Terza puntata per il nostro racconto della emergenza cyber simulata alla Cyber Stability Conference 2025
Autore: Redazione SecurityOpenLab
Nella simulazione di crisi cyber internazionale che l'Institute for Disarmament Research delle Nazioni Unite (Unidir) ha dettagliato in un recente report, le diverse conclusioni possibili su come gestire efficacemente la protezione delle infrastrutture critiche sono state tratte ai vari livelli del modello ICT Intrusion Pathway. Del primo ("outside the perimeter") e del secondo ("on the perimeter") abbiamo già trattato, qui esaminiamo il terzo: "inside the perimeter". Dentro il perimetro di difesa cyber c'è quella che Unidir descrive come la "compromised network zone": la parte di rete e di sistemi IT/OT - con i relativi dati sensibili - che è sotto il controllo diretto dell'organizzazione oggetto dell'attacco ma che è stata già compromessa dagli attori ostili. Concettualmente, questo è anche l'ambito in cui si verificano le violazioni di sicurezza e si generano i conseguenti impatti a cascata sul resto dei sistemi.
Nello scenario simulato di Dystopia, questo ambito viene coinvolto nel momento in cui gli attaccanti, penetrati nelle infrastrutture della nazione Ursa, ottengono il controllo delle reti critiche e riescono a infettare alcuni sistemi industriali Scada, sfruttando il fatto che le reti critiche non erano adeguatamente segmentate e che i sistemi di monitoraggio erano inadeguati perché obsoleti. A questo punto gli attaccanti intervengono sui sistemi di trattamento delle acque, per portare a livelli eccessivi la quantità di cloro dell'acqua potabile, e sui sistemi fognari, causando lo scarico di liquami in un lago che bagna anche altre nazioni di Dystopia. Gli attaccanti poi intervengono sulla rete elettrica, causando interruzioni a cascata dell'erogazione di energia, tanto in Ursa quanto in nazioni confinanti.
In sintesi, le nazioni di Dystopia subiscono un crollo sistemico causato da interdipendenze anche impreviste tra i rispettivi sistemi, oltre che dalla generale mancanza di strategie e policy che avrebbero permesso di vedere una crisi cyber anche in un'ottica transfrontaliera e multisettoriale.
L'analisi degli esperti coinvolti da Unidir parte però innanzitutto da un tema tecnico: l'importanza della segmentazione delle reti, che non risolve tutti i problemi ma che serve come meccanismo per rallentare gli effetti a cascata di una violazione di sistemi critici. La segmentazione è infatti un meccanismo fondamentale per impedire il movimento laterale all'interno delle reti e per ampliare la finestra di risposta ai primi attacchi. Partendo da nozioni che si sanno da anni e che sono state trascurate per evitare complessità: dividere i sistemi in microsegmenti air-gapped, separati da firewall distinti, identity gateway, protocolli di autenticazione, strumenti di rilevamento degli endpoint. Anche qui c'è un rimando forte ai principi zero trust e a un controllo ferreo dell'escalation dei privilegi.
Da queste considerazioni in poi, le raccomandazioni di Unidir sono essenzialmente di metodo e non tecnologiche. Infatti, un incidente cyber che coinvolga infrastrutture critiche inevitabilmente riguarda più stakeholder e anche nazioni diverse, cosa che obbliga a definire e realizzare un elevato livello di coordinazione internazionale e intersettoriale. Tra i primi rischi da evitare c'è lo scatenarsi di reazioni ad hoc e non coordinate agli incidenti cyber, rischio che si contiene innanzitutto con una stretta collaborazione tra il settore privato e quello pubblico nello sviluppo di quadri giuridici nazionali e piani coordinati di attivazione dei CERT. Tali piani devono definire chiaramente i ruoli e le responsabilità di ciascuna parte interessata, delineare le procedure di attivazione dei vari stakeholder e stabilire meccanismi di coordinamento per la risposta agli incidenti.
Tutto questo sembra scontato, oggi, ma non si tratta di un processo fluido. Anzi, semmai è il contrario: per Unidir il rischio che la defininizione di un piano articolato di incident response intersettoriale si blocchi (quasi) subito è assai concreto. I motivi possibili sono molti: obiettivi poco chiari, condivisione limitata dei dati, coinvolgimento inadeguato delle parti interessate, conflitti di interesse, risorse limitate, ritardi burocratici. Per affrontare questo tipo di intoppi serve un forte impegno soprattutto dall'alto, anche a livello internazionale.
E siccome la teoria è una cosa e la pratica un'altra, anche quando si tratta di infrastrutture critiche e di stakeholder internazionali i piani di incident response vanno testati - e continuamente migliorati - attraverso test obbligatori dei protocolli di emergenza ed esercitazioni congiunte regolari e su larga scala. Parallelamente serve anche un impegno costante di tutti i vari specifici settori collegati alle infrastrutture critiche, ad esempio con audit annuali degli standard di sicurezza cyber di settore, valutazioni periodiche dei meccanismi di emergenza di ogni singolo mercato, e tanta tanta formazione.
Unidir mette in decisa evidenza anche il tema della fiducia, che dopo un incidente cyber importante va riguadagnata. Se parliamo di infrastrutture critiche l'impatto sui cittadini può essere - e di solito è - rilevante, tanto da mettere in discussione il modo in cui percepiscono la sicurezza della società in cui vivono. In questo scenario è essenziale ricostruire il prima possibile un clima di fiducia, cosa che richiede una comunicazione trasparente, tempestiva e coordinata da parte di tutte le entità coinvolte, pubbliche o private che siano. Una comunicazione che deve avvenire attraverso canali ufficiali e comunque affidabili, perché la disinformazione e le speculazioni sono dietro l'angolo. L'esperienza di questi anni ci dice, peraltro, che su questo punto c'è ancora molto da lavorare.