11 minute read
CYBERSECURITY
CITTÀ DIGITALI, DANNI MATERIALI
Foto di Sean Foley su Unsplash
Semafori intelligenti, impianti di irrigazione, ospedali: gli attacchi diretti su questi bersagli possono avere effetti gravi. Bilanciare rischi e vantaggi è la strada da percorrere.
La smart city è il regno dell’iperconnessione, un luogo in cui quasi tutto e tutti sono parte di una rete di scambio di dati in tempo reale: i mezzi di trasporto, le infrastrutture di distribuzione dell’energia, gli edifici tappezzati di sensori, i network Wi-Fi, 4G e 5G cittadini, e ancora scuole, ospedali, servizi degli enti pubblici connessi in cloud e accessibili in forma digitale. Secondo la definizione di Frost & Sullivan, può definirsi “smart” un centro urbano che sia connesso e intelligente in almeno cinque dimensioni sulle otto contemplabili (persone, trasporti, reti Internet, infrastrutture, edilizia, servizi sanitari, energia, scuola&Pubblica Amministrazione). In base a questo criterio, per gli analisti il mercato delle tecnologie di smart city crescerà dai 96 miliardi di dollari spesi su scala globale nel 2019 ai previsti 327 miliardi di dollari del 2025. Stati Uniti, Cina e Paesi dell’Europa Occidentale faranno da traino al mercato. Ma alla cybersicurezza sarà dedicata una porzione sufficiente di questi investimenti? E soprattutto, dove dovrebbero concentrarsi gli sforzi e le risorse economiche?
Luce rossa per i semafori smart
Nel 2020 da un team interdisciplinare dell’Università di Berkeley ha chiesto a 76 esperti di cybersicurezza di assegnare un punteggio di rischio a differenti tecnologie di smart city, valutando la loro attrattività per gli hacker, la presenza di vulnerabilità e la gravità dei danni di un potenziale attacco. Dallo studio in questione (“The Cybersecurity Risks of Smart City Technologies: What Do The
Experts Think?”) è risultato che i rischi maggiori provengono dai sistemi di allerta per le emergenze, dagli impianti di videosorveglianza stradale e dai sistemi di controllo dei semafori “intelligenti”, che impiegano sensori e calcoli di intelligenza artificiale per ottimizzare il funzionamento della segnaletica. Queste tre tecnologie Internet of Things sono state giudicate dal pool di esperti come “significativamente più vulnerabili ai cyberattacchi”, ma soprattutto in questi casi un eventuale attacco riuscito avrebbe effetti potenzialmente devastanti. “Gli amministratori locali”, si legge nel report, “dovrebbero dunque considerare caso per caso se i rischi informatici superino i potenziali benefici dell’adozione di una tecnologia, ed esercitare una particolare cautela laddove una tecnologia sia vulnerabile dal punto di vista tecnico e allo stesso tempo rappresenti un bersaglio attraente per abili, potenziali attaccanti, dato che l’impatto sarebbe probabilmente elevato”. Se questo suona familiare è perché l’idea di attacchi dagli effetti catastrofici su intere città, resi possibili dalla tecnologia, nasce da lontano. Già nel 1969 il film The Italian Job (Un colpo all’italiana), diretto da Peter Collinson, mostrava all’opera una banda di criminali che riusciva a paralizzare il traffico di Torino e a compiere la sua rapina dopo aver manomesso il sistema computerizzato di controllo dei semafori. Nella pellicola il sabotaggio avveniva attraverso la manomissione fisica dell’impianto, mentre oggi sarebbe possibile realizzare qualcosa di simile senza nemmeno accedere fisicamente al sistema bersaglio.
Minacce sui sistemi “cyber-fisici”
Spesso si discute dell’imprevedibilità degli effetti di un cyberattacco, di quanto sia difficile fare una precisa conta dei danni in casi di violazione di privacy, furto di segreti industriali o interruzione dei servizi di un’azienda. Un aspetto peculiare del rapporto tra smart city e sicurezza informatica è che, rispetto ad altri ambiti, gli attacchi hanno una maggiore probabilità di creare danni materiali, anche seri, a cose e persone. Tragico è l’esempio del ransomware che lo scorso settembre ha colpito un ospedale di Duesseldorf: a causa del blocco dei sistemi informativi, la struttura ha dovuto trasferire altrove una paziente che necessitava di cure urgenti, poi deceduta a causa dei ritardi. Inquietante è anche il caso di Oldsmar, località della Florida, dove nel mese di gennaio un sabotatore ha tentato di alterare la concentrazione di idrossido di sodio all’interno di un sistema di irrigazione. Fatto che avrebbe potuto causare gravi danni alla salute delle persone, se non scoperto tempestivamente. L’episodio di Oldsmar dimostra quanto sia necessario tenere alta l’attenzione non solo sui ransomware, oggi tanto sotto ai riflettori, ma su qualsiasi possibile metodo di attacco a quelli che Gartner definisce “sistemi cyber-fisici”, cioè sistemi in cui sensori, piattaforme di calcolo, controlli, connettività e analisi dei dati interagiscono con l’ambiente fisico, esseri umani inclusi. Per esempio le infrastrutture critiche, le reti di erogazione dell’energia, gli acquedotti e anche alcuni sistemi del settore sanitario. Secondo la società di ricerca, entro il 2023 gli attacchi ai sistemi cyber-fisici potranno causare morti accidentali da cui deriverà un danno economico di 50 miliardi di dollari. Oltre naturalmente alla perdita di vite umane, per le aziende coinvolte questo significherà incappare in sanzioni, richieste di risarcimento, cause legali e danni alla reputazione.
Un’altra realtà possibile
Lo scorso maggio Ian Levy, direttore tecnico del National Cyber Security Centre (Ncsc) del governo britannico, in un intervento sul blog dell’ente sottolineava i rischi dell’interconnessione: “Pensate agli impatti di tutti i sensori e dei sistemi intelligenti che pian piano stiamo distribuendo nei nostri ambienti fisici affinché raccolgano dati e rendano i servizi più efficienti, più amici dell’ambiente od ottimizzati secondo altre caratteristiche”, scriveva Levy. “Un guasto all’interno di sistemi individuali può avere impatti terribili, ma poiché essi sono sempre più connessi e interdipendenti, gli effetti combinati sono amplificati. Aggiungete a questo la potenziale violazione di privacy, e avrete molto di cui preoccuparvi. Ma la realtà non dev’essere questa per forza”. Potrebbe non esserlo, secondo l’agenzia di cybersicurezza, a patto di esercitare la massima prudenza e di seguire una serie di linee guida (pubblicate dall’Ncsc la scorsa primavera) per la corretta progettazione, costruzione e gestione dei “luoghi connessi” cittadini, come per esempio i sistemi che controllano l’illuminazione pubblica, la rete dei semafori, le videocamere delle Cctv (televisioni a circuito chiuso, già molto diffuse in Regno Unito da ben prima che si parlasse di Internet of Things), la raccolta e lo smaltimento dei rifiuti, i parcheggi, i servizi di trasporto pubblico e altro ancora. Le raccomandazioni dell’Ncsc includono un invito a considerare i rischi interni alla supply chain: la tecnologia di alcuni fornitori stranieri (e il pensiero va alla Cina, sebbene non venga nominata) potrebbe diventare strumento operazioni di cyberspionaggio, raccogliendo dati dai sistemi IoT cittadini e trasferendoli al governo estero committente. “Alcune nazioni cercano di ottenere dati sensibili aziendali e personali da Paesi stranieri”, si legge nelle linee guida. “I fornitori potrebbero anche essere usati come vettori nel tentativo di bloccare servizi essenziali”.
Valentina Bernocco
LA SMART CITY HA BISOGNO DI SICUREZZA
Photo by FLY:D on Unsplash
Numerosi incidenti informatici, in varie parti del mondo, hanno sollevato temi non trascurabili di protezione della vita dei cittadini nei nuovi contesti digitali. Le istituzioni si confrontano anche in Italia.
Molti campanelli d’allarme sono risuonati negli ultimi mesi sul fronte della cybersecurity collegata alla crescente digitalizzazione delle città e dei servizi pubblici. In Italia, molta enfasi è stata data all’attacco ransomware che ha colpito in estate la Regione Lazio e ha, fra l’altro, bloccato temporaneamente il sistema di prenotazione dei vaccini. Ma nel mondo si sono verificati problemi anche più preoccupanti negli ultimi tempi. A Singapore sono stati colpiti l’entità sanitaria Eye & Retina Surgeons (con la compromissione dei dati personali di 73mila pazienti), l’operatore mobile MyRepublic (altri 80mila utenti esposti) e l’assicurazione Tokio Marine Insurance. Molti gli attacchi ransomware negli Stati Uniti, fra cui quello clamoroso alla rete dell’oleodotto di Colonial Pipeline, che fornisce gas su tutta la Costa Orientale, mentre in Europa sono state colpite diverse realtà operanti nel mondo sanitario, come l’ospedale francese di Oloron-Sainte-Marie (vittima, lo scorso marzo da un malware crittografico che ha bloccato le cartelle cliniche e il sistema di monitoraggio delle scorte di medicinali) e il servizio sanitario nazionale irlandese (che ha dovuto sospendere le prenotazioni, riuscendo però a garantire i servizi essenziali).
I pericoli dell’interconnessione
Il legame fra questa insorgenza di attacchi e le smart city non è certo da considerarsi casuale. Nelle realtà urbane più avanzate sono ormai installate e attive numerose componenti interconnesse, che si scambiano costantemente dati, spesso senza alcun intervento umano. Per questo sono state implementate le smart grid, che lavorano per utility, edifici connessi o trasporti pubblici e funzionano con il massiccio utilizzo di sensori, dispositivi IoT e piattaforme cloud sottostanti. Del rapporto fra smart city e cybersecurity si è discusso anche in Italia, in modo particolare in uno degli appuntamenti del ciclo #TMCyberTalks, organizzati da Trend Micro. Vi hanno partecipato diversi esponenti delle istituzioni, per ribadire come l’attenzione dei governanti sul tema sia alta. Lo ha sottolineato, per esempio, Stefano Corti, senatore che lavora nell’ottava Commissione, dedicata ai Lavori Pubblici e alle Comunicazioni: “Gli investimenti del Governo ci sono e il Pnrr ci aiuterà. Occorre però accrescere lo sforzo sul fronte dell’education, per diffondere la cultura digitale su tutta la popolazione e procedere verso il superamento di un digital divide ancora ben presente, visto che il 25% della popolazione vive in piccoli luoghi, poco serviti e presidiati. L’obiettivo è creare vere e proprie smart community”. Francesco Andriani ha, invece, portato il contributo in quanto segretario generale dell’Associazione Nazionale dei Responsabili per la transizione al digitale (AssoRtd), una figura istituita con normative risalenti a oltre dieci anni fa, ma che hanno richiesto molto tempo per divenire attuabili: “Il ruolo, oggi abbastanza diffuso nella Pubblica Amministrazione Centrale e nelle università, non si è ancora radicato nelle realtà più locali”, ha testimoniato. “Fornire linee di indirizzo, sorvegliare e fungere da catalizzatore fra l’ufficio IT e quello della privacy sono i suoi compiti essenziali. Nella pratica, tuttavia, si riscon-
I RANSOMWARE NON SONO L’UNICA ARMA
Un tempo colpivano soprattutto l’utente finale, poi hanno cominciato a interessarsi alle aziende. E nel biennio 2020-21 sempre più hanno focalizzato l’attenzione su alcuni tipi di organizzazione, come le aziende sanitarie e gli enti pubblici, specie le amministrazioni comunali. Parliamo dei ransomware, indiscussi protagonisti del panorama cybercriminale nel post pandemia. Analizzando 71 grandi incidenti ransomware avvenuti nel corso di un anno (tra luglio 2019 e luglio 2020), Barracuda Networks ha rilevato che il 44% di questi episodi coinvolgeva un’amministrazione cittadina. Obiettivo può essere la monetizzazione immediata, tramite riscossione del “riscatto”, oppure il furto di dati o ancora il sabotaggio di un servizio. I ransomware non solo però l’unica minaccia pendente sulla testa delle smart city. Contatori smart, valvole intelligenti all’interno dei sistemi di riciclo idrico o apparati Energy Management Systems, per fare qualche esempio, potrebbero essere danneggiati attraverso hijacking di dispositivi fisici o attacchi di tipo man-in-the-middle, nei quali l’intervento umano blocca o manomette le comunicazioni tra due sistemi. Un altro classico metodo di assalto è il Distributed Denial of Service (DDoS), che consiste nel creare grandi volumi di traffico in entrata per mandare in tilt un sistema host connesso a Internet. V. B.
trano ancora molti problemi di formazione, per ragioni di età o pertinenza nel ruolo. Così, troppo spesso partono progetti di trasformazione digitale carenti dal punto di vista della compliance ai dettami del Gdpr”. Un esempio di concretizzazione dell’impegno istituzionale sul fronte della cybersercurity è rappresentato dal varo dell’Agenzia nazionale dedicata proprio a questo tema, che però dovrebbe preludere a un lavoro sul campo indirizzato ad aumentare la consapevolezza non solo nei giovani, ma anche fra i dirigenti pubblici, come ha sottolineato Federico Mollicone, deputato della settima Commissione, dedicata a cultura, scienze e istruzione. Sullo stesso versante si colloca il recente avvio del programma Smarter Italy, nato per sperimentare servizi innovativi su alcune aree d’intervento strategiche come smart mobility, beni culturali e benessere dei cittadini: “Non bisogna cadere nella trappola di utilizzare i vecchi modelli di città”, ha ammonito Alessandra Todde, viceministra allo Sviluppo Economico. “Vogliamo coinvolgere i cittadini nelle opportunità connesse al digitale, per migliorare i servizi e la loro fruibilità. Le tecnologie, a cominciare dal 5G, supportano modelli inclusivi anche verso i piccoli borghi, per per trasformare le città in smart city senza trascurare la sicurezza e la sostenibilità”.
Una strategia di difesa
In questo quadro in movimento si collocano, come abbiamo visto, le minacce continue portate dai cyberattaccanti alle infrastrutture pubbliche. Come i citati esempi hanno insegnato, non esistono soluzioni facili per la protezione delle reti su cui si basano e si baseranno le smart city. La collaborazione pubblico-privato appare la via più fruttuosa per migliorare la postura delle organizzazioni pubbliche e imparare anche dagli errori. La pensa così Gastone Nencini, country manager di Trend Micro Italia, anch’egli allineato alla convinzione che vada innanzitutto aumentata la consapevolezza fra i dipendenti pubblici e i ragazzi: “Nelle scuole, sarebbe bello se l’educazione civica fosse arricchita con la cittadinanza digitale, con l’obiettivo di limitare rischi e incidenti informatici ora e in futuro, rafforzando l’anello debole della catena della sicurezza, che rimane sempre l’essere umano”. A ciò, naturalmente, si lega l’adozione di soluzioni tecnologiche adeguate ai tempi e destinate a presidiare il più possibile una superficie di esposizione vasta, dove anche un punto apparentemente secondario può essere sfruttato per raggiungere un obiettivo più strategico. “Per questo”, ha concluso Nencini, “è importante monitorare, denunciare e gestire ogni incidente informatico, inserendo sempre la sicurezza come parte integrante dei processi. Da un punto di vista tecnologico, le soluzioni di tipo Extended Detection and Response (Xdr) di monitoraggio e risposta diventano cruciali per comprendere che cosa accade realmente, che cosa i cybercriminali vogliono attaccare, quali sono i punti deboli di accesso e come proteggersi”.
Roberto Bonino
Alessandra Todde Francesco Andriani Gastone Nencini
