Il sempre più complesso panorama della sicurezza informatica e le recenti esperienze dell’uso sistematico dell’arma cyber in situazioni di conflitto ibrido e convenzionale hanno portato una maggiore attenzione al tema della cyber sicurezza delle infrastrutture critiche (IC).

Cyber security delle infrastrutture critiche: evoluzione normativa

Un primo tentativo di uniformare le procedure e migliorare complessivamente la protezione IC a livello europeo avviene nel 2006 con il programma europeo per la protezione delle infrastrutture critiche (EPCIP), che aveva l’obiettivo di implementare un sistema orizzontale di protezione tra i paesi membri, stabilire un comitato per la ricezione delle segnalazioni degli allarmi legati a tali settori, aumentare la collaborazione con partner esterni all’UE e di creare un fondo per la ricerca nel settore. ()

Il primo vero passo che sancisce una maggiore attenzione all’aspetto della cyber sicurezza delle infrastrutture critiche è rappresentato dalla direttiva sui sistemi di rete e di informazione (NIS), la prima legge sulla cyber sicurezza promulgata dall’UE, successivamente approvata dal Parlamento europeo nel 2016.

I settori inclusi dalla Direttiva NIS sono: l’acqua potabile, l’energia, le infrastrutture digitali e del mercato bancario e finanziario, la salute e i trasporti. Gli attori coinvolti in questi particolari settori sono indentificati con la definizione di operatori di servizi essenziali (OES), che insieme ai fornitori di servizi digitali sono le due macrocategorie di cui la NIS si occupa.

NIST Cybersecurity Framework: come valutare il profilo cyber di un’organizzazione

Direttiva NIS 2 per la sicurezza delle infrastrutture critiche

Nel gennaio 2023 è stata promulgata la Direttiva sulle misure per un elevato livello comune di cyber sicurezza in tutta l’Unione, la cd. NIS 2, la quale prevede misure giuridiche più stringenti per aumentare il livello complessivo di sicurezza informatica nell’UE.

Gli Stati membri sono stati obbligati dalla direttiva NIS2 a rafforzare le difese nelle “infrastrutture critiche”, prevedendo, da un lato che gli operatori di queste specifiche categorie di strutture sono tenuti a segnalare tutti gli incidenti informatici gravi alle autorità nazionali, dall’altro che i paesi membri devono scambiare informazioni sulle minacce e sui rischi in corso.

Inoltre, le organizzazioni che rientrano nella lista delle infrastrutture critiche dell’UE che forniscono servizi essenziali a sei o più Stati membri potranno beneficiare di una maggiore assistenza su come adempiere alle responsabilità emanate dalla direttiva per valutare i rischi e attuare azioni di resilienza.

Il Critical Entities Resilience Group

Viene anche instaurato il Critical Entities Resilience Group (CERG), una rappresentativa delle corrispettive autorità in materia di protezione delle infrastrutture critiche degli stati membri con l’obiettivo di facilitare lo scambio di informazioni e procedure tra gli stati dell’unione.

Come indice della necessità di ammettere nuovi e più stringenti regolamenti in materia, l’Unione ha imposto una scadenza per l’adozione a livello nazionale di tale direttiva, fissata entro l’ottobre 2024.

Le differenze tra Direttiva NIS e Direttiva NIS 2

Le differenze più pronunciate tra le due direttive NIS si trovano nella categorizzazione delle infrastrutture critiche e nell’aggiunta di nuovi settori all’elenco proposto dalla prima direttiva.

Infatti, per le entità di medie e grandi dimensioni, la NIS 2 introduce regolamenti standardizzati che sono classificati come “importanti” o “essenziali”.

I produttori di materiali specifici e i fornitori di servizi digitali sono tra i nuovi settori che rientrano in tale ambito. La gestione della cyber sicurezza e i requisiti di segnalazione sono gli stessi per entrambe le entità, essenziali e importanti; tuttavia, vi sono differenze nei regimi sanzionatori e di vigilanza.

La categoria di infrastrutture “importanti” è quella che include le maggiori novità, inserendo nell’elenco settori come: gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, trasformazione e distribuzione di alimenti, fabbricazione di dispositivi medici, prodotti informatici, elettronici e ottici, apparecchiature elettriche, macchinari e attrezzature, veicoli a motore, rimorchi e semi-rimorchi e ricerca.

Panorama dei cyber attacchi

Nel contesto digitale attuale, qualsiasi impresa, indipendentemente dalle sue dimensioni, è esposta a rischi cyber.

È quindi essenziale concentrarsi sull’analisi della superficie di attacco e sui vettori delle minacce informatiche al fine di sviluppare strategie efficaci per mitigare potenziali rischi.

L’attuale contesto geopolitico, messo in risalto dall’invasione russa dell’Ucraina, ha evidenziato la vulnerabilità delle infrastrutture critiche di fronte alle minacce provenienti da Stati nazionali. In tal senso, si è osservato un incremento dei casi di attacchi DDoS mirati a siti web e impianti, sottolineando l’importanza di rafforzare le difese e adottare strategie più robuste per proteggere tali asset fondamentali.

L’incidenza degli attacchi informatici alle infrastrutture critiche

L’incidenza di attacchi informatici è in continuo aumento e nei recenti sei mesi si è osservato un significativo incremento di cyber attack che hanno causato notevoli disagi in diversi settori, soprattutto in quelli legati alle infrastrutture critiche.

A livello globale nel 2023, i principali vettori di offesa risultano essere stati: phishing, DDoS, ransomware e cyber espionage.

I settori cruciali quali energia, produzione critica, gestione delle risorse idriche e impianti nucleari sono tra le categorie di infrastrutture critiche spesso bersagliate in gran parte degli incidenti riportati. Il solo settore energetico rappresenta il 39% degli attacchi perpetrati contro tali tipi di strutture, tre volte di più rispetto ai settori verticali più frequentemente colpiti come il settore manifatturiero critico (11%) e i trasporti (10%).

Più dell’80% degli individui responsabili delle minacce proviene da organizzazioni esterne; tuttavia, in circa un terzo degli incidenti, gli operatori involontariamente contribuiscono ad aprire le porte agli autori delle minacce.

Inoltre, le conseguenze dei cyber attack si allargano oltre l’entità aziendale colpita, coinvolgendo catene di approvvigionamento più estese nel 65% dei casi.

Tra gli esempi recenti si riporta quello all’ospedale “Toronto SickKids”, che nel dicembre 2022 ha subito vari malfunzionamenti del sistema, poi rivelatisi attacchi ransomware. Per citare un altro esempio, l’attacco alla Direzione generale dell’immigrazione in Indonesia dove sono stati rubati i dati dai passaporti di 34 milioni di cittadini indonesiani e messi in vendita sul dark web.

L’Europa la più colpita dagli attacchi informatici

Per quanto concerne il contesto europeo invece, l’Europa emerge come l’area maggiormente colpita dal punto di vista informatico nel periodo del 2022-2023, rappresentando il 48% del totale.

Inoltre, si nota che il settore privato, soprattutto nel campo energetico, è particolarmente vulnerabile alle minacce cibernetiche, con il 52% degli attacchi totali registrati nel periodo in esame.

I settori più colpiti al 2022 risultano essere in primis il settore sanitario, segue poi il settore delle comunicazioni, settore energetico e fuori dal “podio” ci sono il sistema bancario, dei trasporti, delle infrastrutture digitali, dei servizi fiduciari e il settore di identificazione e servizi governativi.

Le principali metodologie di attacco utilizzate sono ransomware, soprattutto per quanto riguarda il settore manifatturiero (14%), sanità (13%), Pubblica Amministrazione (11%) e il settore dei servizi (9%). Congiuntamente vi sono dei tentativi ostili perpetrati tramite i DDoS maggiormente impiegati nel settore dei trasporti, bancario-finanziario (9%), Pubblica Amministrazione e singoli individui (9%). L’utilizzo di malware è sicuramente in declino rispetto ai trend degli anni passati, mentre per i dispositivi mobili, lo spyware risulta essere la minaccia più diffusa insieme all’adware.

Gli attacchi più recenti

Gli esempi esemplificativi riportati, evidenziano l’attacco subito dalla società di telecomunicazioni britannica Lyca Mobile, la quale ha sperimentato una interruzione della rete nel fine settimana del 30 settembre/primo ottobre di quest’anno.

Tale azione ha naturalmente causato conseguenze sui servizi in gran parte del Paese, suscitando preoccupazioni riguardo a una potenziale compromissione dei dati dei clienti.

Inoltre, si è verificato un Distributed Denial of Service contro obiettivi tedeschi il 2 ottobre, quando un presunto hacktivista filorusso ha rivendicato attacchi contro entità tedesche nei settori finanziari, dei trasporti e governativi, facendo riferimento a dichiarazioni pro-Ucraina del ministro degli Esteri tedesco sui social media.

Conclusioni

Tali dimostrazioni comprovano come il sistema delle infrastrutture critiche, a causa delle crescenti minacce cyber, sia sempre più soggetto a pericoli le cui conseguenze hanno ripercussioni significative sulle funzioni vitali della società, come la salute, la sicurezza e il benessere economico e sociale dei cittadini.

Un eventuale danneggiamento di queste ultime o anche semplicemente un’interruzione parziale di questi servizi, indebolirebbe significativamente l’efficienza e il normale funzionamento di un Paese ed è per questo motivo che è necessario oggigiorno innalzare il livello di protezione di tali infrastrutture critiche.

Per fare questo bisogna, ancora una volta, ricordare la necessità di una collaborazione a livello nazionale e internazionale (dal momento che molte di tali strutture sono interconnesse fra di loro ben oltre i confini nazionali) nella condivisione di informazioni e di iniziative congiunte di possibili misure, non solo per contrastare tali attacchi, ma soprattutto per prevenirli e conoscere le varie situazioni in anticipo per evitare poi il rischio di eventuali escalation e interpretazioni errate.

@RIPRODUZIONE RISERVATA