«Contro i nostri porti attacchi hacker finanziati dalla criminalità organizzata»

Parla Pierguido Iezzi (ceo e fondatore di Swascan), dopo l'ultima ricerca sulla Blue Economy: «Vengono fatti per manipolare manifesti di carico o facilitare l'ingresso di merci illegali all'interno del nostro Paese». Nel 2011 Porto di Antwerp fu colpito da attacchi cibernetici con cui gli hacker controllarono il movimento e la posizione dei container per nascondere droga nei cargo. Ora l'85% delle aziende italiane analizzate da Swascan hanno e-mail compromesseLo speciale contiene due articoliPierguido Iezzi (ceo e fondatore di Swascan), ex ufficiale di carriera presso l'Accademia Militare di Modena, laureato in Scienze dell'Informazione, con oltre 30 anni di esperienza nel mondo della Cyber Security, ha alle spalle un'ampia gamma di attività operative relative a Tecnologia, Innovazione, Cyber Security e gestione aziendale. La vostra ricerca sulla Blue Economy ha permesso di scoprire le falle cibernetiche di un settore strategico. Come siete arrivati a scegliere proprio il trasporto marittimo? «La pandemia che abbiamo vissuto ha evidenziato e messo in luce l'importanza vitale e strategica della logistica, e in particolar il valore del settore marittimo. Un' economia che rappresenta il fulcro del commercio internazionale, con il 90% delle merci che viaggia per mare. Trasporti marittimi e logistica valgono da soli circa il 12% del Pil mondiale con un impatto totale sull'economia del nostro Paese che supera i 35 miliardi di euro, oltre 400mila occupati diretti e una infrastruttura essenziale con i suoi 48 porti».Un asset strategico per la competitività dell'Italia, player mondiale nel commercio estero; la scelta, possiamo dire, è stata quindi abbastanza semplice e naturale. «I Cyber Risk Indicators di Swascan, nascono proprio per dare un punto di vista dall'alto della cyber security di tutti i settori strategici delle infrastrutture critiche».È un settore molto complesso: quali sono i tanti obiettivi interessati da possibili attacchi? «Il settore marittimo, fatto di trasporto commerciale di passeggeri, porti, logistica, cantieristica e diporto, è certamente complesso e questa complessità lo rende interessante per l'applicazione dei Threat Actors. Nell'era della digitalizzazione, il dato la fa da padrone e rappresenta la vera nuova valuta. In questo caso il bottino è evidenziato dalla massa di dati ed informazioni sensibili che il settore genera; un vero tesoro per i Criminal Hacker che prendono di mira Database e sistemi, sia per il valore intrinseco dell'informazione, sia per essere utilizzati in nuovi attacchi. Una attenzione particolare va alla logistica, ovvero il trasporto di merci, che è strategica e fondamentale per tutto il Sistema Paese. In questo caso potrebbero entrare in gioco anche interessi più alti, in un nuovo quadro geopolitico a base di attacchi tra Stati e di azioni di spionaggio industriale».Lo stesso sistema portuale si presta a questo tipo di attacchi«Attacchi di hacking contro queste strutture potrebbero essere direttamente foraggiati dalla criminalità organizzata, anche per manipolare manifesti di carico o facilitare l'ingresso di merci illegali all'interno del nostro Paese. Infine, a questi cyber risk e threat actors possiamo aggiungere i rischi legati al cyber terrorismo. Il tutto a contorno del rischio, ormai commodity, degli attacchi ransomware».C'è stata reticenza da parte delle aziende a condividere con voi questi dati? «In realtà tutti i dati contenuti nella ricerca fanno riferimento a informazioni disponibili pubblicamente e semi-pubblicamente. Ogni asset pubblicato su Internet è costantemente vittima di attacchi informatici. Questi dati vengono spesso pubblicati e condivisi nelle community del Web, Dark Web e Deep Web». Nessuna domanda diretta quindi«Non abbiamo richiesto informazioni alle aziende e non abbiamo condotto azioni "attive" sugli asset delle imprese del campione di analisi. Abbiamo sviluppato un'analisi di Domain Threat Intelligence (Dti) mediante la Cyber Security Platform di Swascan, che ricerca le informazioni relative alle potenziali vulnerabilità dei domini, sottodomini ed email compromesse. Il servizio non effettua alcun test sul target ma raccoglie, analizza e clusterizza le informazioni disponibili a livello Osint (Open Source Intelligence) e Closint (Close Source Intelligence) presenti su database, forum, chat, newsgroup. Informazioni disponibili e accessibili a chiunque e di conseguenza esso mostra, attraverso la metrica di Swascan, il profilo del rischio e valuta il livello della potenziale esposizione di un'azienda verso un possibile attacco. Il nostro report ha evidenziato che su un campione di 20 aziende del settore, tratte dalle 100 più importanti per fatturato in Italia, 11 hanno vulnerabilità di diversa severità e il vettore di attacco principale, per phishing, malware e ransomware, sono le email aziendali che nell'85% dei casi sono compromesse in numero variabile».Quale è secondo lei il settore più vulnerabile nell'industria non solo italiana ma anche mondiale? «Non possiamo parlare di settori vulnerabili ma di settori più colpiti dai cyber attack. In questo caso ci sono due grandi criteri con cui cercare di rispondere alla sua domanda; il primo, esogeno, è rappresentato dai mercati economici maggiormente strategici per i Paesi, ossia energia, trasporti, sanità, finanza.Per esempio? «La cronaca recente ha portato all'attenzione una serie di clamorosi attacchi cyber subiti nel mondo e in particolare negli Usa, da questo tipo di attori (a titolo di esempio, il caso SolarWinds che ha compromesso più di 35mila sistemi di aziende pubbliche e private del governo americano e il caso Colonial Pipeline che ha interrotto la fornitura di petrolio in alcune regioni degli Usa, andando ad interferire con il prezzo dello stesso). Il secondo, endogeno, è legato alle aziende, alla loro maturità digitale, alla loro capacità di innovazione, ai gap tecnologici, alla cultura e agli investimenti in sicurezza. Parliamo quindi di strutture aziendali in cui i sistemi obsoleti e la scarsa awareness dei dipendenti rappresentano un target semplice e facile per qualsiasi Criminal Hacker. In ultimo, come già accennato, non va dimenticato che ci sono tipologie di aziende il cui valore del dato è un elemento prioritario per la scelta degli Hacker. L'interesse è legato al puro valore economico dell'informazione. Quanto vale quel tipo di informazione nel Dark Web? Si opera sul principio domanda/offerta. Durante il covid abbiamo visto un'impennata di attacchi scagliati contro ospedali e altre strutture sanitarie, sia per il valore dei dati, sia per ottenere lucrativi riscatti attraverso ransomware, bloccando per alcuni giorni anche l'attività operativa degli ospedali».Come si può migliorare una situazione che andando avanti con il tempo sarà sempre più avanzata e complessa, anche grazie alla tecnologia 5G? «L'innovazione e la transizione digitale, che stiamo vivendo, hanno già creato contesti iper-connessi ed interconnessi a cui dobbiamo affiancare un numero sempre crescente di dispositivi IoT e IoX esposti; un flusso entropico di dati sempre più ricco. Dati che sono di estremo interesse per i Criminal Hacker. Questo contesto comporta un aumento delle superfici di attacco, e di conseguenza maggiori opportunità per i criminali di identificare dispositivi non gestiti, obsoleti, non configurati correttamente oppure in maniera più semplice credenziali di accesso semplici o coppie di username/password compromesse. Ecco che in questa situazione dobbiamo renderci conto che le sole soluzioni tecnologiche di cybersecurity non possono garantire la tutela aziendale e la business Continuity».Cosa fare?«È necessario disporre anche e soprattutto di competenze e processi. Il tutto strutturato in un framework cyber aziendale che garantisca innanzitutto la sicurezza preventiva: attività di Threat Intelligence che permettano alle aziende di identificare in anticipo i possibili rischi diretti e/o indiretti. Per sicurezza preventiva parliamo delle attività di analisi del rischio non solo a livello tecnologico ma anche di processo e soprattutto a livello di Human Risk. Il fattore umano è uno degli elementi chiave». Poi?«Quindi la sicurezza proattiva, la capacità di intercettare, identificare, bloccare e rispondere agli attacchi informatici diretti all'azienda. Il livello di investimento necessario in cybersecurity deve essere ovviamente coerente e sostenibile in base alla dimensione aziendale e al rischio del mercato di riferimento. Insomma, occorre un framework di cyber security capace di essere dinamico, flessibile e multiforme in base all'evoluzione continua del contesto e delle minacce».<div class="rebellt-item col1" id="rebelltitem1" data-id="1" data-reload-ads="false" data-is-image="False" data-href="https://www.laverita.info/negli-ultimi-anni-quasi-triplicati-gli-attacchi-hacker-nel-settore-marittimo-2653590706.html?rebelltitem=1#rebelltitem1" data-basename="negli-ultimi-anni-triplicati-gli-attacchi-hacker-nel-settore-marittimo" data-post-id="2653590706" data-published-at="1625060327" data-use-pagination="False"> Negli ultimi anni triplicati gli attacchi hacker nel settore marittimo L'industria marittima è diventata uno dei bersagli preferiti degli hacker. Lo dicono i dati degli ultimi anni, ma lo spiega nel dettaglio il cyber risk indicators, un servizio offerto dalla società italiana Swascan, che misura e determina il rischio cyber di un settore specifico. Swascan è una cyber security company nata nel 2016 da Raoul Chiesa e Pierguido Iezzi . È la prima azienda di cyber security italiana proprietaria di una piattaforma di cyber security testing e di un centro di cyber security research.Per questa ricerca sulla cosiddetta blue economy ha analizzato le prime 20 aziende italiane per fatturato o dimensione effettuando attività di «Domain Threat Intelligence (Dti)», cioè estraendo le informazioni sulle potenziali vulnerabilità tecnologiche note e suddividendole in base al rischio: basso, medio e alto. La Domain Threat Intelligence ricerca le informazioni pubbliche e semipubbliche relative alle vulnerabilità del dominio, sottodomini ed email compromesse. Il servizio non effettua alcun test sul target. Opera unicamente sulle informazioni disponibili sul web, Darkweb e deepweb. Raccoglie, analizza e clusterizza le informazioni disponibili a livello Osint (Open Source Intelligence) e Closint (Close Source Intelligence) presenti su database, forum, chat, newsgroup. Sono passati appena 10 anni dal primo attacco informatico nel settore, quando il Porto di Antwerp fu colpito da attacchi cibernetici con cui gli hacker controllarono il movimento e la posizione dei container. Questo permise ai trafficanti di droga di nascondere grosse quantità di stupefacenti tra i cargo e farla franca.La ricerca di Swascan ha riscontrato che - delle 20 aziende del settore marittimo analizzate - 9 non hanno vulnerabilità mentre le altre 11 hanno una vulnerabilità differente. Delle potenziali vulnerabilità vengono inoltre indicati gli impatti potenziali in termini di confidenzialità, integrità e disponibilità e, tramite il Social Engineering Risk Indicator, viene valutato il numero medio di e-mail compromesse: il 15% delle aziende non hanno e-mail compromesse mentre l'85% delle aziende in oggetto hanno e-mail compromesse, in numero variabile. I messaggi di posta elettronica violati fanno riferimento a mail aziendali che i dipendenti hanno usato per registrarsi a siti/servizi terzi. Si tratta spesso di siti che hanno subito nel corso degli anni buchi informatici rendendo le relative credenziali disponibili a livello pubblico e semipubblico. Si calcola che negli ultimi gli attacchi informatici ai sistemi di tecnologia operativa (Ot) dell'industria marittima siano aumentati del 900% negli ultimi tre anni.Nel 2017 se ne contavano 50, 120 nel 2018, sono diventati 310 nell'ultimo anno. Basti pensare che nemmeno due settimane fa la compagnia nazionale sudcoreana di trasporto marittimo Hmm ha subito un attacco cibernetico, scoperto il 12 giugno 2021, che ha colpito maggiormente i server dedicati alle email della compagnia. E ancora L'Organizzazione Internazionale Marittima (Imo) è stato colpita da un attacco cibernetico, nell'ottobre 2020, che ha portato a un down del sito web e dei servizi informatici: è stato un sofisticato attacco cibernetico che ha superato le robuste misure di sicurezza. In Italia, a Genova, la Mediterranean Shipping Company, subito un attacco cibernetico all'inizio del 2020. Nel giugno dello stesso anno i sistemi OT del porto iraniano Shahid Rajee hanno subito un attacco informatico, limitando l'operatività del porto e creando un enorme back log. Nel 2019, un attacco ransomware ha colpito il Porto di San Diego criptando numerosi file. Alla fine è stato richiesto un riscatto in bitcoin.Il 25 giugno 2019, 14 organizzazioni marittime hanno inviato una lettera al U.S Coast Guard Commandant Karl Shultz asserendo il bisogno di sollevare la questione dello spoofing e jammning dei GPS e altri Global Navigation Satellite System. Nell'ottobre 2018, Austal (un cantiere australiano di ferry e navi per la difesa) ha subito un attacco cibernetico che ha fatto breccia nei sistemi di gestione dei dati aziendali. Gli hacker hanno messo in vendita alcuni dati sul dark web, tentando l'ennesima estorsione.