Un quadro pratico per proteggere le sottostazioni digitali

Per capire meglio come proteggere le sottostazioni digitali, consideriamo il punto di vista dell'aggressore utilizzando l'Industrial Control System Kill Chain. Questa kill chain organizza le azioni degli aggressori in una serie di operazioni che si combinano l'una sull'altra per produrre l'effetto previsto alla fine della catena (nel nostro esempio in Ucraina, perdita di energia elettrica). Per i nostri scopi, utilizzeremo una versione ridotta della kill chain, delineando i passaggi come Preparation, Intrusion, Pivot to OT, Execute OT e Attack.

Preparazione

Gli aggressori iniziano raccogliendo informazioni sul loro obiettivo. Per le utenze, ciò potrebbe includere l'identificazione delle ubicazioni delle sottostazioni, la comprensione dell'architettura SCADA, la ricerca delle apparecchiature dei fornitori e la mappatura dell'infrastruttura di rete. Gli aggressori dell'Ucraina del 2015 hanno passato mesi a studiare i loro obiettivi. Allo stesso modo, l'attacco al Colonial Pipeline del 2021 è iniziato con una ricognizione che ha identificato le credenziali VPN vulnerabili.

Comandi difensivi: Le aziende di pubblica utilità dovrebbero ridurre al minimo la loro impronta digitale limitando le informazioni disponibili al pubblico sulle configurazioni delle sottostazioni e sui sistemi di controllo. Il training di sensibilizzazione alla sicurezza dei dipendenti dovrebbe enfatizzare i rischi di una condivisione eccessiva dei dettagli operativi sui social media o sulle reti professionali, nonché sulla corretta gestione dei dati sensibili.

Intrusione

Gli aggressori ottengono l'accesso all'ambiente bersaglio. I metodi di accesso più comuni includono e-mail di spear-phishing, aggiornamenti software compromessi, unità USB infette o sfruttamento di sistemi connessi a Internet. Gli aggressori ucraini hanno usato lo spear-phishing con allegati Microsoft Office dannosi, che hanno permesso l'installazione del malware BlackEnergy e il punto d'appoggio necessario per le azioni successive.

Comandi difensivi: Segui le migliori pratiche per la sicurezza informatica aziendale, tra cui solide soluzioni di sicurezza delle e-mail con protezione avanzata dalle minacce e funzionalità di sandboxing, soluzioni antivirus/EDR per workstation aziendali, sistemi di rilevamento delle intrusioni di rete e centri operativi di sicurezza (fornitura di servizi interni o gestiti). Garantire che i team OT siano allineati e aggiornati con la strategia di sicurezza informatica IT aziendale.

Pivot verso OT

Dopo aver ottenuto l'accesso alle reti IT aziendali, gli aggressori cercano di estendere la loro portata alle reti OT come quelle che si trovano nelle sottostazioni digitali. Ciò avviene in genere sfruttando soluzioni di accesso remoto non sicure, rubando credenziali utente valide da sistemi IT compromessi o utilizzando dispositivi transitori infetti come telefoni e laptop. L'uso di unità USB infette nell'attacco Stuxnet è un esempio di come anche le reti airgap possano essere compromesse. Nell'attacco in Ucraina, gli aggressori hanno utilizzato credenziali rubate dai sistemi IT per accedere alle reti OT tramite connessioni VPN.

Comandi difensivi: Stabilire politiche rigorose per i supporti rimovibili e i dispositivi esterni. Mantenga un inventario aggiornato degli asset di tutto il software e il firmware e mantenga gli asset aggiornati con patch di sicurezza firmate digitalmente (per quanto consentito dalle operazioni). Le soluzioni di controllo degli accessi alla rete (NAC) possono impedire ai dispositivi non autorizzati di connettersi alle reti delle sottostazioni, mentre la rete tra le reti IT e OT e le zone delle sottostazioni interromperà i movimenti laterali. Implementare sistemi di rilevamento delle intrusioni industriali (IDS) che comprendano i protocolli OT e possano identificare comunicazioni anomale. Proteggi l'accesso remoto utilizzando l'autenticazione a più fattori e assicuri che l'accesso remoto di terze parti (in genere per la manutenzione dei fornitori) sia protetto in modo analogo. Elimina le credenziali predefinite su tutti gli IED, i relè e i dispositivi di rete, implementando idealmente il controllo degli accessi basato sui ruoli. Infine, le valutazioni regolari delle vulnerabilità delle reti OT aiutano a identificare i punti deboli prima degli aggressori.

Esegui l'attacco OT

La fase finale prevede che gli aggressori raggiungano i propri obiettivi, che si tratti di furto di dati, manipolazione del sistema o azioni distruttive. In Ucraina, ciò significava aprire interruttori (tramite HMI delle sottostazioni) per creare interruzioni di corrente. Gli aggressori ucraini hanno utilizzato caricamenti dannosi di firmware per interrompere le comunicazioni con i dispositivi da campo mentre eseguivano attacchi denial-of-service ai call center, con conseguenti ritardi negli sforzi di ripristino e clienti frustrati incapaci di ottenere risposte.

Comandi difensivi: Implementare sistemi strumentati di sicurezza (SIS) che funzionino indipendentemente dai sistemi di controllo. Mantenere i backup offline delle configurazioni e verificare le procedure di ripristino. Condurre regolarmente esercitazioni da tavolo ed esercitazioni di risposta agli incidenti specifiche per gli ambienti OT, per garantire una risposta rapida anche quando i controlli di sicurezza informatica falliscono.

Quando difendere le sottostazioni digitali, l'implementazione dei controlli di sicurezza è solo metà della battaglia e le aziende elettriche devono anche allineare i controlli ai quadri normativi e di settore consolidati e mappare le misure difensive sia ai requisiti CIP del NERC che al NIST Cybersecurity Framework (CSF).

Allineamento CIP NERC

Gli standard Critical Infrastructure Protection (CIP) della North American Electric Reliability Corporation forniscono requisiti obbligatori per la sicurezza informatica dei sistemi di alimentazione di massa. Gli standard chiave relativi alle sottostazioni digitali includono:

CIP-004 (Personale e formazione): Si concentra sull'elemento più critico della sicurezza informatica: gli esseri umani. Stabilisce i requisiti per l'assunzione, il training e l'onboard/offboarding.

CIP-005 (Electronic Security Perimeters): Affronta le misure di segmentazione della rete e di controllo degli accessi discusse in Difesa dalle intrusioni e passaggio a OT.

CIP-007 (Gestione della sicurezza del sistema): Copre il «blocco e la risoluzione» quotidiani della sicurezza informatica: gestione delle patch, prevenzione del malware, monitoraggio degli eventi di sicurezza e gestione degli account. Ciò include le pratiche di protezione degli endpoint, registrazione e gestione delle vulnerabilità essenziali per la diagnosi precoce.

CIP-008 (Pianificazione della risposta agli incidenti): Assicura che le organizzazioni sviluppino, mantengano e mettano in pratica la propria capacità di rispondere agli attacchi.

CIP-009 (Pianificazione del ripristino): Si concentra sul ritorno alla «normalità» dopo un attacco. Assicura che le procedure di backup siano implementate e verificate e che il ripristino venga periodicamente testato per verificarne la velocità e la precisione.

CIP-010 (Gestione delle modifiche alla configurazione): Definisce le configurazioni di base per gli asset e stabilisce un processo strutturato di gestione delle modifiche per tali linee di base, che includa i patch test per l'integrità operativa. Include anche i requisiti per le valutazioni periodiche delle vulnerabilità.

CIP-015 (Internal Network Security Monitoring): Il più recente standard CIP, approvato nell'estate del 2025 e che entrerà in vigore a partire da ottobre 2028. CIP-015 significa sapere cosa sta succedendo «in rete»: monitorare le reti OT, rilevare qualsiasi attività anomala e prendere decisioni di risposta informate.

Integrazione con il NIST CSF

Il NIST Cybersecurity Framework fornisce un approccio flessibile e basato sul rischio organizzato attorno a sei funzioni principali che rappresentano una strategia completa di sicurezza informatica:

Governare: Stabilire e monitorare la strategia, le aspettative e le politiche di gestione del rischio di sicurezza informatica dell'organizzazione.

Identifica: Costruire una comprensione comune del rischio di sicurezza informatica tra sistemi, risorse, dati e persone. Acquisisca visibilità sull'attuale stato di sicurezza e sui rischi associati.

Protegga: Implementare i controlli tecnici discussi in precedenza: segmentazione della rete, controlli degli accessi, protezione degli endpoint, ecc. Miri a ridurre la superficie di attacco complessiva che un utente malintenzionato può utilizzare per prendere piede nella rete.

Rileva: Implementare funzionalità per identificare correttamente il verificarsi di eventi dannosi di sicurezza informatica in modo tempestivo. Utilizza i dati aggregati da un'ampia varietà di risorse per aggiungere contesto alla visibilità.

Risponda: Dopo aver rilevato un attacco informatico, agisca per attenuare i progressi degli aggressori, mitigare l'impatto e infine espellere gli aggressori dalla rete.

Recuperare: Dopo aver neutralizzato una minaccia, ripristini tutte le funzionalità o i servizi compromessi a causa dell'incidente. Utilizza le lezioni apprese per informare la futura strategia di sicurezza.

Combinazione di NERC CIP, NIST CSF e controlli difensivi

Conclusione

L'attacco in Ucraina del 2015 ha dimostrato che le sottostazioni digitali rappresentano obiettivi critici in cui le vulnerabilità informatiche possono tradursi direttamente in conseguenze fisiche. Tuttavia, comprendendo la catena di morte dell'aggressore e implementando difese a più livelli, le utility possono ridurre significativamente il loro profilo di rischio. Con il consenso dei team IT e OT e un'attenta applicazione della strategia, le sottostazioni digitali possono essere collocate su una base di sicurezza eccezionalmente solida ed essere preparate a qualsiasi tentativo successivo degli aggressori.