Accanto alle guerre tristemente visibili, se ne combattono altre che non possiamo vedere, ma i cui effetti potrebbero travolgerci improvvisamente. Gli attacchi informatici sono in aumento e le infrastrutture energetiche sono sempre più sotto tiro, soprattutto dall’inizio della guerra in Ucraina. Le azioni degli hacker, che agiscono più o meno direttamente per conto di Stati sovrani, mirano a sconvolgere la vita quotidiana prendendo di mira le centrali elettriche e i sistemi essenziali che gestiscono la produzione e la trasmissione dell’energia. Anche l’Italia è nel mirino e appare vulnerabile: è tra i Paesi dell’Unione Europea più attaccati, con l’Agenzia Nazionale per la Cybersecurity che definisce il 2023 come “anno di pesante aggressione”.
Infrastrutture strategiche messe a nudo: i casi di sabotaggio hacker russo in Francia
I recenti attacchi alle infrastrutture energetiche strategiche europee hanno attirato l’attenzione sulla vulnerabilità dei sistemi vitali per il funzionamento di interi paesi, che possono persino essere interrotti o disattivati. Gli ultimi attacchi si sono limitati a tentativi e fortunatamente non ci sono stati grossi problemi, ma hanno dimostrato quanto possa essere semplice realizzarli. Secondo le informazioni riportate dal quotidiano francese le Mondenei primi giorni di marzo 2024 si è verificata un’intrusione informatica nel software di controllo di una centrale idroelettrica francese.
Un noto gruppo Telegram russo, “CyberArmyofRussia_Reborn”, aveva pubblicato un video in cui denunciava il sabotaggio hacker della diga di Courlon-sur-Yonne, nella regione della Borgogna-Franca Contea, a sud-est di Parigi. Come si vede dalle immagini diffuse, viene mostrato il processo che poi porta all’allagamento della valle.
Ma non era la diga di Courlon-sur-Yonne. In realtà gli hacker erano entrati nel sistema di gestione di una piccola chiusa del sistema idrico francese dal nome simile: Courlandon. L’effetto principale dell’intervento è stato l’abbassamento del livello dell’acqua di 20 centimetri.
Il canale Telegram segnala regolarmente furti di dati o intrusioni informatiche per conto della Russia. Tra gennaio e aprile, ad esempio, sono stati denunciati attacchi informatici contro impianti di trattamento delle acque reflue in Polonia e negli Stati Uniti, dove è stato colpito il sistema di distribuzione e stoccaggio dell’acqua che serve diverse comunità rurali del Texas.
Come mostra un rapporto Mandiante, una società di sicurezza informatica di proprietà di Google, questo canale di propaganda è direttamente controllato da Sandworm, un’importante unità d’élite dell’intelligence militare russa (GRU). Per Mandiant questi canali di propaganda servono, tra le altre cose, a “presentare nel miglior modo possibile le capacità informatiche del gruppo, esagerando l’impatto di determinati attacchi”.
Sebbene le conseguenze dell’azione in Francia siano state limitate, Mandiant sottolinea che Sandworm è il principale attore russo impegnato in operazioni cybermilitari in Ucraina, ma non solo: “I loro attacchi negli Stati Uniti hanno permesso loro di accedere a infrastrutture critiche e di distruggere davvero cose – spiega A le Monde John Hultquist, analista capo di Mandiant – Vale la pena ricordare che Sandworm è stato coinvolto in alcuni degli attacchi più audaci mai visti contro infrastrutture critiche.”
Zelenskyj porta la guerra alla Russia con i droni ma minaccia i prezzi del petrolio
Secondo l’Agenzia internazionale per l’energia (IEA), le infrastrutture critiche, tra cui gas, elettricità e acqua, sono tra gli obiettivi preferiti delle organizzazioni criminali informatiche. Gli attacchi informatici ai servizi di pubblica utilità sono aumentati rapidamente dal 2018, raggiungendo livelli allarmanti nel 2022, subito dopo l’invasione dell’Ucraina da parte della Russia. E non sempre le aziende del settore sono state pronte ad arginare questi attacchi.
Come dimostra l’IEA, i recenti attacchi informatici nel settore elettrico hanno disabilitato i controlli remoti dei parchi eolici, interrotto i contatori e portato a ricorrenti violazioni di dati sensibili che coinvolgono nomi, indirizzi, conti bancari e numeri di telefono dei clienti.
Gli occhi della Russia sull’Europa, l’Italia sotto accusa: “Tra i più colpiti dal cyberattivismo”
Storicamente, la Russia ha combinato l’uso massiccio di strumenti informatici con azioni sul campo per raggiungere i propri obiettivi strategici. E dall’inizio della guerra in Ucraina, la quantità e la qualità degli attacchi si sono moltiplicate, soprattutto nel blocco di alleati che sostengono il Paese di Zelenskyj. “Per decenni, la Russia ha mappato i cavi e le condutture sottomarini critici da cui dipendiamo”, ha affermato James Appathurai, vice segretario generale della NATO per l’innovazione e la sicurezza informatica, in una recente conferenza.
In Italia la situazione è peggiorata, come dimostrano gli ultimi attacchi agli enti governativi e le relative allerte di criticità lanciate dall’Agenzia per la
sicurezza informatica nazionale. Secondo l’ultimo rapporto dell’Associazione Italiana per la Cyber Security (Clusit), solo il nostro Paese ha ricevuto l’11 per cento degli attacchi rilevati a livello globale e il ritmo delle azioni subite è in continuo aumento. Il 41% degli attacchi informatici definiti “gravi” hanno colpito le aziende
amministrazioni pubbliche.
Secondo l’ultimo rapporto annuale al Parlamento dell’Agenzia nazionale per la sicurezza informatica (ACN), i settori più colpiti sono le telecomunicazioni, i trasporti e i servizi finanziari. Sono cresciute l’allerta e le capacità e il monitoraggio degli asset considerati a rischio è aumentato del 374%, insieme agli eventi cyber registrati (+30%) e alle segnalazioni più che raddoppiate. Nel settore energetico, l’ACN ha registrato 68 attacchi e, secondo l’agenzia, l’attivismo informatico cresce insieme alle guerre sul campo, con la maggior parte degli eventi (248) rivendicati da collettivi filo-russi. In generale, nel 2023 l’Italia è stata il terzo Paese più colpito nell’Unione Europea e il sesto su scala globale.
Intrusioni informatiche e tentativi di sabotaggio in Francia hanno fatto temere che la stessa cosa fosse accaduta in Italia, con l’esplosione della centrale idroelettrica di Suviana, nell’Appennino bolognese. Ci vorrà molto tempo per capire cosa sia realmente accaduto ma fonti della Procura di Bologna hanno fatto sapere a Today.it che al momento non ci sono accertamenti su questo tipo di ipotesi. I dati però mostrano che i rischi di attacchi a infrastrutture simili rimangono reali anche in Italia e per questo le aziende si stanno adattando ai nuovi scenari.
Nell’ultimo rapporto di sostenibilità pubblicato da Enel si legge della “consapevolezza che il rischio cyber è fortemente caratterizzato e influenzato da fattori esogeni e imprevedibili, come gli attacchi informatici, sempre più frequenti e sofisticati, che potrebbero incidere negativamente sull’operatività delle imprese, anche in di fronte all’esistenza di processi e tecnologie di difesa”. Enel gestisce 1.300 impianti idroelettrici, geotermici, eolici, fotovoltaici e termoelettrici e per la sua importanza potrebbe essere esposta a potenziali attacchi. Per questo ha coinvolto un terzo degli stabilimenti industriali in campagne di test rispetto a scenari di questo tipo.
L’azienda monitora ogni possibile attacco attraverso un “Cert” (Cyber Emergency Readiness Team), operativo 24 ore su 24, 7 giorni su 7, in grado di attivare immediatamente ogni risposta necessaria. Anche Terna, che gestisce la rete elettrica italiana, dispone di un Cert per affrontare “ogni possibile incidente con una gestione efficiente dei processi e delle procedure di comunicazione ed escalation, sia interni che esterni, e con un efficace coordinamento delle azioni di risposta”.
