L’80% ha subito un attacco su larga scala mentre il 25% è stato vittima di tentativi di estorsione
McAfee e il Center for Strategic and International Studies (CSIS) hanno reso noti i risultati di un report che riflette i costi e l’impatto degli attacchi cibernetici su infrastrutture critiche come reti elettriche, impianti petroliferi, idrici e gas. L’indagine condotta su 200 responsabili della sicurezza IT di aziende nel settore delle infrastrutture elettriche in 14 nazioni, ha rilevato che il 40% dei responsabili ritiene che la vulnerabilità del loro settore è aumentata. Circa il 30% ritiene che la propria azienda non sia preparata per un attacco cibernetico e oltre il 40% si aspetta un attacco cibernetico significativo entro il prossimo anno.
Il report “Minacce nell’ombra: le infrastrutture critiche affrontano gli attacchi cibernetici” è stato commissionato McAfee e realizzato dal CSIS. “Abbiamo rilevato che l’adozione di misure di sicurezza in settori civili fondamentali è rimasta molto indietro rispetto all’aumento delle minacce nel corso dell’ultimo anno”, ha affermato Stewart Baker, che ha condotto lo studio per il CSIS. I responsabili del settore hanno fatto progressi modesti nell’ultimo anno per quanto riguarda la protezione delle proprie reti, dal momento che il settore dell’energia ha incrementato l’adozione di tecnologie di sicurezza di un solo punto percentuale (51%), mentre per il settore petrolifero e gas è stato registrato un aumento di tre punti percentuali (48%).
Secondo Jim Woolsey, ex direttore dell’Intelligence Centrale degli Stati Uniti,“Il 90-95% delle persone che lavora sulle reti smart grid non si preoccupa della sicurezza e la considera solo come l’ultima casella da spuntare nel proprio elenco”.
Il report segue la prima edizione del 2010 denominata “Nel mirino: le infrastrutture critiche nell’era della guerra cibernetica” che ha aveva scoperto che molte delle infrastrutture critiche a livello mondiale non disponevano di protezione per le proprie reti di computer, rivelando anche il costo e l’impatto sconcertanti degli attacchi cibernetici su queste reti. Il nuovo studio rivela che mentre il livello delle minacce per queste infrastrutture è accelerato, altrettanto non è avvenuto per il livello delle reazioni, anche dopo che la maggioranza di coloro che ha risposto ha rilevato con frequenza malware creato per sabotare i sistemi (circa il 75%) della loro organizzazione, e quasi la metà degli intervistati nel settore dell’industria elettrica ha segnalato di aver individuate Stuxnet sui propri sistemi. Questa minaccia per le infrastrutture include anche le smart grid elettriche, la cui adozione si sta diffondendo e si prevede supereranno i 45 miliardi di dollari nella spesa globale nel 2015.
“Ciò che abbiamo appreso è che la smart grid ovvero la rete intelligente non è poi così intelligente“, ha affermato Phyllis Schneck, vice president e chief technology officer per l’intelligence nel settore pubblico di McAfee. “Lo scorso anno, abbiamo senza dubbio osservato una delle forme più sofisticate di malware in Stuxnet, che era stato specificamente progettato per sabotare i sistemi informatici delle infrastrutture critiche. Il fatto è che i sistemi delle infrastrutture critiche non sono studiati in ottica di sicurezza cibernetica, e le organizzazioni devono implementare controlli di rete più solidi per evitare di essere vulnerabili ad attacchi di questo tipo”.
DI seguito alcune delle principali scoperte del report di quest’anno:
• Gli attacchi cibernetici sono ancora diffusi: L’80% di coloro che hanno risposto ha affrontato un attacco DDoS (Distributed Denial of Service) mentre un quarto ha riportato attacchi DDoS quotidiani o settimanali e/o è caduto vittima di estorsioni attraverso attacchi di rete.
• I tentativi di estorsione sono stati più frequenti nei settori delle infrastrutture critiche: Un intervistato su quattro ha subito un’estorsione o è stato minacciato per mezzo di attacchi cibernetici. Il numero di aziende soggette a estorsioni è aumento del 25% nello scorso anno, e i casi di estorsione sono risultati essere egualmente distribuiti tra i diversi settori delle infrastrutture critiche. India e Messico hanno un tasso elevato di tentativi di estorsione; dal 60% all’80% dei manager intervistati in queste nazioni ha riportato tentativi di estorsione.
• Le organizzazioni non hanno adottato una sicurezza efficace: Le misure di sicurezza sofisticate applicate a utenti fuori sede sono la minoranza, con solo circa un quarto degli intervistati che implementano strumenti per monitorare l’attività di rete, e solo circa il 26% che utilizza strumenti per rilevare anomalie di ruolo.
• Le nazioni più consapevoli della sicurezza: Brasile, Francia e Messico sono in ritardo relativamente alle misure di sicurezza, adottando solo la metà delle misure di protezione implementate da nazioni come Cina, Italia e Giappone. Simultaneamente, Cina e Giappone sono risultate tra le nazioni con i livelli di fiducia più elevati nella capacità delle leggi attuali di prevenire o scoraggiare attacchi nelle loro nazioni.
• Stati Uniti ed Europa in ritardo rispetto all’Asia relativamente al coinvolgimento del governo: Coloro che hanno risposto in Cina e Giappone hanno riportato elevati livelli di interazione formale e informale con il proprio governo per quanto riguarda la sicurezza, mentre Stati Uniti, Spagna e Regno Unito hanno indicato contatti sporadici se non nulli.
• Le aziende hanno paura di attacchi da parte del governo: Oltre la metà di coloro che hanno risposto ha affermato di aver già subito attacchi da parte del governo.