La cyber criminalità non risparmia nessuno, neppure le aziende che operano nei settori elettrico, petrolifero, del gas e idrico. Non è ovviamente una novità dell’ultima ora ma pochi forse conoscono la reale dimensione di questo fenomeno. La scoperta di Stuxnet, il malware che secondo indiscrezioni (mai del tutto smentite) avrebbe sabotato un sistema di controllo industriale della Siemens installato in una centrale nucleare iraniana, è la prova concreta di come il panorama delle minacce si sia trasformato. Diventando assai più pericoloso.
A scattare un’approfondita immagine delle minacce che interessano le cosiddette infrastrutture critiche ci ha pensato anche quest’anno uno dei principali specialisti al mondo in fatto di soluzioni di sicurezza, e cioè McAfee. Nel report “Minacce nell’ombra. I settori delle infrastrutture critiche
affrontano gli attacchi cibernetici”, redatto in collaborazione con il
Center for Strategic and International Studies (Csis, organismo
no-profit con sede a Washington), è stato infatti fotografato in
dettaglio lo stato delle vulnerabilità (e dei relativi danni) che
riguardano per l’appunto i sistemi informatici delle organizzazioni al
servizio della società civile.
Dal report “Minacce nell’ombra. I settori delle infrastrutture critiche
affrontano gli attacchi cibernetici” di McAfee
Dallo studio emerge in sintesi come il numero degli attacchi contro
queste organizzazioni è in sostanziale aumento e il dato, in
particolare, relativo alle aziende che operano nel settore delle
infrastrutture elettriche (200 i responsabili della sicurezza
informatica censiti in 14 nazioni) è in tal senso eloquente: il 40% del
campione ritiene infatti che le vulnerabilità sono aumentate, il 30% che
la propria azienda non sia preparata per un attacco cibernetico e oltre
il 40% si aspetta un attacco significativo entro il prossimo anno.
Il
rapporto non ha mancato di rimarcare anche un fenomeno collaterale molto
diffuso: il
numero delle aziende soggette a estorsioni è cresciuto del
25% nello scorso anno ed India e Messico sono i Paesi più interessati da
questo fenomeno, con una percentuale di aziende colpite che va dal 60%
all’80% del totale.
Lo scenario è quindi abbastanza chiaro ed altrettanto esplicito è il commento fornito da Stewart Baker, ricercatore che ha condotto lo studio per il Csis: “abbiamo rilevato che
l’adozione di misure di sicurezza in settori civili fondamentali è rimasta molto indietro rispetto all’aumento delle minacce nel corso dell’ultimo anno. Nel corso degli ultimi dodici mesi i responsabili del settore hanno fatto progressi modesti per quanto riguarda la protezione delle proprie reti e lo conferma il fatto che i settori dell’energia e quello petrolifero e del gas hanno incrementato l’adozione di tecnologie di sicurezza di un solo punto e di tre punti percentuali rispettivamente”.
Dal report “Minacce nell’ombra. I settori delle infrastrutture critiche
affrontano gli attacchi cibernetici” di McAfee
Dichiarazioni a cui fanno eco quelle di Phyllis Schneck, vice president e Chief technology officer per l’intelligence nel settore pubblico di McAfee: “
i sistemi delle infrastrutture critiche non sono studiati in ottica di sicurezza cibernetica e le organizzazioni devono implementare controlli di rete più solidi per evitare di essere vulnerabili ad attacchi di questo tipo”. Per farla in breve, la metà delle aziende che opera in questi comparti è esposto ai rischi di attacchi, ne è consapevole ma fa ancora troppo poco per proteggersi in modo adeguato.
Le infrastrutture critiche e il ruolo dei governi
Altro capitolo interessante del report, utile a capire lo stato di salute delle infrastrutture critiche dal punto di vista istituzionale, è quello dedicato al ruolo dei governi. Ebbene, il 25% delle aziende che operano nel settore delle infrastrutture critiche non interagisce con le autorità dello Stato sui temi della sicurezza informatica e della protezione della rete.
Ovviamente la situazione varia da Paese a Paese e da quanto recita lo studio si può comprendere come le nazioni più consapevoli della sicurezza siano Cina e Giappone (dove si riscontrano i livelli di fiducia più elevati nella capacità delle leggi attuali di prevenire o scoraggiare attacchi) mentre fra quelle in ritardo vi siano Brasile, Francia e Messico. A vanto del Giappone il dato, pari al 44%, che certifica la percentuale di aziende nipponiche che hanno confermato come le agenzie governative esercitino un’autorità di regolamentazione estesa o dettagliata sulle loro misure di protezione della rete.
Dal report “Minacce nell’ombra. I settori delle infrastrutture critiche
affrontano gli attacchi cibernetici” di McAfee
In linea generale
Stati Uniti ed Europa sono in ritardo rispetto all’Asia relativamente al coinvolgimento del governo e in particolare Spagna, Stati Uniti e Regno Unito appaiono come i Paese in cui le almeno un terzo delle aziende del settore oggetto di studio non abbiano contatti alcuni con le istituzioni. Negli stessi Paesi si registrano inoltre i più bassi punteggi relativamente alle procedure di verifica dei piani per la sicurezza da parte del governo.
Il dato di sintesi che ben rende l’idea, almeno sulla carta (e il disastro nucleare di Fukushima ne è la prova più evidente), di come l’atteggiamento di aziende e governi sia diverso alle diverse latitudini del globo è infine il seguente: il Giappone è il Paese più virtuoso al mondo in fatto di verifiche governative (con una percentuale è del 100%) mentre quello più “distratto” in materia è il Regno Unito (fermo al 6%). In mezzo tutti gli altri, con l’Italia è al 25% e davanti agli USA.