Il Cyber-Defence (CYD) Campus e il battaglione ciber 42 hanno organizzato a Thun, dal 19 al 23 settembre 2022, un hackathon sui sistemi di controllo industriale. Tra gli oltre 30 partecipanti erano presenti ricercatori del CYD Campus e dell’esercito svizzero, collaboratori e collaboratrici dell’NCSC e di Swissgrid, soldati del battaglione ciber 42, studenti della scuola universitaria professionale di Lucerna, del PF di Zurigo e dell’Università della Ruhr a Bochum (Germania), nonché esperti del settore privato, come ALSEC Cyber Security Consulting e Nozomi Networks. I partecipanti sono stati suddivisi in team interfunzionali, ciascuno con un preciso focus. Questo modo di lavorare ha permesso ai gruppi di condurre un’analisi mirata delle vulnerabilità e di esaminare diversi vettori di attaccoin modo intenso e coordinato. Con l’hackathon, il CYD Campus ha raggiunto tre obiettivi: in primo luogo ampliare le conoscenze del DDPS in questo importante settore; creare una rete di esperti provenienti dal mondo industriale, universitario e della pubblica amministrazione, e infine sostenere i giovani talenti che desiderano approfondire le loro competenze in questo settore.

Elevati rischi di sicurezza nei sistemi di controllo industriale

Il termine «hackathon» è un neologismo nato dalla combinazione delle parole «hacking» e «marathon» e indica un evento per lo sviluppo collaborativo di software e hardware. Gli hackathon trattano un tema specifico o tematiche legate alla tecnologia e mirano ad individuare soluzioni comuni per risolvere problemi precisi.

L’hackathon del CYD Campus di quest’anno era focalizzato sui sistemi di controllo industrial, sulle rispettive misure difensive, nonché sulle tecnologie operative (OT). I sistemi di controllo industriale (ICS) sono costituiti da hardware e software utilizzati per controllare, monitorare e gestire impianti, macchine e processi in ambienti industriali. Gli ICS sono una componente importante dell’OT e devono soddisfare precisi requisiti di sicurezza, affidabilità e disponibilità. Controllano i processi di produzione industriale e sono spesso presenti nelle infrastrutture critiche, ad esempio nell’approvvigionamento energetico e idrico, nell'estrazione di petrolio, gas e carbone o nei trasporti e nella gestione traffico. I sistemi di controllo sono spesso realizzati sotto forma di sistemi SCADA o sistemi di controllo distribuiti (DCS). Il focus di questo hackathon erano i sistemi di controllo industriale usati nella produzione e trasmissione dell’energia elettrica.

Ma perché questi sistemi di controllo industriale (ICS) sono un tema particolarmente adatto e rilevante per un hackathon nel settore della ciberdifesa? I motivi sono molteplici. Da un lato, sono presenti in molti sistemi critici per l’ approvvigionamento nazionale. La loro criticità rende questi sistemi molto interessanti per gli aggressori, esponendoli quindi a un rischio elevato. A differenza di un normale sistemainformatico, gli ICS controllano e monitorano le prestazioni dei processi fisici. Un attacco al sistema può quindi avere effetti fisici sull’ambiente, causando danni significativi. Ad esempio, un attacco informatico a una sottostazione può interrompere la fornitura di energia elettrica, con gravi conseguenze per il gestore della rete e i suoi clienti. La situazione in cui versa attualmente il mercato dell’elettricità può essere ulteriormente aggravata da un simile incidente. Inoltre, questi sistemi di controllo hanno una durata di vita molto lunga e vengono aggiornamenti raramente. In passatoquesti non erano collegati in rete, proprio per motivi di sicurezza. A causa della digitalizzazione e all’espansione dell’internet delle cose, anche questi sistemi più vecchi e difficili da aggiornare sono ora sempre più spesso collegati a diverse reti. Ed è proprio con il collegamento in rete e il connubio con i sistemi IT tradizionali che si moltiplicano i potenziali punti di attacco. Sistemi OT un tempo sicuri possono quindi diventare vittime di tentativi di spionaggio e sabotaggio.

I laboratori sono necessari per individuare le vulnerabilità

È più semplice cercare vulnerabilità e condurre dei test in sistemi informatici tradizionali, dato che solitamente queste attività non provocano danni.Questo non è possibile nei sistemi ICS perché sono più fragili, costosi e hanno un ciclo di vita molto più lungo. Tuttavia, per poter effettuare test e simulare attacchi, sono necessari laboratori specifici, che siano adatti anche per scopi di istruzione e formazione. Per questo motivo il Cyber-Defence Campus ha messo a disposizione due laboratori per l’hackathon, che simulano due diversi sistemi di controllo industriale. Ciò ha permesso ai partecipanti all’hackathon di identificare diversi attacchi contro questi sistemi di testarli in prima persona.

Il CYD Campus ha inoltre inaugurato un nuovo laboratorio ICS. Si tratta di una rappresentazione di una centrale idroelettrica di pompaggio-turbinaggio. Il sistema di controllo industriale gestisce funzioni quali la misurazione del livello dell’acqua o l’esercizio di valvole e pompe. I partecipanti sono riusciti, ad esempio, a manipolare il sensore che misura il livello dell’acquain modo da farla fuoriuscire  senza che il sistema rilevasse delle anomalie. Se un malintenzionato riuscisse ad accedere alla rete a cui sono connessi tali dispositivi ICS, potrebbe facilmente attaccarli. Il laboratorio sarà utilizzato per lo sviluppo dei talenti e per ulteriori ricerche nel settore della ciberdifesa dei sistemi ICS.

Il Krinflab è un laboratorio utilizzato per la ricerca e l’istruzione ed è stato messo a disposizione per l’hackathon dalla Scuola universitaria professionale di Lucerna. Questo laboratorio simula una piccola ditta di distribuzione di elettricità svizzera con un centro di controllo e sei sottostazioni. In questo caso esistono diversi vettori di attacco alla rete elettrica: i più comuni sono la connessione attraverso ilsistema IT aziendale o un accesso tramite i sistemi di manutenzione remota non adeguatamente protetti. Ma anche i computer usati per la manutenzione, i centri di controllo e i quadri elettrici, se compromessi, sono possibili punti di deboli. L’obiettivo del laboratorio è quello di consentire di esercitarsi sia dal punto di vista di chi attacca che di chi difende una simile infrastruttura. In questo modo è possibile sviluppare strategie di attacco e misure di prevenzione e difesa dalle minacce cibernetiche.

L’hackathon di quest’anno ha riscosso un grande successo. Partecipanti e organizzatori hanno apprezzato l’opportunità di approfondire assieme il per un’intera settimana in cui tutti hanno imparato molto, grazie anche alla possibilità di confrontarsi con altri esperti di diversi settori. La maggior parte dei partecipanti ha grandi conoscenze nell’ambito dell’informatica e ha quindi potuto ampliare le proprie conoscenze nel mondo della tecnologia operativa (OT).

Il Cyber-Defence Campus valuterà i risultati dell’hackathon ed esaminerà ulteriormente alcuni aspetti emersi. Inoltre, elaborerà le conclusioni ottenute in modo tale che possano essere utilizzate al meglio in seno al Dipartimento della difesa, della protezione della popolazione e dello sport. In un secondo momento, alcuni risultati saranno resi disponibili anche ad un più ampiopubblico.