Ecco come i cybercriminali attaccano le infrastrutture OT - ed ecco cosa cercano

​

Le macchine e gli impianti dell'industria sono sempre più monitorati e controllati dai sistemi IT, il che offre molti vantaggi, ma presenta anche degli svantaggi. Infatti, l'OT, che fino ad ora è stato rigorosamente isolato, è esposto alle minacce informatiche conosciute dal mondo IT e, in generale, è estremamente vulnerabile. I criminali informatici ne sono consapevoli e sfruttano le vulnerabilità per raggiungere i seguenti obiettivi:

• Paralizzare sistemi importanti per estorcere un riscatto. In questo caso si ricorre al ransomware, che non solo cripta i sistemi di controllo e di gestione, ma spesso anche i backup, in modo che le aziende non possano semplicemente ripristinare i sistemi colpiti. Il risultato sono interruzioni di lunga durata e interruzioni che possono rapidamente minacciare l'esistenza di un'azienda, soprattutto se si traducono in importanti perdite di vendite o sanzioni contrattuali.
• Infiltrarsi nelle infrastrutture per rubare la proprietà intellettuale. In questo caso, gli aggressori si comportano in modo poco visibile e passano dal sistema inizialmente compromesso ai tesori di dati dell'azienda, come i dati di progettazione o le informazioni sui processi di produzione. Utilizzano poi questi dati a scopo di ricatto, minacciando di pubblicarli o di venderli direttamente ai concorrenti. Le conseguenze sono la pirateria dei prodotti e la perdita di vantaggi competitivi.
• manipolare i sistemi OT per ridurre la qualità della produzione o provocare incidenti. Si tratta di un sabotaggio volto a danneggiare la reputazione di un'azienda, ad esempio perché i prodotti non soddisfano più gli standard abituali o rappresentano un rischio per le persone e l'ambiente. C'è anche la minaccia di costi elevati, ad esempio a causa di lotti difettosi, richiami o richieste di risarcimento e tutela dei consumatori.

Numerose infrastrutture scarsamente protette e un enorme potenziale di danno fanno dell'industria uno dei settori più frequentemente attaccati. Gli aggressori utilizzano principalmente i seguenti gateway e vettori di attacco:

• Vulnerabilità non patchate: I sistemi OT sono progettati per funzionare a lungo termine e spesso sono in uso da dieci anni o più. Gli aggiornamenti e le patch sono raramente, se non mai, disponibili per loro, il che significa che le lacune di sicurezza non possono essere colmate. In alcuni casi, le aziende si astengono deliberatamente dall'installare tempestivamente gli aggiornamenti disponibili perché i sistemi sono profondamente integrati nella produzione e altri processi e flussi di lavoro non devono essere compromessi il più possibile.
• Funzioni di sicurezza insufficienti: Molti sistemi legacy non offrono più funzioni di sicurezza aggiornate. Tra l'altro, utilizzano protocolli e interfacce obsoleti, meccanismi di autenticazione deboli, trasmissioni di dati non criptate o algoritmi di crittografia obsoleti. Inoltre, alcuni nuovi dispositivi IoT non dispongono di meccanismi di sicurezza adeguati. Il problema è che di solito non è possibile impostare applicazioni per la sicurezza degli endpoint né sui sistemi legacy né sui dispositivi IoT per proteggerli in modo retroattivo, poiché i sistemi non supportano le soluzioni di sicurezza degli endpoint o le soluzioni di sicurezza degli endpoint non supportano i dispositivi.
• Accesso remoto scarsamente protetto: Molti sistemi OT sono gestiti in remoto, sia da team interni che da fornitori di servizi esterni. I punti di accesso utilizzati a tale scopo sono spesso scarsamente protetti e utilizzano password predefinite o condivise da più persone, o addirittura sono completamente aperti. Inoltre, spesso mancano solidi meccanismi di sicurezza come l'autenticazione a più fattori, i controlli di accesso basati sui ruoli e la registrazione delle sessioni, rendendo impossibile tracciare chi ha avuto accesso ai sistemi, quando e quali modifiche sono state apportate.
• Dati di accesso rubati: Centinaia di migliaia di dati di accesso rubati vengono scambiati sulla darknet. Provengono principalmente da database violati e consentono agli aggressori di penetrare facilmente nelle reti aziendali. Per gli attacchi mirati a un'azienda specifica, tuttavia, i criminali informatici vanno anche a caccia di accessi pianificati, ad esempio con malware - i cosiddetti infostealer, che rubano le password mentre vengono digitate - o in modo tradizionale con il phishing e l'ingegneria sociale. Grazie all'intelligenza artificiale, i falsi possono essere progettati in modo da essere estremamente convincenti e difficili da riconoscere anche per gli utenti più esperti.
• Mancanza di segmentazione della rete: Non appena gli aggressori hanno un sistema sotto il loro controllo, cercano altri sistemi all'interno della rete in cui potersi infiltrare. Questo cosiddetto «movimento laterale» è più facile se la rete non è divisa in aree diverse tra le quali il traffico di dati è strettamente controllato. Ad esempio, un PC dell'ufficio nell'amministrazione può fungere da trampolino di lancio verso l'OT e mettere a rischio l'intera tecnologia operativa.
• Catene di approvvigionamento insicure: Gli ambienti OT sono costituiti da una complessa rete di sistemi e applicazioni che provengono da fornitori di hardware, specialisti di software e integratori di sistemi. La compromissione di uno di questi fornitori è spesso il modo più semplice per i criminali informatici di mettere piede in più aziende contemporaneamente. Per farlo, manipolano gli aggiornamenti del firmware o del software; anche la manipolazione dei componenti hardware o l'installazione di componenti dannosi è possibile, ma è più complessa e quindi più probabile che venga utilizzata per attacchi mirati. Qualche anno fa, SolarWinds, un fornitore di software di gestione IT, ha dimostrato le conseguenze di vasta portata che può avere un attacco alla catena di fornitura. Gli aggressori sono stati in grado di installare una backdoor nella sua piattaforma con un aggiornamento manipolato e quindi di ottenere un accesso non rilevato a migliaia di reti.
• Sovraccarico dei sistemi: Gli attacchi DDoS (Distributed Denial of Service) non sono solo un mezzo popolare per ricattare le aziende sovraccaricando i loro sistemi con innumerevoli richieste. Spesso vengono utilizzati anche per distrarre da un altro attacco o per paralizzare un sistema di sicurezza al fine di penetrare nell'infrastruttura senza essere scoperti.

«La sicurezza OT non è un nice-to-have, ma un must, perché la digitalizzazione sta aumentando la superficie di attacco e il numero di attacchi alle aziende industriali sta raggiungendo nuovi massimi anno dopo anno», sottolinea Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development di NTT DATA DACH. «L'UE e il governo tedesco hanno riconosciuto questa situazione e obbligano le aziende industriali ad adottare misure di sicurezza complete con la direttiva NIS, la legge sulla resilienza informatica, l'ordinanza sulle macchine e la legge sulla sicurezza informatica. Tuttavia, queste misure possono essere attuate solo se le aziende riescono a ottenere una visibilità completa dell'intero ambiente OT. Solo allora potranno identificare i rischi e sviluppare un concetto di sicurezza adeguato, che dovrebbe almeno includere elementi di base come la segmentazione della rete, la gestione delle patch e l'accesso remoto sicuro».»​