L’intelligenza artificiale e la visibilità della catena di fornitura sono fondamentali per mitigare le minacce alla sicurezza OT

May 30, 2024

ipopba - stock.adobe.com

Gli implacabili attacchi informatici contro le infrastrutture informative critiche (CII) come i servizi di pubblica utilità, i trasporti e l’industria manifatturiera non mostrano segni di diminuzione. Gli autori delle minacce e gli avversari hanno scoperto che la tecnologia operativa (OT) alla base di queste risorse critiche è vulnerabile alle minacce informatiche.

Hanno anche scoperto che un attacco riuscito può essere devastante per i cittadini di un paese e causare incertezza politica ed economica. L’attacco ransomware al Colonial Pipeline nel 2021 ha provocato la cancellazione di voli e l’impossibilità di milioni di americani di acquistare carburante per le proprie automobili. L’attacco contro la rete elettrica ucraina nel 2016 aveva lasciato senza elettricità 700.000 persone in pieno inverno.

Singapore non è immune da queste minacce. Essendo un Paese che dipende da tecnologie altamente connesse per mantenere le proprie capacità idriche, energetiche, di trasporto, petrolchimiche e manifatturiere, combinato con l’evoluzione del panorama delle minacce informatiche transfrontaliere, Singapore è vista come un potenziale bersaglio. La motivazione degli aggressori potrebbe essere politica, come nel caso degli attacchi alla rete elettrica ucraina, o puramente finanziaria, come nel caso dell’attacco al gasdotto coloniale, ma l’impatto può essere paralizzante se Singapore non è preparata.

La formazione dell’Operational Technology Cybersecurity Expert Panel (OTCEP) da parte del governo di Singapore rappresenta un significativo passo avanti. Sfruttando l’esperienza combinata di esperti del settore provenienti da tutto il mondo, Singapore ha sviluppato politiche e procedure di livello mondiale e ha condiviso tale esperienza con le parti interessate responsabili dei suoi sistemi critici.

L’attacco del 2020 a SolarWinds ha sottolineato le vulnerabilità nella catena di fornitura del software che potrebbero essere sfruttate dagli autori delle minacce. Ha rivelato quanto sia attraente per gli autori delle minacce attaccare un fornitore fidato per ottenere l’accesso ai loro obiettivi prefissati, in questo caso diverse agenzie militari e governative statunitensi.

In totale, gli aggressori hanno avuto accesso a oltre 18.000 sistemi aziendali e governativi delle principali società di telecomunicazioni, società elettriche e della maggior parte delle società Fortune 500 statunitensi. Fortunatamente, gli aggressori hanno scelto di sfruttare solo una piccola parte di queste teste di ponte: le stime della Cybersecurity and Infrastructure Security Agency (CISA) statunitense dicono meno di 100, ma è stata comunque una giornata di lavoro ordinata dopo aver compromesso una singola società di software.

Dopo questo incidente di alto profilo, secondo Sonatype, gli attacchi alla catena di fornitura del software sono aumentati a un tasso allarmante del 742%. I governi degli Stati Uniti e dell’Europa hanno riconosciuto l’urgenza di questa minaccia, emanando rapidamente nuove leggi e direttive. Mi aspetto che altre regioni seguano l’esempio. Nessun paese è immune perché le catene di fornitura del software attraversano i confini e quindi la cooperazione è fondamentale.

Mi è stato chiesto cosa mi preoccupa di più, il ransomware o gli attacchi alla catena di fornitura. Di solito rispondo “il combo” perché non si escludono a vicenda. Il ransomware è il carico utile; la catena di fornitura è il vettore di attacco. Gli aggressori stanno iniziando a “mescolare e abbinare” le loro strategie, come abbiamo visto nell’attacco Kaseya del 2021.

Kaseya, che produce software utilizzato da molti fornitori di servizi di sicurezza gestiti, è stato il veicolo involontario per la distribuzione di ransomware a oltre 800 piccole e medie imprese (PMI). Fortunatamente, la maggior parte delle PMI non utilizza sistemi OT, ma l’efficacia di un attacco ibrido non è certo sfuggita agli autori delle minacce e agli avversari di Singapore.

Garantire la sicurezza della catena di fornitura del software è oggi un aspetto critico della strategia aziendale complessiva, soprattutto per le aziende dei settori CII. La trasparenza lungo tutta la catena di fornitura del software e la consapevolezza di tutto il software integrato di terze parti possono aiutare a salvare vite umane e proteggere i processi e le apparecchiature critici su cui fa affidamento la società.

Con l’emergere di tecnologie dirompenti, è fondamentale che gli operatori e i fornitori dei sistemi OT siano pronti a innovare.

Consideriamo il ruolo dell’intelligenza artificiale (AI) nella sicurezza informatica: sarà un eroe o un cattivo? I ricercatori hanno dimostrato come gli autori delle minacce possano trarre vantaggio dai sistemi di intelligenza artificiale generativa come ChatGPT per avvelenare la catena di fornitura del software. Sebbene gli sviluppatori possano rivolgersi all'intelligenza artificiale per consigliare pacchetti software nei repository comuni, i suggerimenti che ricevono spesso contengono "allucinazioni": pacchetti dal suono realistico che in realtà non esistono. Tutto ciò che un avversario deve fare è creare un pacchetto dannoso, dargli il nome dell'allucinazione e attendere che gli ignari sviluppatori lo includano nel software che creano.