Le fonti di energia alimentano le infrastrutture che sostengono la comunicazione, il lavoro e la vita delle persone, e la nostra dipendenza dal settore lo ha spinto in cima alla lista dei bersagli per i criminali informatici. Le preoccupazioni su come difendere questo settore critico sono state solo amplificate dai dilemmi in corso nei contesti economico e politico.
Oltre alle perdite finanziarie immediate e alle interruzioni operative, gli attacchi a settori critici come l'energia hanno effetti a cascata su altri settori, come la produzione, la sanità e i trasporti.
Questo articolo di SentinelOne illustra questi effetti e le sfide, esplorando le ragioni dietro la crescente minaccia informatica alle reti energetiche e cosa possono fare i fornitori di energia e servizi pubblici per proteggersi dai criminali informatici.
Uno Sguardo Globale agli Attacchi Recenti al Settore Energetico
Alcuni degli attacchi più notevoli a fornitori di energia e servizi pubblici sono avvenuti solo negli ultimi anni, evidenziando un interesse sempre più marcato dei criminali in questo settore.
Ransomware Extremes | Come l'Attacco alla Colonial Pipeline ha Indotto Cambiamenti nelle Politiche di Sicurezza Informatica degli Stati Uniti
La mattina del 7 maggio 2021, un dipendente della Colonial Pipeline ha scoperto una nota di riscatto, rivelando una violazione di successo dei sistemi attribuita al gruppo di ransomware DarkSide. DarkSide era riuscito a sfruttare un account obsoleto della rete privata virtuale (VPN), il primo passo che ha portato a uno degli attacchi informatici più significativi nella storia dell'infrastruttura energetica degli Stati Uniti.
I criminali informatici di DarkSide avevano crittografato circa 100 GB di dati sensibili e critici per l'attività all'interno della vasta rete di tecnologie operative (OT) della Colonial. In risposta, la Colonial Pipeline ha sospeso tutte le operazioni, inclusa la consegna di oltre 2,5 milioni di barili di benzina raffinata al giorno ai clienti degli Stati Uniti. Aziende e milioni di persone lungo la costa orientale degli Stati Uniti sono stati colpiti, con code alle pompe di benzina, aumenti di prezzo, acquisti di panico e la chiusura di numerose stazioni di servizio.
Poco dopo questo attacco, l'Amministrazione per la Sicurezza dei Trasporti (TSA) ha emesso una direttiva che imponeva agli operatori di condotte di carburante di notificare prontamente al CISA tutti i potenziali attacchi informatici. La direttiva richiedeva anche la presenza di un coordinatore della sicurezza informatica in loco.
Una seconda direttiva è stata emessa poco dopo, che ordinava agli operatori di condotte di carburante di affrontare le vulnerabilità, potenziare le loro difese e creare piani di contingenza per futuri eventi di sicurezza. All'inizio del 2023, il CISA ha presentato un programma pilota di avvertimento sulla vulnerabilità del ransomware (RVWP), progettato per sostenere i fornitori di infrastrutture critiche con le migliori pratiche e strumenti necessari per proteggersi dagli attacchi ransomware.
Nuovi Campi di Battaglia | Attacchi Russian-Based ai Fornitori di Energia
All'inizio dell'invasione dell'Ucraina all'inizio del 2022, i funzionari del governo ucraino hanno rivelato che attori minacciosi sponsorizzati dallo stato russo miravano a compromettere la rete elettrica ucraina, con l'intenzione di innescare un blackout che avrebbe coinvolto circa 2 milioni di persone. L'attacco coinvolgeva l'uso di un "wiper", una forma specializzata di malware progettato per abbattere i sistemi mirati cancellando dati critici. Se l'hack fosse riuscito, avrebbe causato il più grande blackout indotto da criminali informatici nel mondo fino a quel momento.
Un mese dopo l'invasione dell'Ucraina, il presidente Biden ha rilasciato una dichiarazione discutendo dell'aumentato potenziale di attacchi informatici russi contro l'infrastruttura energetica degli Stati Uniti in risposta all'imposizione di sanzioni economiche. Diverse aziende energetiche degli Stati Uniti e oltre una dozzina in settori associati hanno segnalato di aver subito scansioni anomale da indirizzi IP collegati alla Russia, probabilmente indicativi di una ricognizione precoce in cui gli attori minacciosi esaminano le reti mirate per vulnerabilità che potrebbero essere utilizzate in un futuro attacco.
Perché il Settore è a Rischio
Il settore dell'energia alimenta l’affidabilità di tutti gli altri settori, rendendolo il perno di tutte le infrastrutture critiche. Estendendosi ben oltre singole centrali elettriche, condotte o sistemi di rete, la superficie di attacco per il settore dell'energia è estesa in ogni punto della catena di fornitura energetica. Questa dipendenza da reti interconnesse e sistemi di controllo industriale (ICS) crea vulnerabilità che gli attori malintenzionati trovano estremamente attraenti. Gli attacchi informatici al settore dell'energia possono interrompere il flusso di risorse essenziali, portando a blackout, carenze di carburante e instabilità economica.
Diversi fattori sottostanno al rischio che il settore dell'energia affronta.
Digitalizzazione ed Interconnessione in Evoluzione
La rapida trasformazione digitale all'interno del settore dell'energia e dei servizi pubblici ha ampliato la sua superficie di attacco. L'aumento della connettività, l'adozione del cloud e le integrazioni dell'IoT hanno introdotto molti più punti di ingresso per gli attori minacciosi. Questa evoluzione digitale, pur potenziando l'efficienza e le capacità di monitoraggio, ha anche introdotto vulnerabilità che gli attori malintenzionati possono sfruttare. Le moderne tecnologie hanno accelerato la digitalizzazione ma rendono anche questo settore più suscettibile alle minacce informatiche che mai.
Aggiunge un'altra complessità l'interdipendenza di tutte le parti essenziali. Ad esempio, un'interruzione di corrente in una regione può avere grandi effetti a catena, influenzando la disponibilità di elettricità in altre parti del paese poiché le griglie più piccole devono adattarsi per soddisfare la domanda improvvisa. Allo stesso modo, un oleodotto compromesso non causa solo carenze localizzate, ma può innescare aumenti di prezzo su scala nazionale, evidenziando la complessa rete di interconnessioni all'interno del settore.
Localizzazioni Geografiche Disperse e Dipendenza da Terze Parti
I fornitori di energia e servizi pubblici affrontano una crescente superficie di attacco, derivante dalla sfida di proteggere asset sparsi geograficamente come dighe idroelettriche e centrali a carbone. Proteggere un ambiente disperso da molteplici minacce è una sfida logistica per i leader della sicurezza.
A rendere tutto più complesso è la dipendenza del settore dell'energia dalle relazioni della supply chain di terze parti. L'industria, che comprende una miscela di proprietà private e pubbliche, si basa su partnership strategiche tra i vari stakeholder. Di conseguenza, assicurare tutti i vari componenti che compongono l'industria dell'energia richiede azioni e responsabilità collettive tra diverse agenzie e organizzazioni, ognuna delle quali ha le proprie sfide di sicurezza informatica.
Incentivi Economici per i Criminali Informatici
Il settore dell'energia e dei servizi pubblici è un obiettivo allettante per i criminali informatici motivati finanziariamente. Gli attacchi ransomware, in particolare, sono diventati sempre più diffusi, con attori che cercano ingenti pagamenti per sbloccare sistemi critici. Le tensioni degli ultimi tempi, compresa l'incertezza economica post-Covid, l'inflazione e le perdite di lavoro, hanno creato un terreno fertile per schemi di estorsione informatica, aggravando il rischio che questo settore affronta.
Divari tra Infrastrutture Fisiche e Informatiche
I sistemi di tecnologia operativa (OT) controllano e monitorano processi fisici come la generazione, la distribuzione e la trasmissione dell'energia. Questi sistemi sono sempre più interconnessi con le reti di tecnologia dell'informazione (IT) per migliorare l'efficienza, ottimizzare le operazioni e consentire il monitoraggio e il controllo a distanza. Questa connessione crea un ponte tra le infrastrutture fisiche e informatiche, consentendo a dati e comandi di fluire tra di esse. Tuttavia, i divari tra le due aumentano notevolmente il rischio informatico.
Le interdipendenze tra infrastrutture fisiche e informatiche significano che i problemi sul lato IT hanno conseguenze reali. Ad esempio, un attacco informatico alla rete IT di una centrale elettrica può potenzialmente interrompere i sistemi OT responsabili del controllo dei processi critici. Al contrario, eventi fisici come guasti di apparecchiature o blackout possono influenzare la disponibilità e la sicurezza delle reti IT.
Potenziare la Resilienza Informatica nel Settore dell'Energia
La sfida per chi opera in questo settore sta nel restare al passo con le tattiche dei criminali informatici in costante evoluzione. Le seguenti linee guida possono aiutare i fornitori di energia a mitigare il rischio e a costruire una postura di sicurezza informatica più forte e proattiva.
Gestire il Rischio Informatico nella Supply Chain
La gestione del rischio nella supply chain dell’energia inizia con la comprensione di tutte le relazioni attuali con i fornitori, inclusa la dipendenza da componenti open source (OSS), e la creazione di standard più rigorosi per gli acquisti. Inizia con la revisione delle valutazioni dei fornitori in uso per tutti i fornitori e concorda sui processi di approvvigionamento e sulle responsabilità condivise sulla sicurezza. Per integrare la sicurezza informatica nel processo di approvvigionamento, impone la creazione di bolle di materiali software (BOMs) per tracciare tutti i componenti digitali in un sistema lungo la supply chain per identificare potenziali problemi.
Implementare l'Autenticazione Hardware
L'autenticazione hardware offre un approccio robusto all'autenticazione dell'utente, un elemento critico nella sicurezza delle reti OT geograficamente distribuite nel settore dell'energia. Questa strategia si basa sull'uso di un dispositivo fisico dedicato, tipicamente un token o una chiave hardware, insieme a una password principale.
Questo metodo di autenticazione a doppio fattore migliora il controllo degli accessi richiedendo sia qualcosa che l'utente conosce (la password) sia qualcosa che l'utente possiede (il token fisico) per l'accesso. L'autenticazione hardware funge da forte difesa contro l'accesso non autorizzato, garantendo che solo il personale autorizzato con il dispositivo fisico corretto possa interagire con sistemi sensibili.
Sfruttare l'Analisi del Comportamento dell'Utente
Andando oltre i modelli o le firme predefinite, l'analisi del comportamento dell'utente (user-behaviour analytics - UBA) approfondisce i comportamenti degli utenti all'interno di un determinato sistema. La forza dell'UBA risiede nella sua capacità di segnalare attività insolite o sospette basate su una comprensione approfondita delle interazioni tipiche degli utenti con un ambiente specifico. Creando basi comportamentali per gli utenti legittimi, l'UBA può rapidamente segnalare deviazioni e individuare potenziali violazioni della sicurezza o minacce interne.
L’UBA lavora con tecniche di machine learning per decifrare l'intento sottostante alle azioni dell'utente. Questo apprendimento continuo e l'adattamento consentono all'UBA di evolversi insieme al panorama delle minacce in continua evoluzione, migliorando la sua precisione nel riconoscere anche le anomalie più sottili nel comportamento dell'utente.
Mantenere una Profonda Visibilità attraverso il Monitoraggio in Tempo Reale
La profonda visibilità dei sistemi e delle reti, unita a capacità di monitoraggio, rilevamento e risposta in tempo reale, sono elementi essenziali per la sicurezza nel settore dell'energia. Soluzioni avanzate di sicurezza come Autonomous and AI-powered XDR di SentinelOne possono offrire una visione completa sia degli ambienti IT che OT, consentendo ai team di sicurezza di identificare rapidamente anomalie e potenziali minacce cibernetiche.
In un'era di attacchi in continua evoluzione e sofisticati, il monitoraggio in tempo reale assicura che qualsiasi attività insolita venga rilevata rapidamente, consentendo un'azione e una correzione immediate se necessario. Questo approccio proattivo è cruciale per proteggere l'infrastruttura critica del settore energia contro minacce informatiche che potrebbero interrompere le operazioni e mettere a rischio la sicurezza pubblica.
In Conclusione
Dato il loro ruolo centrale nell'alimentare le economie, le infrastrutture fisiche e i sistemi digitali, i fornitori globali di energia e servizi pubblici hanno dovuto considerare come difendersi contro una nuova ondata di avversari informatici negli ultimi anni. Spostamenti recenti nella geopolitica hanno aggiunto un nuovo livello di complessità a questo panorama delle minacce, evidenziando ulteriormente la necessità di misure di cybersecurity potenziate.
Per contrastare queste minacce e proteggere le reti e i gasdotti di potenza critici, i fornitori di energia e servizi pubblici stanno sempre più cercando di adottare un approccio proattivo e adattivo alla cybersecurity. Ciò comporta valutazioni approfondite del rischio, sistemi robusti di rilevamento e risposta e la creazione di standard più sicuri per lavorare con fornitori terzi.
SentinelOne è pronto ad affiancare le organizzazioni nel settore dell'energia gestendo la superficie di attacco in evoluzione prima che gli attacchi possano verificarsi.
Per avere maggiori informazioni sulla piattaforma Singularity XDR di SentinelOne alimentata da intelligenza artificiale, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua domanda.