Cos’è il ‘rischio’ nel mondo digitale? Non riguarda solo la sicurezza dei dati
Scienza e razionalità
Un’assunzione che spesso viene fatta da giuristi, politici etc. quando toccano i temi legati alla sicurezza nel mondo digitale è che a rischio siano i nostri dati. Il problema diventa quindi rapidamente un problema, quasi contabile, di chi è proprietario di questi dati e di chi detiene diritti, e quali, su di essi. Si apre cosí la problematica cosiddetta della privacy, a cui su sponde diverse dell’Oceano Atlantico si danno soluzioni anche molto diverse: dal nostro lato dell’Oceano, vige un regolamento europeo noto come GDPR, il che costituisce indubbiamente un fattore molto positivo.
Ma questo è un approccio estremamente incompleto e limitante. I rischi in gioco sono anche altri, forse ben piú importanti. Innanzitutto, il problema della privacy come problema di sicurezza informatica si pone in uno scenario preciso, che non è necessariamente universale anche quando parliamo solamente di dati (definendo dato come informazione custodita in forma digitale).
La sicurezza dei dati si misura tradizionalmente lungo tre direzioni – riservatezza (la proprietà per la quale solo le persone autorizzate possono accedere ai dati), integrità (la proprietà per la quale solo le persone autorizzate possono modificare i dati) e disponibilità (la proprietà per la quale il dato è utilizzabile qualora necessario). Abbiamo un problema di privacy quando un attore malevolo vuole attaccare dei dati (limitandone quindi in qualsiasi modo uno dei tre parametri che ne definiscono la sicurezza) custoditi e gestiti da una parte ma proprietà di un’altra parte. Se viene dunque attaccato un sistema che tratta dati di terzi, la privacy di questi dati viene messa a repentaglio.
Non è un problema di privacy, però, se i dati custoditi e gestiti dal loro proprietario vengono attaccati. Non è un problema di privacy se il progetto di un componente avionico di interesse militare viene rubato, ad esempio. Il mondo industriale ha una quantità di problemi di sicurezza dei dati che non sono problemi di privacy, al contrario delle aziende che operano nel settore dei servizi che invece tipicamente lavorano proprio su dati di terzi.
Ma il mondo industriale ha anche un altro problema di sicurezza informatica, che oggi sta emergendo ma che viene ancora visto spesso anche da acuti osservatori di cose digitali in un’ottica di privacy, che non è quella corretta. Da questo errore discendono altri errori, come ad esempio l’enfasi nelle tecnologie crittografiche come panacea di ogni male digitale e non come semplice componente in una architettura di protezione complessa.
Prendiamo un esempio concreto, quello dei cosiddetti OSE (Operatori di Servizi Essenziali): sono definiti cosí nella Direttiva comunitaria per la sicurezza delle reti e dell’informazione del 6 luglio 2016 (Direttiva NIS, Network and Information Security) quei fornitori (pubblici o privati che siano) di servizi fondamentali per le attività sociali ed economiche di base, il cui funzionamento dipende da reti e sistemi informatici tali che in caso di incidente viene messa in questione l’erogazione del servizio (v. https://www.infrastrutturecritiche.it/media-files/2016/11/SLIDE-NIS-Franchina2016_v4.pdf). Un esempio classico di OSE può essere quello delle società distributrici di energia elettrica.
Una simile azienda ha una struttura complessa, in cui possiamo distinguere due rami. Una parte è quello che in gergo viene chiamato il dominio gestionale, cioè tutta quella parte dell’azienda in cui lo strumento informatico viene utilizzato per trattare dati allo scopo di automatizzare le funzioni d’ufficio: se si tratta di un OSE o di una fabbrica di birra non c’è una grande differenza, un ufficio è piú o meno un ufficio. L’altro ramo è quello strettamente industriale ed impiantistico, quello cioè in cui le funzioni specifiche dell’azienda vengono svolte: non ad es. la fatturazione e la spedizione delle bollette (in genere peraltro esternalizzata) quanto piuttosto il controllo della rete di distribuzione dell’energia e la gestione dei contratti utente (misura dell’energia erogata e gestione delle connessioni e delle disconnessioni dalla rete, variazione dei parametri contrattuali): in questo settore, si tratta dei due ambiti del telecontrollo (in quanto la rete oggi non viene piú gestita da operatori che si recano fisicamente nelle cabine di distribuzione) e della telegestione (in quanto i dati di misura e le operazioni presso il cliente vengono svolte anch’esse in forma telematica).
Per rimanere solo nell’ambito del telecontrollo, abbiamo tipicamente dei sistemi informatici detti SCADA (System Control And Data Acquisition) che stanno in una sala controllo centrale, sottoposti a misure di sicurezza anche fisica strettissime perché da lí si può controllare l’intera rete gestita dall’azienda, i quali utilizzano una quantità di canali di comunicazione (su linee fisse di vario tipo, GSM/GPRS, in qualche caso satellitare) per raggiungere le cabine di distribuzione in alta tensione (quelle che hanno enormi trasformatori esterni) e quelle in media e bassa tensione (piú numerose e distribuite sul territorio, in genere chiuse in piccoli locali piuttosto anonimi).
Nelle cabine ci stanno gli RTU (Remote Terminal Units), degli oggetti computer-like, che hanno una CPU, delle interfacce di rete e della memoria, che colloquiano con i sistemi SCADA centrali e si interfacciano con dispositivi elettronici intelligenti quali rilevatori di guasto, strumenti di misura, interruttori ed altre protezioni elettriche per gestire l’altra rete, non quella dati ma quella di distribuzione dell’energia che sarebbe il core business dell’azienda. Il tutto allo scopo di garantire livelli di servizio ottimali anche in caso di guasti. La rete dati che telecontrolla e telegestisce si spinge fin dentro le abitazioni dei clienti, in cui degli smart meter, dei contatori intelligenti, possono colloquiare con computer centrali nella cabina a bassa tensione (i concentratori) utilizzando la medesima rete elettrica come canale di comunicazione (PLC, Power Line Communication).
Ora, se pensiamo a cosa può andare storto, ci accorgiamo che i problemi sono immensi. Abbiamo una rete dati che parte dalle case dei clienti ed arriva ai sistemi SCADA centrali – certamente una rete fortemente segmentata e divisa in settori che teoricamente non dovrebbero comunicare fra di loro. Una rete connessa anche al dominio gestionale in quanto alcuni dipendenti, quadri e dirigenti possono aver necessità di accedere ai sistemi di controllo dal loro ufficio, o peggio, aziende esterne che fanno la manutenzione dei sistemi possono aver necessità di accedere ai sistemi di controllo via Internet da fuori. Una rete che controlla un servizio vitale ed essenziale per la vita civile.
In questo caso il problema non è certo la riservatezza, l’integrità e la disponibilità dei dati. Il bene da proteggere non è tanto l’informazione quanto la funzione. Gli attacchi ai dati sono strumentali ad un piú vasto attacco alle funzioni svolte nell’impianto in questione (nel caso di un OSE del settore della distribuzione dell’energia, rete di distribuzione, cabine ad alta, media e bassa tensione, etc.). Vi è peraltro una carenza di schemi concettuali e di procedure formali per analizzare la sicurezza delle funzioni rispetto al caso, piú studiato, della sicurezza dei dati, anche a causa dell’estrema varietà di componenti e di canali di comunicazione utilizzati nei piú diversi settori industriali.
E gli attacchi ci sono stati eccome, sia teorici che pratici. Sempre per rimanere nel settore della distribuzione dell’energia, qui abbiamo il video di una presentazione alla conferenza BlackHat Europe 2014 in cui due ricercatori spagnoli hanno dimostrato come sovvertire la sicurezza di alcuni contatori smart utilizzati in Spagna, riuscendo a interrompere l’erogazione della corrente ai clienti a distanza e addirittura a sviluppare malware, virus informatici, che si propagano da contatore a contatore per causare black out a catena (v. anche https://www.reuters.com/article/us-cybersecurity-spain/popular-electricity-smart-meters-in-spain-can-be-hacked-researchers-say-idUSKCN0HW15E20141007). I dettagli della metodologia di attacco ovviamente non sono stati resi noti.
La connessione tra la rete del dominio gestionale e la rete di telecontrollo è stata centrale negli attacchi alla rete elettrica ucraina, attribuiti ad entità russe (difficile essere piú precisi ma è facile fare ipotesi, vista la situazione politica tra i due paesi e lo stato di guerra aperta in Donbass), nel dicembre 2015, in cui lo scenario peggiore si è avverato: l’interruzione dell’erogazione dell’energia agli utenti finali, sia pure solo per svariate ore.
La sicurezza nel mondo digitale dunque va ben oltre la semplice problematica della sicurezza dell’informazione, talvolta frainteso peraltro come semplice problema di privacy. A rischio sono le infrastrutture critiche che gestiscono la vita civile di un paese.