Dovremmo preoccuparci di più per la sicurezza delle “città intelligenti”?

Immaginate che qualcuno spenga tutti i semafori di New York alle 4 del pomeriggio.

Ho pensato a questa cosa da quando Ryan Naraine ne ha parlato durante una tavola rotonda sulla protezione delle città intelligenti presso il Black Hat di quest’anno.

Sebbene la conversazione fosse avvenuta principalmente tra alcuni ricercatori tecnici, l’idea di spegnere i semafori di una delle città più caotiche del mondo non mi convince.

Oggigiorno, è tutto connesso alla rete (il vostro telefono, la TV, l’orologio, il braccialetto fitness, forse anche il vostro portone di casa). Ma sapevate che lo sono anche i semafori, i treni e la rete elettrica?

Fa un po’ paura pensare a cosa potrebbe accadere se uno dei sistemi industriali vitali per la nostra vita quotidiana dovesse venire spento.

Elettricità?

Treni?

Semafori?

Le conseguenze potrebbero essere disastrose se anche solo uno di questi tre elementi viene usato in maniera inappropriata. Ma così come per molte altre cose, la sicurezza delle città intelligenti non è dove dovrebbe essere.

Ryan Naraine talking #smartcities and securing them #ioasis #klbh #blackhat2016

A photo posted by Kaspersky Lab (@kasperskylab) on Aug 3, 2016 at 12:56pm PDT

La burocrazia e i tempi di sviluppo per i sistemi stanno a significare che in molti casi ci sono ripensamenti sulla sicurezza.

La discussione riguardo la fine della sicurezza è altrettanto irritante. È inutile e non va oltre il settore della sicurezza perché le persone comuni non ci pensano, anche se dovrebbero.

Quando si tratta di sicurezza, ci focalizziamo su cose che usiamo personalmente ogni giorno: computer, dispositivi mobili, braccialetti fitness e via dicendo. Ma questi oggetti, ritenuti essenziali, sono in realtà un lusso e non cose necessarie nella nostra quotidianità. Se vengono hackerati è un duro colpo, ma non si tratta di cose che potrebbero ucciderti.

Hacking electricity, water, and food https://t.co/puKzqEPXTa #ICS pic.twitter.com/L4ibbptbXM

— Kaspersky Lab (@kaspersky) July 15, 2016

Qualche settimana fa, durante la nostra iniziativa AMA qualcuno ha chiesto: sapete quando inizieremo a vedere stragi di massa e forse anche morti in seguito agli attacchi degli hacker ai sistemi di controllo industriale (ICS)? È possibile adesso? Dopo l’attacco alle acciaierie tedesche da parte del malware Black Energy, e l’attacco al controllo del traffico aereo svedese sembriamo essere quasi alla vigilia di qualcosa.

Brian Bartholomew ha risposto: bella domanda e anche difficile. Credo sia una questione di tempo prima che qualcuno o qualcosa decida di oltrepassare il limite e causare una strage. Se dai un’occhiata ai sistemi critici che non sono ancora protetti e sono vulnerabili agli attacchi, ci sarebbe solo bisogno di un pazzo e di una conoscenza generale del funzionamento dei sistemi di controllo industriale (ICS) per infliggere danni di massa.

Ecco perché proteggere i sistemi di controllo industriale (ICS) dovrebbe essere la prima cosa su cui i policy maker e altri esperti del settore dovrebbero immediatamente focalizzarsi. Abbiamo bisogno di più persone come te che pongono queste domande difficili alle persone giuste. Per quanto riguarda chi lo fa… credo che nessuno stia facendo “bene” il proprio lavoro. Farlo bene non è abbastanza. Deve essere un lavoro impenetrabile e adesso non è questo il caso. Non si tratta più di un unicorno mitologico. È stato fatto in passato e potrà solo peggiorare.

Black Hat and DEF CON: Hacking a chemical plant – https://t.co/KSnCTtLt5U

— Kaspersky Lab (@kaspersky) August 19, 2015

Vitaly Kamluk ha risposto: onestamente, non voglio pensarci. L’ultima volta che ho pensato alla possibilità di un malware che oltrepassasse la soglia tra il mondo virtuale e quello fisico per distruggere un oggetto fisico, è apparso Stuxnet proprio il mese successivo. A quei tempi ho pensato solo “perché così presto?”. Tutte le volte che sento parlare di disastri improvvisi come aerei che si schiantano o treni deragliati ho come una strana sensazione.

Un ricercatore di sicurezza conosciuto come halvarflake quest’anno ha detto (secondo quanto ricordo): “Potete possedere gli oggetti fisici. I sistemi informatici hanno però un’ulteriore dimensione che è il controllo: potete possedere un computer, ma con la progettazione dei sistemi  attuali non potete mai sapere con certezza di chi ne abbia il controllo”.

Si tratta di una cosa che non mi fa dormire la notte, perché l’illusione di controllare i sistemi informatici offre alle persone che utilizzano il proprio potere contro gli altri infinite possibilità per provocare tragedie.

Cosa si può fare quindi in merito a questo problema?

Innanzitutto, in quanto cittadini del mondo, possiamo e dobbiamo prestare attenzione a cosa stanno facendo i nostri funzionari eletti per proteggerci.

Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb

— Kaspersky Lab (@kaspersky) November 18, 2014

La formazione e la consapevolezza sono essenziali. Questa discussione ha bisogno di andare oltre il settore della sicurezza e fare notizia. Un attacco informatico a questi sistemi così delicati potrebbe essere disastroso. Si tratta di qualcosa su cui dovremmo focalizzarci di più rispetto a uno scandalo di una celebrità o a un attacco informatico ad un sito di incontri.