Infrastrutture critiche e vulnerabilità di sistema. Gli incidenti gravi si susseguono, ma – meno male – continuiamo a salvarci…
L’ultimo trimestre del 2012 si è chiuso con qualche insufficienza in pagella. E non parliamo di scolari, ma di gente che sui banchi c’è stata – o almeno dovrebbe averlo fatto – qualche tempo fa.
Non siamo dinanzi ai “quadri” affissi nell’atrio di un qualsiasi istituto di istruzione, abbiamo sotto gli occhi il report dell’ICS-CERT. «ICS cosa»? Cominciamo con il far chiarezza sulle astruse sigle che affollano – ogni giorno di più – le nostre chiacchiere, quasi gli acronimi nobilitassero il parlare o attribuissero maggior tono alla preparazione in materia degli interlocutori.
Stiamo parlando dell’Industrial Control Systems – Cyber Emergency Response Team, una squadra di specialisti incastonata all’interno del dipartimento per l’Homeland Security.
A leggere il recentissimo rapporto si scopre che due centrali elettriche sono state infettate da un venefico malware. Possibile che un’azione di questo tipo sia stata portata a termine, nonostante l’isolamento che contraddistingue le reti e i sistemi di certe infrastrutture critiche rispetto i network su cui circola ogni genere di spazzatura? «Possibile».
In entrambi i casi, la responsabilità dell’accaduto è stata ricondotta a un uso, per così dire, “leggero” di flash drive USB. Le “pennette” hanno colpito di nuovo e a nulla sono valse le severe prediche in proposito o le accorate raccomandazioni alla cautela.
Non è dato sapere quali impianti siano stati protagonisti di questa pessima esperienza, ma – pur senza puntare il dito verso questi cattivi esempi di “insecurity” – la circostanza è foriera di serie preoccupazioni. Nel primo caso la scoperta è stata fatta da un ingegnere addetto alla manutenzione che, alle prese con il sistema per il riconoscimento dell’impronta digitale del proprio pollice, ha dovuto constatare che la periferica non era riconosciuta dal sistema e che le impostazioni erano state fraudolentemente alterate. Gli specialisti dell’IT non hanno faticato a localizzare ben tre virus sul dispositivo portatile e subito dopo gli investigatori hanno localizzato altre infezioni non meglio specificate su altre due stazioni di lavoro con applicazioni critiche. Ma non è mica finita. Una serie di lacune nelle procedure di backup non ha poi consentito nemmeno un agevole ripristino della normalità.
Caso numero due. L’infezione è stata ricondotta a una “terza parte”, un fornitore di servizi che involontariamente ha contaminato il sistema presso il centro generatore di energia dopo aver inserito una pendrive USB in un computer apparentemente poco influente ai fini della sicurezza degli impianti. In realtà, la mancata adozione di precauzioni basilari ha determinato l’infezione dei sistemi di controllo delle turbine e si è tradotto nell’ “avvelenamento” di una dozzina di computer collegati in rete. Chi vuol sapere quali siano state le conseguenze, si accontenti di sapere che le operazioni di “cleanup” sono state faticosissime e il riavvio dell’impianto è avvenuto con un ritardo di circa tre settimane. A fronte di questi episodi, possiamo ancora stupirci di quei piccoli “incidenti domestici” che caratterizzano il ciclo biologico di qualunque organizzazione che utilizzi computer e reti? La cyber-difesa – di cui tutti parlano non sempre con adeguata cognizione di causa e lo fanno solo per sentirsi “fighi” – comincia proprio con lo scongiurare il verificarsi di situazioni come quelle che abbiamo appena descritto. In Italia, è stato appena varato un decreto del presidente del Consiglio dei ministri. In Russia, Putin ha affidato in questi giorni agli agenti segreti dell’FSB (la struttura erede del KGB) il compito di organizzare quanto necessario. Negli Stati Uniti, tutti aspettano la pubblicazione della segretissima direttiva di Obama in materia. I provvedimenti ci sono o ci saranno a breve. Bene. Ma si arriverà in tempo a tradurre in realtà i buoni propositi o si dovrà sperare che i malintenzionati aspettino anche loro la Gazzetta Ufficiale e la non semplice attuazione pratica?
