Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Domenica, 05 Dicembre 2021
Attacco colonial pipeline e ordine esecutivo per la sicurezza informatica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Attacco colonial pipeline e ordine esecutivo per la sicurezza informatica - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Giugno 2021

Nelle ultime settimane, l'intera comunità della sicurezza informatica è stata allertata dall'attacco ransomware a uno dei più importanti oleodotti degli Stati Uniti, noto come Colonial Pipeline dal nome della società che lo gestisce. È uno degli attacchi più importanti alle infrastrutture critiche degli ultimi anni e ha avuto un impatto diretto e indiretto su più settori dell'economia statunitense. Per fortuna, le operazioni sono ritornate attive e funzionanti dopo un'interruzione di circa una settimana e il pagamento di un riscatto di 5 milioni di dollari americani.
DarkSide, il Ransomware as a Service (RaaS) usato contro Colonial Pipeline, è un buon esempio di malware usato per portare attacchi informatici a diverse organizzazioni in tutto il mondo. Preparato e usato con cura dagli esperti, utilizza una combinazione di tecniche per estorcere con successo le sue vittime.
L’attacco Colonial Pipeline è diventato di dominio pubblico il 10 Maggio, 2021. In data 12 Maggio, 2021, il Presidente degli Stati Uniti ha firmato l’Executive Order (EO) on Improving the Nation’s Cybersecurity 140281. Alcuni media hanno suggerito che l'EO sia stato una risposta all'attacco della Colonial Pipeline, ma ciò è poco credibile sul piano pratico. Esso è un documento enorme e complesso, con ricadute ad oggi difficili da ipotizzare. La lunghezza media di un EO è inferiore a 3 pagine e mezzo; la maggior parte sono solo 1 o 2 pagine, questo è un documento di 18 pagine. Un documento di queste dimensioni e profondità non avrebbe potuto essere scritto durante il fine settimana tra quell'attacco e il momento in cui l'EO è stato rilasciato. La sua portata è semplicemente molto più ampia rispetto all'attacco ransomware al centro del problema Colonial Pipeline.
L'ordine esecutivo 14028 è 18 pagine, ma non è solo la lunghezza che è senza precedenti: l'ordine include 74 direttive. Quarantacinque di tali direttive hanno scadenze ben definite, molte delle quali sono legate al completamento di altre direttive. Aggiungete a tutto questo una pletora di acronimi e abbreviazioni comuni al mondo della sicurezza informatica e il risultato è un documento che richiederà mesi agli esperti di sicurezza informatica per essere decifrato completamente, e capire tutte le sue conseguenze. Il nuovo ordine richiama ripetutamente la Tecnologia Operativa (OT), che nel mondo del controllo di processo coesiste con la Tecnologia dell’Informazione (IT), sia nell'introduzione all'EO che nella scheda FACT2 che costituisce una Appendice dell'EO. Tuttavia, sposta l'attenzione su un termine più generale, Software Critico, enunciando l'elenco dei requisiti e delle direttive che saranno obbligatori per tutto il software venduto al governo degli Stati Uniti. E questo avrà un impatto sia nel mondo OT che nel mondo IT, tra loro legati e fortemente interdipendenti.
Cosa si intende esattamente per software critico? In questo momento non c’è certezza nella definizione. Tuttavia, dopo il recente incidente della Colonial Pipeline, è lecito ritenere che il software OT sia incluso in questa categoria. Tuttavia, una risposta definitiva non è lontana: il direttore del CISA (Cybersecurity and Infrastructure Security Agency) ha il compito di fornire un elenco delle categorie di software che soddisfano la definizione di software critico, entro 45 giorni dalla data di pubblicazione dell’EO. Per adesso, l’EO si limita a formulare “The security and integrity of “critical software” — software that performs functions critical to trust (such as affording or requiring elevated system privileges or direct access to networking and computing resources) — is a particular concern”.
Le aziende della “Supply Chain” interessate da questo ordine esecutivo non hanno molto tempo per capire come esso avrà un impatto su di loro. Devono capirlo il più presto possibile, in modo da poter implementare un piano per soddisfare i nuovi requisiti. Ciò è particolarmente vero per le aziende che forniscono il suddetto software critico al governo degli Stati Uniti.
La sicurezza della catena di fornitura (supply chain) del software è probabilmente l'obiettivo principale di questo EO. Quasi un terzo delle dichiarazioni di policy del documento si trovano nella sezione Enhancing Software Supply Chain Security. Questa non è una sorpresa dopo che l'attacco di SolarWinds a Dicembre 2020 si è infiltrato in tutti i rami dell'esercito americano, il Pentagono, il Dipartimento di Stato, l'Agenzia per la sicurezza nazionale, la Casa Bianca e molti altri obiettivi significativi.
I fornitori di prodotti ICS/OT, ma anche IT, al governo degli Stati Uniti (o più semplicemente i fornitori di un'azienda che rifornisce il governo) hanno un bel lavoro da fare per adeguarsi. Ci sono precise scadenze per le varie direttive della catena di fornitura, alcune delle quali hanno un impatto sui fornitori di software che nessun'altra legislazione informatica degli Stati Uniti ha mai avuto. Si estenderà anche ben oltre gli Stati Uniti, in particolare il Medio Oriente, dove le compagnie petrolifere sovrane stanno cercando di duplicare questi requisiti per la loro catena di fornitura del software OT. Anche se la tua azienda non vende direttamente al governo degli Stati Uniti, aspettati di sentire gli effetti di questo EO nei prossimi anni.

Sandro Bologna

(Newletter AIIC n. 06 (2021))