Sicurezza dei CPS: dalle minacce emergenti alla resilienza operativa

• 
• Tweet
• Pin It
• Condividi per email

C’è stato un tempo in cui gli attacchi informatici contro i sistemi cyber-fisici (CPS) erano quasi esclusivamente confinati all’ambito teorico. I sistemi di controllo industriale (ICS) erano protetti da air gap, i dispositivi medici risultavano analogamente isolati e i sistemi di gestione degli edifici (BMS) operavano in modo autonomo e autosufficiente.

La diffusione della connettività, però, ha profondamente trasformato questo scenario.

Le aziende stanno oggi collegando le tecnologie operative (OT) a Internet, trasferendo nel cloud dati di elevato valore e proprietà intellettuale. Allo stesso tempo, i dispositivi dell’Internet of Medical Things (IoMT) stanno entrando in rete a un ritmo sempre più rapido, abilitando non solo innovazioni salvavita, ma anche diagnosi più tempestive e raccomandazioni terapeutiche in grado di migliorare l’assistenza ai pazienti.

Naturalmente, gli hacker hanno intercettato in questo contesto nuove opportunità. Con il progressivo collegamento dei sistemi cyber-fisici a Internet e al cloud, le stesse vulnerabilità che colpiscono le reti aziendali diventano terreno fertile per i malintenzionati, estendendosi anche ai dispositivi OT, ICS e IoMT.

Gli ospedali di tutto il mondo sono stati ripetutamente colpiti da attacchi ransomware che hanno interrotto servizi critici e compromesso l’assistenza ai pazienti su più livelli. Allo stesso modo, attacchi motivati da ragioni geopolitiche contro la sicurezza di sistemi ICS e OT in Ucraina e in altri Paesi hanno messo a rischio la disponibilità di energia, acqua e altri servizi essenziali. Gli attori delle minacce stanno così adottando approcci sempre meno opportunistici e sempre più mirati contro i CPS.

Claroty ha analizzato una serie di minacce che colpiscono i sistemi cyber-fisici e che stanno diventando sempre più concrete, abbandonando definitivamente il piano puramente teorico.

1. I dispositivi edge come porta d’accesso alla rete aziendale

Una tendenza particolarmente rilevante e al tempo stesso preoccupante è il crescente numero di criminali che sviluppano framework progettati appositamente per colpire dispositivi edge, hypervisor e altre infrastrutture di rete che, nella maggior parte dei casi, non supportano soluzioni di endpoint detection and response (EDR). Sebbene le soluzioni EDR siano altamente efficaci nell’individuare la maggior parte dei malware ed exploit noti, esistono apparecchiature e tecnologie che non ne consentono l’implementazione. Nel corso dell’ultimo anno, gli hacker hanno quindi concentrato i propri sforzi sull’individuazione e sullo sfruttamento di vulnerabilità zero-day e falle comuni, con l’obiettivo di inserire backdoor in questo tipo di tecnologie.

Questa tendenza dovrebbe indurre a una riflessione approfondita in relazione ai CPS, considerando che molti sistemi ICS, sensori dell’Internet of Things (IoT) e altri dispositivi connessi che compongono l’ecosistema CPS non supportano anch’essi l’EDR. Un simile accesso illecito espone la rete, abilita movimenti laterali e, nel contesto dei CPS, può mettere seriamente a rischio i processi fisici.

I CPS richiedono un monitoraggio continuo della rete e delle minacce, nonché l’adozione di una serie di controlli compensativi per far fronte alle difficoltà di patching tipiche sia degli ambienti OT sia di quelli sanitari. Misure come la segmentazione della rete contribuiscono in modo significativo a contenere questo tipo di attacchi e a costruire sistemi realmente resilienti.

2. Attacchi informatici basati sull’estorsione che mettono a rischio i dati

Gli ambienti sanitari, così come altri settori delle infrastrutture critiche, sono stati fortemente colpiti da attacchi a fini estorsivi. Queste campagne articolate prendono il via con un accesso furtivo alle reti e con l’esfiltrazione di dati sensibili dell’organizzazione, dei clienti o dei pazienti. I proprietari e gli operatori degli asset vengono, quindi, minacciati di diffondere tali informazioni e di avviare successivi attacchi ransomware qualora le richieste di riscatto non vengano soddisfatte.

Le organizzazioni caratterizzate da un’elevata concentrazione di asset possono subire conseguenze rilevanti anche quando i CPS non rappresentano l’obiettivo primario. Ospedali impossibilitati ad accedere alle cartelle cliniche dei pazienti o sistemi di imaging basati su Windows colpiti da ransomware possono essere costretti a deviare i pazienti verso altre strutture. Allo stesso modo, i settori delle infrastrutture critiche, come energia, servizi pubblici e acqua, affrontano concreti rischi per la sicurezza pubblica qualora i processi vengano interrotti o compromessi da ransomware o altri attacchi informatici.

Un’ulteriore criticità riguarda le attività di ripristino. Per quanto tempo i sistemi critici resteranno offline? Per quanto tempo i pazienti dovranno essere dirottati verso altre strutture o la fornitura di energia risulterà compromessa? In alcuni casi, le organizzazioni si trovano ad affrontare settimane di attività di recupero, con costi estremamente elevati per il business.

3. La trasformazione digitale accelera l’adozione dell’AI

Una ricerca condotta da Anthropic ha portato alla luce una campagna sponsorizzata dalla Cina che ha manipolato la famiglia di Large Language Models “Claude” per condurre attacchi informatici contro numerose aziende tecnologiche di alto valore, istituzioni finanziarie, aziende chimiche ed enti governativi.

Nel proprio avviso, Anthropic ha dichiarato:

«Riteniamo che questo sia il primo caso documentato di un attacco informatico su larga scala eseguito senza un sostanziale intervento umano».

Le imprese hanno investito in modo significativo nell’intelligenza artificiale e stanno già registrando benefici immediati in termini di efficienza e innovazione. Parallelamente, anche gli attaccanti stanno trasformando l’AI generativa e i Large Language Models (LLM), come Claude, in strumenti a duplice uso, capaci di accelerare e rendere più complessi ed efficaci gli attacchi. Il gioco del gatto e del topo è ufficialmente iniziato.

Il ruolo dei CPS nell’adozione dell’AI è evidente: la costruzione di data center è cresciuta del 30% su base annua, raggiungendo nel mese di giugno 2025 un tasso destagionalizzato di 40 miliardi di dollari. Questo incremento comporta una domanda sempre maggiore di energia e raffreddamento, rendendo necessario accelerare, di pari passo, la protezione dei CPS che supportano le infrastrutture energetiche e i sistemi di gestione degli edifici (BMS).

Un discorso analogo vale per i settori manifatturieri.

Amazon prevede di sostituire oltre 500.000 dipendenti, di cui 160.000 negli Stati Uniti entro il 2027, con robot e sistemi di intelligenza artificiale. Secondo un articolo del New York Times, questa automazione della logistica dovrebbe generare un risparmio di circa 30 centesimi per ogni articolo prelevato e ridurre in modo significativo la forza lavoro dell’azienda, a fronte di una previsione di raddoppio del volume di vendita dei prodotti in meno di dieci anni.

Dal punto di vista della cybersecurity, si tratta di un’ulteriore ondata di CPS che dovrà essere adeguatamente protetta non solo nei settori della logistica e dei magazzini, ma anche nella manifattura e in altre industrie critiche.

Gli attacchi informatici contro i CPS possono provenire da diverse tipologie di minacce e da modalità operative eterogenee. Gli attori riconducibili a interessi statali dispongono di risorse significative e perseguono l’accesso illecito a sistemi che, se compromessi, possono avere un impatto diretto sulle infrastrutture critiche e sulla sicurezza nazionale. I malintenzionati meno strutturati, invece, sono spesso motivati dal profitto o da ragioni di natura ideologica e mirano alla disruption, alla creazione di caos e alla diffusione di sfiducia nella capacità dei governi di garantire protezione.

I responsabili della sicurezza chiamati a proteggere questi sistemi devono comprendere l’evoluzione del panorama delle minacce, quali siano gli obiettivi dei criminali e le strategie più efficaci per contrastarli. Oltre alle capacità di threat intelligence, fondamentali per fornire informazioni accurate sulle tattiche, tecniche e procedure utilizzate dagli hac, le organizzazioni con un’elevata presenza di asset CPS e gli operatori sanitari devono poter contare su misure di protezione di base solide e affidabili.

La visibilità degli asset rappresenta una priorità assoluta:

disporre di un inventario completo e accurato degli asset connessi è essenziale e costituisce il fondamento di qualsiasi programma di protezione dei CPS. Ad esempio, i programmi di gestione dell’esposizione si basano in larga misura sulla visibilità degli asset per identificare le vulnerabilità e le debolezze di configurazione che gli attaccanti potrebbero sfruttare. Anche l’accesso remoto è un elemento critico di un programma di sicurezza CPS e deve essere adeguatamente protetto. Le organizzazioni devono avere piena visibilità sulle connessioni attive, monitorarle e verificarle, oltre a disporre della capacità di interrompere le sessioni remote in tempo reale in risposta ad attività potenzialmente malevole.

Una soluzione progettata appositamente per questi scenari, come la piattaforma Claroty, offre una protezione completa degli ambienti CPS e costituisce il pilastro di un programma di sicurezza dedicato.

Oltre a mettere a disposizione funzionalità avanzate di scoperta degli asset, gestione dell’esposizione e delle vulnerabilità, accesso remoto, protezione di rete e dalle minacce, la piattaforma è progettata con una particolare attenzione alla minimizzazione dell’impatto sul business. La piattaforma Claroty consente non solo una comprensione approfondita degli asset connessi presenti nell’ambiente, ma anche la definizione delle misure di protezione sulla base della riduzione dell’impatto operativo, assicurando continuità, disponibilità e resilienza anche in caso di incidente.

Fonte foto Pixbay_TheDigitalArtist

• 
• Tweet
• Pin It
• Condividi per email