ICT ed effetti indiretti di sicurezza: la CyberSecurity sulla scena politico-economica mondiale. Di Giulio Destri.

IT Security e CyberSecurity.

Nel primo articolo della serie è stato spiegato il ruolo centrale che l’Information e Communication Technology (ICT), o semplicemente IT, ha oggi nella nostra vita di tutti i giorni, sia professionale, sia personale.

Partendo ora dal ruolo dell’ICT nel nostro mondo, spieghiamo il concetto di sicurezza diretta ed indiretta dei sistemi ICT.

  1. Per sicurezza diretta intendiamo tutto ciò che riguarda la prevenzione di attacchi diretti ai sistemi ICT, come ad esempio l’effetto di virus informatici sul nostro PC di casa o sul server aziendale contenente i dati della contabilità. E questo è ciò che viene chiamato IT Security o ICT Security.
  2. Per sicurezza indiretta intendiamo:

– la prevenzione dell’uso di sistemi ICT come strumento ponte per condurre un attacco verso altri apparati che sono connessi a tali sistemi e anche (almeno in parte),

– la prevenzione che problemi nei sistemi ICT, dovuti magari ad eventi casuali, possano estendersi agli altri apparati connessi. E questo è ciò che viene chiamato CyberSecurity.

Quindi IT Security e CyberSecurity, pur strettamente connesse tra loro, non sono sinonimi.

La CyberSecurity è estremamente più vasta della IT Security, perché ormai l’IT pervade quasi ogni aspetto della nostra vita. E, siccome tendiamo a dimenticare questa pervasività, spesso siamo consapevoli della IT Security elementare (ad esempio, sappiamo o dovremmo sapere che è rischioso aprire un allegato di una mail proveniente da sconosciuti), mentre siamo molto meno consapevoli degli innumerevoli aspetti della CyberSecurity, destinati ad aumentare ulteriormente nei prossimi anni, per l’avvento di sempre nuove tecnologie.

Lo scenario della CyberSecurity.

Per spiegare meglio il concetto è utile un esempio tratto dalla storia: nel 2014 la grande banca americana J.P. Morgan ammise che dei pirati informatici erano penetrati nei suoi sistemi ed avevano rubato i dati di circa 80 milioni di clienti. Il punto interessante è come erano riusciti questi pirati a penetrare.

Furono necessari molti mesi di indagine per scoprire che i pirati informatici non avevano attaccato direttamente i sistemi informatici della banca, ma avevano percorso un’altra strada, aggirando le protezioni. In pratica, il sistema di climatizzazione dell’enorme edificio in cui il quartier generale della banca si trova, insieme ai sistemi informatici centrali, era governato da un computer, accessibile dall’esterno, per consentire all’azienda che gestiva l’impianto di climatizzazione di controllare l’impianto stesso. Questo computer non avrebbe dovuto essere collegato nella stessa rete degli altri (esistono infatti protocolli precisi per situazioni del genere), ma lo era stato. I pirati lo avevano usato quindi come ponte, per attaccare i sistemi informatici della banca con molta maggiore facilità rispetto ad un attacco diretto.

Proviamo ad espandere lo scenario, considerando le grandi infrastrutture come gli elettrodotti e gli acquedotti. Nei sistemi odierni, praticamente ogni centrale elettrica, così come ogni stazione di pompaggio, contiene uno o più computer, collegati ai sistemi di controllo degli apparati con opportune interfacce. In molti casi le centrali e le stazioni non sono presidiati da personale umano ed i computer sono connessi a reti per permettere il telecontrollo attraverso l’accesso remoto. Un attacco a questi computer potrebbe provocare il blocco degli apparati lasciando, ad esempio, un’area geografica più o meno vasta senza acqua o senza energia elettrica.

Lo stesso principio vale per altre infrastrutture, come i gasdotti o come le reti di trasporto. Nel mese di giugno 2017 un guasto informatico ha praticamente bloccato i voli di British Airways per molte ore, con le devastanti conseguenze sul traffico aereo. In base alle indagini sembra che la causa non sia stata un attacco deliberato, ma semplicemente un errore di un tecnico.

Considerando le infrastrutture critiche di una nazione, diventa possibile pensare ad una serie di attacchi informatici generalizzati rivolti a tali strutture come arma di guerra? La risposta è sì e questo approccio si chiama CyberWar o CyberWarfare (talvolta tradotto in italiano come guerra cibernetica o guerra informatica). Nel 2007 si registrò in Estonia il primo scenario di attacchi generalizzati alle infrastrutture, dalla rete gorvernativa alla Borsa che, per diverse settimane, furono sottoposti ad assalti massicci e coordinati, provenienti soprattutto dalla Russia e, molto probabilmente comandati dal governo russo, dato il clima di tensione politica fra i due Paesi in quell’anno.

Il coinvolgimento del governo russo non fu mai dimostrato, almeno ufficialmente, e i danni economici furono ingentissimi. L’episodio, considerato il primo caso riconosciuto di guerra cibernetica, dimostrò l’estrema vulnerabilità delle infrastrutture delle nazioni. Da allora la NATO ha organizzato una divisione di guerra cibernetica. Tutte le grandi potenze sono oggi impegnate attivamente nella difesa da CyberWar (e anche nella offesa, come diversi fatti hanno dimostrato, non ultimo il caso, non ancora chiarito completamente, della interferenza russa nelle ultime elezioni presidenziali americane).

La #cybersecurity è ormai una protagonista chiave della scena politico-economica mondiale. Condividi il Tweet

Restringendo lo scenario ad una casa, possiamo pensare al ruolo di dispositivi “smart” come elettrodomestici allacciati alla rete, SmartTV e sistemi domotici. Questi dispositivi consentono il controllo remoto della casa e, se attaccati, potrebbero consentire violazioni della privacy o anche l’ingresso non autorizzato nella casa stessa.

Computer e smart device non sono “semplici” elettrodomestici.

Uno dei fattori che sta incrementando i possibili attacchi cibernetici è la considerazione che, mediamente, le persone hanno dei nuovi dispositivi presenti da pochi anni sul mercato. Nella accezione comune un computer è considerato qualcosa di diverso da uno smartphone, da una smart TV, da una interfaccia di sistema di informazione ed intrattenimento (infotainment) presente nel cruscotto di un’automobile o da un frigorifero intelligente. Dopo anni di problematiche legate a virus informatici ed attacchi diretti le persone hanno iniziato a considerare il PC come qualcosa “da usarsi con una certa attenzione” (comunque spesso insufficiente, come dimostrano i tantissimi casi di attacchi informatici diretti causati da imprudenze di operatori umani). Mentre lo stesso discorso non vale per smartphone ed altri device, che nell’accezione comune sono equivalenti agli elettrodomestici delle generazioni precedenti. Non è così.

Oggi uno smartphone è a tutti gli effetti un computer, spesso con potenza di calcolo superiore a quella di PC di pochi anni fa. Ha la complessità di un computer e le vulnerabilità di un computer. E’ dunque soggetto al furto di informazioni ed alla azione di virus e software malevoli, come un computer.

Il discorso è, in alcuni casi, ancora peggiore per gli smart devices. Un frigorifero intelligente o una smartTV ospita di solito un sistema operativo completo, privato di alcune parti non necessarie, ma con tutta la connettività di rete presente. Connettività che può essere usata da pirati informatici per entrare nel sistema del dispositivo ed usarlo per scopi malevoli vari, come dimostrato nel celebre caso di invio di mail indesiderata da parte di smart device di pochi anni fa. Spesso, il problema è nella configurazione dell’ingresso via rete, impostata in fabbrica a valori di default e non personalizzabili dall’utente, ma sfruttabili da pirati informatici.

#smartphone e #smartdevices hanno la vulnerabilità di un PC: attenzione ai #virus! Condividi il Tweet

Cosa significa questo? Che sia da parte dei produttori, sia da parte degli utenti, devono essere applicate apposite procedure di sicurezza:

  • I produttori devono realizzare dispositivi più sicuri,
  • gli utenti devono essere informati su quali precauzioni prendere per ridurre al minimo i rischi.

L’Internet delle Cose e le auto sempre connesse.

Lo scenario è in continuo sviluppo: l’Internet delle Cose è un mercato enorme. Una ricerca IDC stima che nel 2020 ci saranno centinaia di miliardi di oggetti connessi alla rete, per un mercato di circa 1.300 miliardi di dollari. Quindi bisogna affrontare le cose in modo tale che tutto questo rimanga opportunità di business, sviluppo e miglioramento e non conduca a rischi giganteschi.

Prendiamo, ad esempio, le nuove funzionalità offerte da una smart car. La smart car:

  • analizza i propri sistemi fornendo una diagnostica preventiva che segnala le riparazioni da fare prima ancora che i guasti si manifestino;
  • i dispositivi hardware come lo sterzo ed i freni sono controllati dalla centralina che è, a tutti gli effetti, un piccolo computer consentendo, ad esempio, la frenata di emergenza in rischio di collisione, tanto pubblicizzata in vari spot;
  • comunicando con altre auto o interagendo con sistemi come Google Maps l’auto può segnalare ingorghi e suggerire strade alternative al pilota;
  • raccoglie le abitudini di guida che comunica al costruttore, consentendo di personalizzare sempre più le caratteristiche dei futuri modelli.

Ma c’è anche il rovescio della medaglia. In un articolo su Wired del 2015 veniva dimostrato come fosse possibile prendere il controllo completo di una smart car entrando nel sistema attraverso la connessione di rete, sfruttando una vulnerabilità del software. Di qui al furto d’auto c’è poca strada: negli USA ormai si contano moltissimi casi di furti d’auto perpetrati attraverso attacchi informatici ai sistemi di bordo.

In sostanza quindi occorre tenere presente che un dato sistema informatico, quando diviene parte di un contesto più ampio, come un frigorifero intelligente o il controllo di un impianto industriale, deve essere adatto al nuovo ambiente in cui si trova. Sistemi sviluppati per funzionare in modo non connesso in rete e, quindi, non progettati o non adeguatamente testati per operare in rete, non possono essere semplicemente collegati senza rischi per la sicurezza.

Da Insecurity by Design a Security from Inception.

Nel corso della cena di un evento ufficiale del 2015, insieme ad un amico che lavora all’ENISA, coniammo (o meglio riscoprimmo) il termine “Insecurity by Design”, intendendo con questo che in moltissimi sistemi informatici o di smart device di oggi la sicurezza è talmente poco considerata da far quasi pensare che siano progettati apposta per essere insicuri.

I casi sopra presentati ci inducono a pensare che l’insicurezza rende anche possibili scenari inquietanti, in cui, per esempio, un attacco al sistema informatico di un impianto di riciclaggio rifiuti può portare all’alterazione dei livelli di inquinanti rilasciati nell’ambiente e al conseguente blocco dell’impianto stesso, mandando in crisi la nettezza urbana di una grande città.

E’ necessaria prevenzione di tutto questo. E la prevenzione parte dalla consapevolezza. La consapevolezza che la sicurezza è qualcosa da prevedere fin dagli inizi di un servizio IT, diretto o parte di un sistema industriale, domotico o di internet delle cose. La sicurezza deve quindi essere spostata da un rimedio apposto dopo i primi incidenti a una prevenzione applicata a livello di progetto, in una visione di insieme. Questo è anche quello che standard internazionali riconosciuti come ITIL, COBIT, ISO27001… raccomandano o impongono.

La sicurezza non può essere solo basata sui componenti tecnici, ma deve essere progettata come processo, dal momento in cui il servizio viene ideato (inception), passando per la progettazione, sino al momento in cui il servizio deve funzionare in modo sicuro.

E’ necessario quindi:

  • che il legislatore intervenga, a tutti i livelli, per imporre ai produttori la sicurezza in sede di progettazione e per imporre alle aziende utilizzatrici l’uso della sicurezza entro i propri processi;
  • educare il grande pubblico per evitare che comportamenti imprudenti o imperizia possano portare a rischi di sicurezza, nel mondo aziendale (come nel caso del blocco dei sistemi di British Airways sopra citato), nel mondo della pubblica amministrazione e nella nostra vita di tutti i giorni.

Il GDPR (General Data Privacy Regulation), regolamento europeo della privacy che entrerà in vigore nel 2018, è una legge che va in questa direzione e sarà oggetto del prossimo articolo.

Giulio Destri
ICT Organization Advisor • Business Coach & Trainer • Business Analyst & ICT Project Manager. Collegati su Linkedin Connettiti su Twitter fb