Industrial data breach: le 5 più grandi minacce alla continuità operativa

L’industrial data breach è un problema dalle molteplici conseguenze, ma tutte portano nella stessa direzione: danni incalcolabili per chi lo subisce. Tecnicamente, l’industrial data breach è un’intrusione informatica in un sistema industriale al fine di esfiltrarne i dati più preziosi.

Stando al più recente Data Breach Investigations Report (DBIR) di Verizon, la maggior parte degli industrial data breach è mossa da fini finanziari e il 45% degli attacchi include l’utilizzo di sofisticate tecniche di hacking. Progetti criminali, dunque, che si fondano su una solida base economica, tanto che dietro al 55% dei data breach vi sono gruppi afferenti alla criminalità organizzata.

 

Dall’industrial data breach al blackout

Sulla base di questo assunto, un industrial data breach viene sferrato solo dopo un’attenta fase di analisi dell’obiettivo e con l’utilizzo di strumenti e competenze di alto livello. E dunque, per raggiungere l’obiettivo, oltre al danno economico, ve ne sono numerosi di carattere tecnologico, pronti a minare la continuità operativa di un’azienda. Quali sono le minacce alla continuità operativa legate quindi a un industrial data breach?

 

1)Tecnologia sotto attacco

L’esfiltrazione di dati che si ha con un industrial data breach può portare a un attacco all’Operational Technology, nel momento in cui ci si impossessa degli schemi operativi dell’industria. Come OT si intende l’insieme di tecnologie adibite al monitoraggio e al controllo dei processi industriali e nella categoria rientrano acronimi noti come PLC (Programmabile Logic Controller), SCADA (Supervisory Control And Data Acquisition) e ICS (Industrial Control System). Si tratta, cioè, dei dispositivi che interfacciano sistemi informatici e apparati industriali e che per via della loro natura tendono a essere obsoleti, poco aggiornabili e quindi vulnerabili agli attacchi.

 

2) Spegnere l’interruttore

Se un attacco all’Operational Technology porta, in genere, a sabotaggi dei processi industriali, spesso il fine ultimo dei criminali informatici è di arrivare al totale blackout del sistema, in modo da neutralizzare o rallentare la fase di Incident Response che entra in gioco dopo un industrial data breach. Il blackout del sistema sotto attacco viene ottenuto o agendo proprio sull’OT oppure portando la rete a un tale livello di stress da attivare procedure automatiche di forte riduzione delle risorse.

 

3) Un problema di DDoS

La generazione dello stress può essere conseguenza di un attacco basato su malware, ma molto più spesso si tratta di un DDoS (Distribuite Denial of Service). Si tratta, cioè, di un attacco informatico nel quale le risorse offerte dal sistema vengono saturate, per esempio andando a occupare tutta la banda disponibile. È una delle tipologie di attacco più diffuse, anche per via dei costi sempre più contenuti grazie alle tante botnet “as a service” disponibili nel Dark Web o sotto forma di servizi di “test”.

 

4) Ransomware in prima linea

L’Italia è al secondo posto, in Europa, per attacchi basati su ransomware. Si tratta di malware capaci di crittografare i dati di una rete al fine di richiedere un riscatto per la relativa decodifica. Negli ultimi tempi si assiste anche al loro utilizzo combinato proprio con il data breach. In questo caso la minaccia, in caso di mancato pagamento, consiste anche nel diffondere i dati recuperati dal ransomware nel più classico industrial data breach. Quindi, alle tipiche conseguenze da data breach si aggiunge il blocco della continuità operativa data dalla crittografazione dei dati.

 

5) Se le vittime sono i backup

Al tema dei ransomware è legato anche quello dei backup, inteso come la vera forma di contrasto a questa minaccia informatica. Non a caso, i più recenti ransomware sono in grado di analizzare la topologia della rete a caccia dei backup, che vengono così crittografati alla pari degli altri dati. Non è raro, tuttavia, che alcune nuove varianti di questi malware cancellino o danneggino i backup, di fatto togliendo ogni possibilità di ripristino all’azienda colpita.

 

Clicca qui e scarica il White Paper: Industrial cyber security

Condividilo su: