(di Andrea Pinto) Anche la gestione degli acquedotti con il passare degli anni è passata dai sistemi analogici a quelli digitali. Un modo innovativo per garantire il continuo controllo della purezza delle acque e risparmiare risorse per pagare i dipendenti che nel tempo hanno dovuto lasciare il loro impiego a favore di poche unità più specializzate con un livello di istruzione superiore. Risultati? Non ci sono stati più disagi sostanziali nell’erogazione delle forniture idriche e si è riusciti ad intervenire per tempo al minimo segnale di impurità della preziosa risorsa. Il Washington Post ha trattato l’argomento raccontando tuttavia una vulnerabilità degli acquedotti moderni.
All’inizio di febbraio qualcuno ha tentato di avvelenare l’approvvigionamento idrico nella città di Oldsmar, sulla costa del Golfo in Florida.
Secondo lo sceriffo della contea di Pinellas, un hacker è riuscito ad accedere da remoto alla rete dell’impianto di trattamento delle acque di Oldsmar aumentando la quantità di idrossido di sodio nell’acqua di 100 volte, abbastanza per causare la morte o causare gravi lesioni agli ignari cittadini.
Per fortuna un tecnico specializzato ha notato l’anomalia riuscendo a deviare l’hacker fuori dalla rete prima che realizzasse il suo attentato. Quello che è avvenuto dimostra che l’acquedotto moderno anche se oggi è più connesso che mai risulta tuttavia vulnerabile agli attacchi informatici.
Nelle centrali elettriche, negli acquedotti e in tutti i tipi di servizi pubblici, i computer si collegano a regolatori di processo per far girare le turbine, ruotare i bracci robotici o, in questo caso, aprire le valvole per rilasciare idrossido di sodio. Queste strutture strategiche nazionali per garantire la qualità dei loro prodotti finali devono però spesso abbandonare la rete interna per scambiare i dati e le analisi con enti esterni tramite la rete web commerciale.
I malintenzionati infatti ottengono l’accesso ai sistemi dell’infrastruttura critica quando i dispositivi aziendali vengono connessi alla rete internet commerciale o quando un amministratore di rete subisce una truffa informatica tramite attività di “spear phishing“.
Oldsmar non è stato il primo attacco informatico contro le infrastrutture idriche. Nell’aprile 2020 il National Cyber Directorate israeliano ha esortato tutte le società di trattamento delle acque a cambiare le loro password sui sistemi critici. Nel 2016, secondo un rapporto dell’unità di sicurezza di Verizon, gli hacker con legami con la Siria hanno ottenuto l’accesso a un servizio idrico in un paese sconosciuto e sono riusciti a “ostacolare il trattamento delle acque e le capacità di produzione“.
Quello che è successo all’acquedotto di Oldsmar comunque rassicura gli addetti ai lavori perchè è stato rapidamente identificata l’anomalia già nella fase iniziale dell’attacco. Gli esperti comunque rassicurano che la ridondanza dei sistemi avrebbe fatto emergere il tentativo malevolo prima dell’erogazione della fornitura.
L’operatore dell’impianto si è insospettito quando la freccia del suo mouse si muoveva da sola e apportava modifiche ai processi critici di trattamento dell’acqua. Ma cosa succede se l’operatore non ha il vantaggio di un aiuto visivo per osservare l’hacker in tempo reale? E se l’interfaccia uomo-macchina fosse stata manipolata dal malware per segnalare “tutto a posto” mentre gli hacker aumentavano la concentrazione di idrossido di sodio a livelli letali? La violazione sarebbe stata rilevata prima che qualcuno bevesse o si bagnasse con l’acqua corrosiva adulterata? I dirigenti dell’acquedotto hanno raccontato ai media: “Per fortuna ci sono i sensori per il rilevamento dell’acqua tossica durante le condutture generali. Questi sensori sono collegati in modo tale da comunicare e trasmettere continuamente dati e rilievi per consentire agli operatori della centrale di intraprendere azioni preventive.“
Questa volta possiamo dire che i malintenzionati non ci sono riusciti, l’importante è che non bisogna abbassare la guardia e prendere il caso dell’acquedotto di Odsmare come una lezione appresa per implementare i dispositivi di sicurezza a difesa delle nostre strutture critiche nazionali.