Gli attacchi all’approvvigionamento idrico sono una minaccia seria e stanno peggiorando

A gennaio 2019, Wyatt Travnichek ha lasciato il suo lavoro al Post Rock Rural Water District, i cui 1.800 miglia di condutture idriche forniscono clienti in otto contee nel centro morto del Kansas. Due mesi dopo, dicono i pubblici ministeri, ha effettuato nuovamente l’accesso al sistema informatico della struttura e ha proceduto a manomettere i processi che utilizza per pulire e disinfettare l’acqua potabile.

Quando si parla di sicurezza delle infrastrutture critiche, la rete elettrica attira la maggior parte dell’attenzione del pubblico, e questo è comprensibile. Le minacce alla rete elettrica sono reali e spaventose; chiedetelo a chiunque in Ucraina, che ha subito molteplici blackout su larga scala effettuati dagli hacker russi Sandworm. Ma l’incidente di Post Rock, rivelato in un accusa mercoledì, è un forte promemoria che il sistema di approvvigionamento idrico presenta un obiettivo altrettanto devastante.

L’incriminazione arriva solo due mesi dopo che un hacker ancora sconosciuto ha tentato di avvelenare l’approvvigionamento idrico di Oldsmar, in Florida, e segna il terzo attacco pubblicamente divulgato a un sistema idrico che rappresentava un rischio diretto per la salute dei clienti di una società di servizi pubblici. (Nel 2016, Verizon Security Solutions ha scoperto che gli hacker avevano modificato con successo i livelli chimici di un’utilità senza nome.) Gli attacchi informatici che potrebbero causare danni fisici rimangono incredibilmente rari, ma i sistemi idrici della nazione sono un obiettivo sempre più popolare. E gli esperti dicono che questi sistemi in gran parte non sono attrezzati per gestire le minacce.

“Tutti pensano alle persone che riducono il potere alle aree, perché è qualcosa che ti è familiare. Tutti hanno subito un’interruzione di corrente. Sappiamo anche come sopravvivere a loro “, afferma Lesley Carhart, uno dei principali analisti delle minacce presso Dragos, una società di sicurezza dei sistemi di controllo industriale. “Non pensiamo all’acqua. Questo è forse uno dei motivi per cui è così sottofinanziato. “

Le specifiche di come Travnichek avrebbe ottenuto l’accesso alla rete del distretto idrico rurale di Post Rock dopo aver lasciato l’utilità rimangono poco chiare; l’accusa dice solo che ha “effettuato l’accesso da remoto”. Aveva un accesso remoto quando lavorava lì, dicono i documenti del tribunale, per il monitoraggio fuori orario. Ma le misure di sicurezza informatica di base avrebbero dovuto essere sufficienti per impedire a un ex dipendente di ottenere un accesso non autorizzato al sistema, sia che usasse semplicemente vecchie credenziali o addirittura configurasse una backdoor più sofisticata nel sistema. Sfortunatamente, molti servizi idrici mancano anche di più, soprattutto nelle zone rurali.

“La maggior parte dei servizi idrici sono gestiti dai comuni, quindi possono essere gestiti da città molto piccole con budget molto ridotti. Operano con pochi soldi “, afferma Carhart. “Molte aziende idriche, soprattutto municipali, hanno forse una persona IT se sono molto fortunate. Sicuramente non hanno una persona per la sicurezza nello staff, nella maggior parte dei casi. ” Né Post Rock né l’avvocato di Travnichek hanno risposto a una richiesta di commento

Quando il tuo lavoro è assicurarti che i computer funzionino presso un servizio idrico, potresti comprensibilmente dare la priorità ai processi che salvaguardano la fornitura potabile rispetto all’implementazione, ad esempio, di misure di identità federate che impedirebbero a un ex dipendente di rientrare.

Che è, sfortunatamente, qualcosa che accade più spesso di quanto potresti pensare. L’incidente di Post Rock, come con Oldsmar e l’intrusione senza nome che Verizon ha notato alcuni anni fa, hanno attirato l’attenzione perché avrebbero potuto provocare danni fisici. Ma i servizi idrici hanno subito un attacco lento ma prolungato negli ultimi dieci anni. Nella prima metà degli anni 2010, è stato costantemente tra i settori più mirati, anche se ancora molto indietro nel settore manifatturiero ed energetico. Nel 2015, il team statunitense di risposta alle emergenze informatiche dei sistemi di controllo industriale ha messo in campo 25 incidenti di sicurezza informatica nel settore dell’acqua e delle acque reflue; nel 2016, l’ultimo anno per il quale sono disponibili i dati, ne ha visti 18. Un recente studia pubblicato nel Giornale di ingegneria ambientale ha esaminato 15 attacchi informatici contro i sistemi idrici in una certa profondità e ha scoperto che coprivano la gamma dal furto di dati al cryptojacking al ransomware.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *