Il blackout cyber non è più fantascienza, ma una minaccia concreta che tiene svegli i responsabili della sicurezza nazionale di tutto il mondo. Immaginate una metropoli che improvvisamente precipita nell’oscurità. Non per un guasto tecnico, non per un fulmine che ha colpito una centrale elettrica, ma perché qualcuno, dall’altra parte del globo, ha deciso di spegnere gli interruttori digitali che alimentano la vita moderna. Questo scenario inquietante è diventato realtà in diverse occasioni negli ultimi anni, dimostrando quanto siano vulnerabili le infrastrutture critiche su cui si regge la nostra società interconnessa.
Quando il codice informatico spegne le centrali elettriche
Le infrastrutture che garantiscono elettricità, trasporti e comunicazioni funzionano oggi attraverso sistemi di controllo industriale profondamente digitalizzati. Reti elettriche, metropolitane, aeroporti e reti telefoniche dipendono da tecnologie SCADA e sistemi ICS che, pur essendo stati progettati decenni fa per operare in ambienti isolati, sono progressivamente migrati verso architetture connesse a internet. Questa evoluzione, nata per migliorare l’efficienza operativa e ridurre i costi di manutenzione, ha spalancato le porte a potenziali aggressori capaci di trasformare vulnerabilità software in disastri nel mondo fisico.
Il caso più emblematico di questo nuovo tipo di guerra ibrida si è verificato il 23 dicembre 2015, quando hacker riconducibili alla Russia hanno attaccato la rete elettrica ucraina, lasciando al buio circa 225.000 persone per diverse ore. Gli attaccanti utilizzarono il malware BlackEnergy3 come vettore iniziale di compromissione, infiltrandosi nei sistemi di tre compagnie elettriche regionali attraverso email di phishing mirate. Ma ciò che rese quell’attacco particolarmente sofisticato fu la fase finale: operatori umani presero il controllo manuale dei sistemi, disattivando interruttori, cancellando file di sistema e persino sabotando i centralini telefonici per impedire ai tecnici di comunicare durante l’emergenza, come documentato dall’analisi approfondita del SANS Institute.
Un anno dopo, il 17 dicembre 2016, gli stessi avversari tornarono alla carica con un’arma ancora più pericolosa. Il malware Industroyer, scoperto e analizzato dai ricercatori di sicurezza di ESET nel 2017, rappresentava un salto qualitativo inquietante: per la prima volta, un software era stato specificamente progettato per manipolare i protocolli di comunicazione industriale utilizzati nelle centrali elettriche europee. Questo malware poteva spegnere interruttori automatici e disabilitare protezioni di sicurezza senza bisogno dell’intervento umano, aprendo scenari di attacchi scalabili e automatizzati contro le power grid di intere nazioni.
L’attacco che fermò il carburante americano
Gli attacchi cyber alle infrastrutture critiche non colpiscono solo le reti elettriche. Il 7 maggio 2021, il più grande oleodotto degli Stati Uniti si è fermato a causa di un ransomware. L’attacco alla Colonial Pipeline, attribuito dall’FBI al gruppo criminale DarkSide, ha costretto l’azienda a chiudere preventivamente l’infrastruttura che, secondo i dati della stessa Colonial Pipeline, trasporta circa il 45% di tutto il carburante consumato sulla costa orientale americana. Benzina, diesel e carburante per jet hanno smesso di fluire per giorni, scatenando acquisti di panico, code chilometriche alle stazioni di servizio e aumenti vertiginosi dei prezzi.
Sebbene gli attaccanti avessero compromesso principalmente i sistemi IT aziendali piuttosto che i controlli operativi dell’oleodotto, la dirigenza di Colonial Pipeline decise prudenzialmente di interrompere tutte le operazioni, temendo che il malware potesse essersi propagato anche ai sistemi di controllo industriale. Questa decisione mise in luce una verità scomoda: in un’infrastruttura critica moderna, il confine tra sistemi informatici amministrativi e sistemi di controllo fisico è molto più sfumato di quanto vorremmo credere. Un attacco che inizia come un banale ransomware può rapidamente trasformarsi in una minaccia per la sicurezza nazionale.
L’effetto domino delle infrastrutture interconnesse
Ciò che rende il blackout cyber particolarmente devastante è il fenomeno del cascading failure, il collasso a cascata dei servizi interconnessi. Le società industrializzate funzionano come ecosistemi complessi dove ogni settore dipende dagli altri in una rete di interdipendenze spesso invisibili. Un’interruzione prolungata della rete elettrica paralizza immediatamente le telecomunicazioni, poiché le torri cellulari e i data center necessitano di alimentazione continua. I generatori di emergenza possono garantire autonomia per ore, forse giorni, ma poi anche le comunicazioni collassano.
Senza elettricità e comunicazioni, i sistemi di trasporto entrano rapidamente in crisi. Semafori spenti, metropolitane ferme, sistemi di controllo del traffico aereo che operano con protocolli di emergenza. Gli ospedali, pur dotati di generatori, faticano a operare normalmente quando le forniture iniziano a scarseggiare e il personale non può raggiungere le strutture. I sistemi di pompaggio dell’acqua si fermano, i supermercati non possono conservare alimenti deperibili, gli sportelli automatici diventano inutilizzabili e il contante residuo nelle case diventa l’unica forma di scambio possibile.
Il World Economic Forum, nel suo Global Risks Report 2024, classifica gli attacchi cyber alle infrastrutture critiche tra i rischi più significativi per la stabilità economica e sociale globale. Le conseguenze economiche sarebbero devastanti: studi della National Academies of Sciences stimano che un blackout elettrico su vasta scala potrebbe costare all’economia statunitense tra i 20 e i 75 miliardi di dollari al giorno, a seconda dell’estensione geografica e della durata. Ma il costo umano potrebbe essere ancora più drammatico: persone dipendenti da dispositivi medici elettrici, impossibilità di riscaldamento o raffreddamento in condizioni climatiche estreme, progressiva erosione dell’ordine pubblico man mano che le scorte si esauriscono.
Gli stati-nazione dietro le tastiere
A differenza dei criminali informatici comuni, motivati principalmente dal profitto attraverso ransomware ed estorsioni, gli attaccanti sponsorizzati da stati-nazione perseguono obiettivi strategici e geopolitici di lungo periodo. Le agenzie di intelligence occidentali hanno ripetutamente identificato Russia, Cina, Iran e Corea del Nord come i principali attori di questa categoria di minacce avanzate.
La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha documentato come gruppi di hacker russi, in particolare Sandworm (legato all’intelligence militare russa GRU), abbiano condotto operazioni di ricognizione e posizionamento all’interno delle reti elettriche americane. Questi attacchi non mirano necessariamente a causare danni immediati, ma piuttosto a stabilire una presenza persistente che potrebbe essere attivata in caso di escalation geopolitica, una sorta di “bomba a orologeria” digitale pronta a esplodere al momento opportuno.
La Cina ha sviluppato capacità sofisticate per penetrare nelle infrastrutture critiche occidentali, presumibilmente per scopi di intelligence e deterrenza strategica. Nel maggio 2023, l’operazione Volt Typhoon è stata scoperta da Microsoft Threat Intelligence e successivamente confermata da un’advisory congiunta di CISA, NSA e FBI. Gli attori cinesi sponsorizzati dallo stato avevano infiltrato sistemi di telecomunicazioni, energia e trasporti negli Stati Uniti e nei territori strategici di Guam, utilizzando tecniche di “living off the land” che sfruttavano strumenti legittimi del sistema operativo per evitare il rilevamento. Le modalità dell’attacco suggerivano preparativi per potenziali conflitti futuri, con l’obiettivo di poter interrompere infrastrutture critiche in caso di crisi internazionale.
La Corea del Nord, nonostante le sue limitate risorse economiche, ha dimostrato capacità cyber sorprendentemente avanzate. Gli attacchi del ransomware WannaCry, scatenati nel maggio 2017 e attribuiti dal governo britannico e dalle autorità statunitensi al gruppo Lazarus legato a Pyongyang, hanno colpito oltre 200.000 computer in circa 150 paesi secondo Europol. L’attacco causò miliardi di dollari di danni globali e interruppe gravemente i servizi del National Health Service britannico, costringendo alla cancellazione di oltre 19.000 appuntamenti medici, come documentato dal National Audit Office del Regno Unito.
Prepararsi all’impensabile: strategie di resilienza cyber
Di fronte a questa minaccia crescente e multiforme, cosa possono fare cittadini, aziende e istituzioni per aumentare la propria resilienza? La preparazione a un blackout cyber richiede un approccio stratificato che coinvolga tutti i livelli della società.
A livello individuale, gli esperti di gestione delle emergenze raccomandano di adottare misure simili a quelle previste per disastri naturali. La Federal Emergency Management Agency suggerisce di mantenere scorte d’emergenza che includano acqua potabile per almeno tre giorni (circa quattro litri per persona al giorno), cibo non deperibile, una torcia a manovella o a batterie solari, una radio portatile per ricevere informazioni dalle autorità, un kit di pronto soccorso ben fornito e contanti in piccolo taglio, poiché i sistemi di pagamento elettronico potrebbero rimanere inattivi per giorni. È fondamentale avere un piano di comunicazione familiare che non dipenda esclusivamente da cellulari e internet, stabilendo punti di ritrovo fisici e numeri di contatto di emergenza fuori dall’area geografica colpita.
Le aziende, specialmente quelle che gestiscono infrastrutture critiche, devono implementare strategie di resilienza cyber che vanno ben oltre la semplice protezione perimetrale con firewall. Il National Institute of Standards and Technology ha sviluppato il Cybersecurity Framework, ora giunto alla versione 2.0 nel 2024, che fornisce linee guida strutturate per identificare asset critici, proteggere sistemi, rilevare anomalie, rispondere rapidamente agli incidenti e recuperare le operazioni. Cruciale è l’adozione della segmentazione delle reti, che isola i sistemi critici di controllo industriale da quelli meno essenziali, limitando la propagazione laterale di eventuali compromissioni. Altrettanto importante è la pratica regolare di procedure di ripristino d’emergenza attraverso esercitazioni simulate che testino la capacità di risposta del personale in condizioni di stress.
A livello governativo, i paesi più avanzati stanno sviluppando dottrine di cyber-deterrenza e capacità di risposta rapida. L’Unione Europea, con la Direttiva NIS2 (EU 2022/2555) adottata il 14 dicembre 2022, ha rafforzato significativamente i requisiti di sicurezza per le infrastrutture critiche e migliorato la cooperazione tra stati membri, ampliando l’ambito di applicazione per includere settori precedentemente esclusi come la pubblica amministrazione e i servizi spaziali. Gli Stati Uniti hanno creato team di risposta rapida cyber-fisica che possono essere dispiegati per assistere operatori di infrastrutture critiche durante attacchi in corso, fornendo competenze tecniche avanzate e coordinamento interagenzia.
Verso un futuro più resiliente in un mondo interconnesso
La minaccia del blackout cyber non scomparirà, anzi si intensificherà con la crescente digitalizzazione di ogni aspetto della società moderna. Le smart grid del futuro, le città intelligenti integrate, l’Internet delle Cose che connette miliardi di dispositivi, i veicoli autonomi che comunicheranno tra loro sulle strade: ogni innovazione tecnologica espande la superficie di attacco potenziale. Tuttavia, la consapevolezza di questo rischio sta crescendo a livello globale, e con essa gli investimenti nella sicurezza delle infrastrutture critiche.
La cooperazione internazionale per contrastare gli attori malevoli sponsorizzati da stati-nazione si sta rafforzando, con alleanze come i Five Eyes che condividono intelligence sulle minacce emergenti. La cultura della resilienza sta gradualmente sostituendo l’illusione della sicurezza assoluta: piuttosto che cercare di prevenire ogni possibile attacco, le organizzazioni più mature accettano la possibilità di compromissioni riuscite e si concentrano sulla capacità di rilevare rapidamente le intrusioni, contenere i danni e ripristinare le operazioni nel minor tempo possibile.
La domanda non è se subiremo altri attacchi significativi alle infrastrutture critiche, ma quando, e se saremo pronti a rispondere con efficacia. La luce potrebbe spegnersi, le comunicazioni potrebbero interrompersi, i trasporti potrebbero fermarsi. Ma non dobbiamo rimanere al buio riguardo alle minacce che affrontiamo. La preparazione individuale, la resilienza aziendale e il coordinamento governativo rappresentano le nostre migliori difese in un’era in cui le frontiere tra guerra fisica e guerra digitale sono sempre più sfumate e un attacco informatico può avere conseguenze tangibili.
https://www.ictsecuritymagazine.com/notizie/blackout-cyber/