Di sicurezza IoT, in particolare in relazione a tutto quanto attiene sia all’IoT industriale, sia all’IoT applicato alle infrastrutture critiche, abbiamo scritto molto su queste pagine, mettendo in luce come l’assenza di policy adeguate, unita a una non trascurabile complessità tecnica dovuta alla pluralità di dispositivi e protocolli, abbia aperto la strada ad attacchi che hanno compromesso l’operatività delle imprese e la sicurezza delle infrastrutture.
In questo scenario, di per sé già critico, si aggiungono oggi allarmi ulteriori, correlati, come è facile intuire, al conflitto in Ucraina.
L’allarme della CISA statunitense e dell’NCSC britannico
Sul tema si è espressa la Cybersecurity and Infrastructure Agency statunitense (CISA), l’Agenzia per la sicurezza informatica e le infrastrutture, sottolineando come accanto alle azioni sul campo, si stiano intensificando anche gli attacchi cyber, basati su malware. Il riferimento, in particolare, è ai malware russi “HermeticWiper” e “Whispergate”, che il master boot record delle macchine infette, rendendo i dispositivi inutilizzabili.
Il rischio, sottolineato anche National Cyber Security Center (NCSC) britannico, è che queste tipologie di attacco, già utilizzate contro target ucraini, possano poi estendersi anche a Europa e negli Stati Uniti, andando ad attaccare infrastrutture critiche e organizzazioni finanziarie.
Chi ricorda NotPetya?
I timori riguardano la possibilità che si ripresentino incidenti come quelli legati ai malware Petya e NotPetya, con nuovi malware il cui potenziale distruttivo può rappresentare una minaccia diretta per le attività di una organizzazione, con un impatto diretto sulla disponibilità di risorse e dati critici.
In particolare, CISA fa riferimento a 4 tipologie di rischio, che partono dagli attacchi brute force attraverso i quali esfiltrare credenziali valide per account di dominio e dunque ottenere l’accesso iniziale alle reti, passano dalle email di spear-phishing, che contengono collegamenti a domini dannosi, e includono l’utilizzo di credenziali rubate o vulnerabilità note per poi eseguire codice remoto fino ad arrivare alla mappatura di Active Directory e connessione ai controller di dominio.
Per quanto sin qui esposto, entrambe le organizzazioni, così come del resto ha fatto anche in Italia CSIRT (Cyber Security Incident Response Team), la struttura creata all’interno dell’Agenzia per la Sicurezza Nazionale, raccomandano l’adozione di un approccio risk based, basato sul rischio, alla sicurezza, adottando tutte le misure necessarie per “affrontare i rischi derivanti dalle minacce informatiche nelle supply chain, dispositivi Internet of Things (IoT) , standard IoT e nella gestione della forza lavoro remota”. Raccomandano soprattutto di implementare il NIST e altri framework per la riduzione del rischio.
Tutti gli enti citati sottolineano come in questo momento il rischio è superiore al normale e sta aumentando.
Le contromisure da implementare
Particolare attenzione, oltre a quanto già citato, deve essere posta sulla possibilità di attacchi phishing, smishing e social engineering.
Fondamentale è non solo attivare i backup, ma mantenerli logicamente e fisicamente separati dagli altri sistemi, così che, a seguito di un attacco, l’organizzazione possa riprendere le proprie attività.
In caso di attacco, disconnettere dalla rete tutti i dispositivi compromessi e valutare, laddove la loro numerosità cresca, valutare anche l’opportunità di disconnettere temporaneamente l’intera organizzazione da Internet, per limitare i danni.
La raccomandazione, di fatto, è quella di non farsi cogliere impreparati, non solo effettuando una verifica delle vulnerabilità presenti, ma anche rivedendo il piano di risposta in caso di attacco.
La preparazione deve essere su tutti i fronti: questo significa dotarsi di un piano di risposta nel caso in cui l’interruzione avvenga a livello di supply chain, valutando tutte le possibili alternative nel caso in cui un fornitore sia a sua volta colpito da un attacco, con conseguente indisponibilità dei suoi servizi.