero fra i primi bersagli di una nazione ostile.
In particolare, infettando il sistema di distribuzione di patch e aggiornamenti con malware “dormienti”, vere e proprie bombe a orologeria, un attaccante può preparare un blocco totale delle linee di produzione di ogni tipo di industria, per poi procedere al blocco delle linee di comunicazione (tramite attacchi fisici ai cavi ottici sottomarini e attacchi malware ai router dei nodi Internet) e del sistema di produzione e distribuzione dell’energia.
Ma anche senza pensare al caso peggiore, ovvero all’attacco mirato di cyberwar, anche attacchi generici o comunque non mirati, se non addirittura accidentali, possono creare danni economici ingenti se colpiscono processi di lavorazione e sviluppo.
Settori ad alto rischio
Se i settori dell’energia e dell’engineering sono fra i più attaccati, bisogna però dire che sono anche quelli con il maggior numero di sistemi connessi, e in qualche modo sono anche quelli in cui si è cominciato prima che altrove a preoccuparsi del problema cybersecurity. Prova ne sia che l’andamento degli attacchi in questi settori è, in pratica, stabile semestre su semestre, entro qualche punto percentuale. Molto peggio va in settori dove la cultura della cyber sicurezza è in grave ritardo. Parliamo per esempio del segmento delle costruzioni, che nel secondo semestre 2017 ha visto un incremento degli attacchi di ben 31,1 punti percentuali. Anche il segmento dei trasporti ha visto un incremento significativo, sempre a causa della recente adozione delle tecnologie ICS nel settore, e della relativa mancanza di percezione del rischio.
Una nota incoraggiante, infine, è che il settore meno colpito in assoluto è quello delle aziende che sviluppano software per gli ICS: solo il 14,7% dei loro dispositivi è stato attaccato. Qui, evidentemente, la cultura della sicurezza comincia a dare i suoi frutti, e la cosa è fondamentale, perché un attacco verso un produttore di software andato a buon fine si ripercuoterebbe a catena in tutto l’ecosistema dei partner e dei clienti che usano le soluzioni di quel produttore.
Le contromisure
A conclusione della ricerca, gli esperti dei Kaspersky Lab hanno elencato una serie di raccomandazioni tecniche per limitare il rischio di essere vittime di un attacco. Eccole:
- Fare aggiornamenti regolari dei propri sistemi operativi, degli applicativi e delle soluzioni di sicurezza su tutti i sistemi che sono parte della rete industriale dell’azienda.
- Limitare il traffico della rete sulle porte e i protocolli usati sui router edge e all’interno delle reti OT dell’azienda.
- Verificare i componenti di controllo e accesso degli ICS nelle reti industriali e le loro limitazioni.
- Introdurre soluzioni di protezione endpoint dedicate nei server ICS, nelle workstation e negli HMI per proteggere l’infrastruttura industriale e OT da cyberattacchi casuali.
- Attrezzarsi per il monitoraggio del traffico della rete e per l’introduzione di soluzioni di rilevamento per una miglior protezione da attacchi mirati.
Per chi volesse approfondire l’argomento, dal sito ICS CERT di Kaspersky Lab è possibile consultare (e scaricare in PDF) la ricerca completa relativa alla seconda metà del 2017.
