Uno sconosciuto si è infiltrato nel sistema informatico di un impianto di trattamento delle acque in Florida e ha innalzato il livello di idrossido di sodio a 11.100 parti per milione, contro la quantità normale di 100 ppm. Le autorità di Oldsmar, la cittadina statunitense a cui fa capo al bacino idrico, hanno spiegato che questa sostanza, nota anche come soda caustica, viene utilizzata in piccole quantità per trattare l'acidità dell'acqua. A livelli elevati è tossica.

Le autorità hanno rassicurato i cittadini di non avere corso rischi. Un operatore dell'impianto si è reso conto di quanto stava accadendo e ha riportato il dosaggio della sostanza nella norma. Se non fosse intervenuto, il sistema automatico di sicurezza lo avrebbe comunque fatto in autonomia. Le procedure di routine, infatti, sono impostate per eseguire controlli a scadenze temporali e riequilibrare i livelli qualora non lo fossero. Inoltre, l'acqua trattata non raggiunge immediatamente le abitazioni: occorrono da 24 a 36 ore, quindi in caso di manomissioni ci sarebbe stato il tempo per rimediare prima che qualcuno venisse intossicato.

Un attacco di 5 minuti

Assodato che nessun cittadino ha corso rischi per la salute, resta il problema che si è verificata un'intrusione in un'infrastruttura critica di cruciale importanza. Secondo le fonti ufficiali, l'azione criminale sarebbe durata da 3 a 5 minuti e sembrerebbe che sia stata portata a termine con TeamViewer.   
La cronistoria dell'accaduto è la seguente: il venerdì mattina un operatore dell'impianto ha notato che qualcuno aveva avuto accesso a distanza a un sistema che controlla le sostanze chimiche e altri aspetti del processo di trattamento delle acque. Dato che i suoi colleghi eseguivano regolarmente l'accesso da remoto al sistema non si è preoccupato.

Qualche ora più tardi ha osservato un'attività da remoto: un operatore ignoto avviava funzioni che controllavano il processo di trattamento e aumentava di 111 volte l'immissione di idrossido di sodio. Compreso che non si trattava di un collega, l'operatore ha rimesso i valori nella norma e ha lanciato l'allarme. Le indagini sono in corso e sono coinvolte anche FBI e CIA. Non è ancora stato stabilito se l'attacco sia stato sferrato dal suolo statunitense o dall'estero.

Un problema di sicurezza informatica

L'incidente ha riacceso i riflettori sull'annosa questione della sicurezza delle infrastrutture critiche. Nel caso specifico si è focalizzato sull'opportunità di usare un software di controllo da remoto come TeamViewer per accedere ai sistemi di gestione delle utility. L'accesso remoto è una pratica piuttosto diffusa che serve per semplificare la gestione e consentire interventi immediati in caso di necessità. Tuttavia comporta dei rischi, come palesato da quanto accaduto a Oldsmar.

Nonostante l'intrusione, è andata bene perché chi ha operato l'azione non ha manomesso le ridondanze di sicurezza, un'evenienza più che plausibile. È evidente la necessità di mediare fra sicurezza dell'infrastruttura e agilità degli interventi. 

Il commento degli esperti

Daniel Kapellmann Zafra, Manager of Analysis, Mandiant Threat Intelligence, commenta che “A partire dallo scorso anno, Mandiant Threat Intelligence ha osservato un aumento degli attacchi informatici da parte di hacker con l’obiettivo di accedere e conoscere i sistemi industriali accessibili in remoto. Attraverso l'interazione da remoto con questi sistemi, gli hacker hanno svolto operazioni a impatto limitato, ma nessuna di queste ha provocato danni a persone o infrastrutture.

Fortunatamente, i processi industriali sono spesso progettati e monitorati da ingegneri professionisti che incorporano meccanismi di sicurezza per prevenire eventuali modifiche impreviste. Riteniamo che il crescente interesse per i sistemi di controllo industriale da parte degli hacker sia il risultato della maggiore disponibilità di strumenti e risorse che facilitano la conoscenza e l’interazione con questi sistemi.

Anche se l'incidente non sembra essere particolarmente complesso, evidenzia la necessità di rafforzare le capacità di sicurezza informatica in tutta l'industria dell'acqua e delle acque reflue in modo simile ad altri settori di infrastrutture critiche”.