L’occasione della diffusione di questo worm mi sembrava troppo adatta per non approfittarne per ricominciare a scrivere sul blog. Il worm Stuxnet ha come bersaglio le reti SCADA, allo scopo di raccogliere informazioni dai relativi database. Questo vuole dire che può raccogliere informazioni su processi industriali, che per molte aziende rappresentano l’informazione più riservata ed importante.
Negli ultimi anni la sicurezza delle reti SCADA è un tema piuttosto di moda: si è discusso molto di come i sistemi SCADA siano stati man mano connessi alle reti locali delle aziende e di qui ad Internet, e di come i sistemi di controllo siano sostanzialmente i soliti Windows, spesso non aggiornati e con applicativi fortemente insicuri (il worm utilizza una password che è “hard-coded” nel codice dell’applicazione e che è nota da anni). La sicurezza di questi sistemi è stata spesso basata sull’isolamento fisico, e questo isolamento se n’è andato senza che la sicurezza venisse adeguata.
Il punto che mi interessa però è la raccolta di informazioni: abbiamo un worm che non ha lo scopo di raccogliere password da utilizzare in modo semplice e immediato: il worm raccoglie informazioni che vanno poi vendute a clienti interessati. Se qualche anno fa abbiamo avuto l’evidenza dell’incontro fra il mondo dell'”hacking” (in senso negativo) e quello delle frodi, adesso abbiamo l’evidenza dell’incontro con quello dello spionaggio industriale, e ci possiamo aspettare un’evoluzione altrettanto rapida e decisa di questo rapporto.
È utile allora vedere la cosa dal punto di vista dell’Europa, e dell’Italia in particolare. Da noi, le PMI sono una componente importante dell’economia, e com’è noto hanno “grosse difficoltà” con la sicurezza informatica, anche perché spesso non ne sentono la necessità. Se però lasciamo la prospettiva della singola PMI, e guardiamo il settore nel suo complesso, abbiamo un settore importante per la nostra economia, in cui risiede una parte importante del know-how con cui dovremmo competere nel mercato globale, che è particolarmente vulnerabile allo spionaggio industriale. Potremmo magari credere che quando una PMI abbia qualcosa di valore curi di più la propria sicurezza, ma per quanto ho visto, le cose non stanno così: primo, una PMI può non riconoscere il valore che le informazioni nei propri sistemi possono avere, o la presenza stessa delle informazioni (ad esempio nei sistemi SCADA). Secondo, sempre che si renda conto della presenza e vulnerabilità di quelle informazioni, è probabile che affronti il problema chiedendo semplicemente qualche protezione in più a chi si occupa della manutenzione ordinaria dei sistemi. Le competenze di queste figure sono le più varie, non hanno una relazione con il valore delle informazioni trattate in azienda, e l’imprenditore del resto non è in grado di valutarle. Terzo, se anche provano a cercare un supporto specialistico, avranno difficoltà a trovare un’offerta adeguata, sia per i costi, sia perché le piccole aziende sono un numero enorme rispetto all’offerta di specialisti, sia perché per questi ultimi può non essere facile affrontare le particolarità di aziende fuori dai contesti in cui operano abitualmente.
Il risultato è che rischiamo seriamente di portarci dietro uno svantaggio competitivo dato dalla maggiore facilità con cui, statisticamente, i paesi nostri concorrenti (ok, diciamo le loro aziende) potranno accedere al know-how delle nostre aziende. In questa prospettiva, è chiaro che non basta aspettare che le singole PMI si accorgano delle proprie esigenze di sicurezza e le affrontino, ma è necessario alzare il livello medio di sicurezza e soprattutto di consapevolezza dei rischi che, nei prossimi anni, saranno sempre più reali.
Infine, l’ultimo passaggio, quello più preoccupante: da un worm che permette di leggere una rete SCADA a un worm che permette di controllarla o manipolarla il passaggio è breve. Non dimentichiamo che le reti SCADA sono quelle che controllano non solo le fabbriche, ma anche le dighe, gli inceneritori, i semafori, i binari…
