Swascan, con il servizio Cyber Risk Indicators, ha analizzato 20 infrastrutture critiche italiane nei settori dell’energia, trasporti, pubblica amministrazione e sanità.

Il conflitto russo-ucraino scoppiato a fine febbraio 2022 ha evidenziato la potenziale esposizione delle infrastrutture critiche agli attacchi cyber. Il conflitto è difatti stato desccritto anche come “guerra ibrida”, proprio perché una delle armi utilizzate sono i cyberattacchi alle infrastrutture. In Ucraina, ciò è avvenuto poco prima dell’invasione – naturalmente, più un paese dipende dalla digitalizzazione delle proprie infrastrutture, più è a rischio di attacchi.

I settori delle infrastrutture al giorno d’oggi sono estremamente collegati: è facile quindi che attacchi cyber provochino ingenti danni economici e sociali. L’interruzione dei servizi causa un impiego delle risorse civili e militari, cosa estremamente dannosa se si prevede che gli attacchi verranno seguiti da vere e proprie forze armate.

Soltanto nel 2017, hacker russi hanno attaccato le infrastrutture di Ucraina e Arabia Saudita svariate volte, prendendo di mira i settori energetici, i trasporti, il settore ospedaliero e compagnie petrolifere. Per regimi con poca stabilità politica, un attacco cyber eseguito al momento giusto può essere fatale. Inoltre, gli attacchi possono partire in modo più innocuo, come una semplice raccolta di dati sensibili, e sfociare solo in seguito in attacchi ransomware o denial-of-service.

La situazione in Italia

Swascan ha quindi deciso di effettuare un’analisi con la metodologia Cyber Risk Indicators. Il team ha suddiviso i potenziali rischi su tre livelli, ovvero il rischio tecnologico (sfruttamento di vulnerabilità tecniche), il cyber threat intelligence e il rischio social engineering (livello human risk).

Le vulnerabilità totali rilevate nel technology risk sono 2085, con una media di 104 per struttura.  La maggior parte delle vulnerabilità appartiene al livello medio (1601). Seconde in classifica le vulnerabilità ad alto rischio. Gli indirizzi IP vulnerabili sono in media 66 per ogni infrastruttura. L’analisi è il risultato delle informazioni raccolte dal servizio DTI a livello OSINT (Open Source Intelligence) e CLOSINT (Close Source Intelligence).

Il social engineering risk evidenzia un totale di 52555 email compromesse (una media di 2628 per struttura), con 424 fonti compromesse. Sono stati evidenziati anche 353 domini typosquatting. Delle 20 aziende campione, ben 18 avevano almeno un indirizzo email compromesso. 9 ne possedevano più di 500.

L’analisi del cyber threat intelligence rileva invece un totale di 52985 botnet, le reti di computer compromessi con grande potenza di elaborazione dati. I bot rilevati non sono all’interno delle strutture ma hanno interagito con gli asset degli obiettivi analizzati.

Modalità di attacco

Tendenzialmente per un attacco ad un’infrastruttura critica viene usata una tra queste modalità:

  • DDoS: Un attacco DDoS (distributed denial-of-service) è un’evoluzione degli attacchi DoS e consiste nell’inviare enormi quantità di dati a un obiettivo da diverse fonti per impedire a un utente, un gruppo di utenti o un’organizzazione di accedere a una risorsa.
  • Sfruttamento Vulnerabilità: una vulnerabilità è una componente di un sistema che rappresenta un punto debole di esso. Sfruttandola, un hacker può eseguire codice dannoso, installare malware e rubare dati sensibili;
  • Social Engineering: detta anche ingegneria sociale, è un tipo di attacco che riunisce una serie di tecniche volte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare segretamente software dannosi.
  • Botnet: è una rete composta da un gran numero di computer dirottati da malware. Assumendo il controllo di centinaia o migliaia di computer, le botnet vengono usate per inviare email spam o contenenti malware, ma anche per lanciare attacchi DDoS.
  • Supply Chain attack: è un attacco informatico che cerca di danneggiare un’organizzazione prendendo di mira gli elementi meno sicuri della supply chain.
  • 0 – Day: potenzialmente il tipo di attacco più pericoloso per le infrastrutture critiche, gli zero-day sono così noti perché lasciano zero giorni di tempo per poter correggere le vulnerabilità. Sostanzialmente sono vulnerabilità trovate in corso d’opera e praticamente impossibili da correggere durante un attacco.

Come proteggersi

È importante aumentare la sicurezza del perimetro, rispettando i tre canoni della cybersecurity moderna, ovvero la Sicurezza Predittiva, Preventiva e Proattiva.

La Sicurezza Predittiva identifica minacce a livelli di web, dark web e deep web. In più, effettua attività di Early Warning e ricerca minacce emergenti.

La Sicurezza Preventiva definisce i piani di remediation, misura il Cyber Risk e fornisce le aree di investigazione alla Sicurezza Predittiva.

Per finire, la Sicurezza Proattiva identifica minacce cyber nel perimetro aziendale, gestisce i Cyber Incident e combatte e blocca attacchi informatici.