Hackathon del Cyber-Defence Campus sulla scienza forense nei sistemi energetici
Dall’11 al 14 settembre 2023, il Cyber-Defence Campus, settore di competenza Scienza e tecnologia di armasuisse, ha organizzato insieme alla Scuola universitaria di Lucerna (HSLU) un hackathon sul tema del rilevamento delle intrusioni nei sistemi energetici. Quest’anno, inoltre, nell’ambito del progetto pilota «Cyber Training», sono stati proposti cicli di corsi di formazione dedicati, in particolare per gli specialisti delle imprese di approvvigionamento energetico.
Il prof. dott. Sebastian Obermeier, Scuola universitaria di Lucerna, e Andrea Thäler, settore specialistico Cybersicurezza e Data Science, settore di competenza armasuisse Scienza e tecnologia
L’hackathon ha riunito oltre 35 esperti ed esperte di sicurezza informatica provenienti dal mondo accademico, dal settore privato e dall’amministrazione. Gli obiettivi consistevano nel promuovere la condivisione delle conoscenze in seno alla comunità per la sicurezza informatica, identificare i punti deboli dei sistemi di controllo industriale e sviluppare contromisure efficaci.
Dall’11 al 14 settembre 2023, a Thun si è svolto l’hackathon sui sistemi di controllo industriale (ICS) condotto dal Cyber-Defence Campus insieme alla Scuola universitaria di Lucerna. Gli oltre 35 partecipanti includevano ricercatori del CYD Campus e dell’esercito svizzero, collaboratori e collaboratrici di aziende di approvvigionamento energetico come EWS AG Schwyz, soldati del battaglione ciber 42, studenti di diverse scuole universitarie, esperti ed esperte del settore privato, di OMICRON electronics GmbH, Nozomi Networks, FFS, Hitachi Energy e ALSEC Cyber Security Consulting.
L’hackathon si è dedicato al tema della scienza forense e del rilevamento di intrusioni in infrastrutture critiche come, ad esempio, nei sistemi energetici, esaminando attentamente il seguente caso: un sistema di rilevamento delle intrusioni ha riconosciuto determinati indicatori di un possibile attacco informatico; tuttavia, non è riuscito a confermare con assoluta certezza l’attacco imminente.
In situazioni come queste è indispensabile esaminare il sistema in profondità. La domanda è se si tratti veramente di un’intrusione che richiede una risposta immediata o se potrebbe semplicemente trattarsi di un falso allarme. Ed è proprio qui che entra in gioco il nuovo approccio forense testato con l’hackathon. Questo approccio si scosta dai classici approcci forensi in quanto rivolge la propria attenzione sul sistema in esame e dimostra che il sistema è pulito oppure che è necessario accertare un’intrusione. Nella scienza forense classica, svolge un ruolo di primo piano l’assicurazione delle prove, mentre qui, invece, è la disponibilità a essere importante. Il nuovo approccio tiene in debita considerazione anche le peculiarità del sistema di controllo e le elevate esigenze di disponibilità della rete elettrica svizzera poiché, da un lato, i sistemi devono rimanere disponibili e, dall’altro, il sistema è altamente standardizzato.
Svolgimento dell’hackathon
Per organizzare l’hackathon dal punto di vista pratico sono stati utilizzati due laboratori. Da un lato, la centrale ad accumulazione con impianto di pompaggio del Cyber-Defence Campus con diversi bacini d’acqua collegati tra loro attraverso sistemi di condutture e pompe e controllati da un sistema di controllo industriale. La centrale ad accumulazione con impianto di pompaggio svolge diverse funzioni di misurazione dell’altezza idrometrica o di azionamento delle valvole e della pompa per la produzione di energia elettrica. Dall’altro, è stato utilizzato il cosiddetto «Krinflab» della Scuola universitaria di Lucerna che rappresenta una sottostazione svizzera fittizia con una centrale e sei sottostazioni e utilizza dispositivi che trovano impiego anche nella realtà.
Per introdurre il concetto di procedura forense, all’inizio dell’hackathon si è tenuto un corso sulla cibersicurezza sul tema «Digital Forensics» guidato dal dott. Hannes Spichiger e dal prof. dott. Sebastian Obermeier, entrambi della Scuola universitaria di Lucerna (HSLU). Durante questo corso, i partecipanti hanno acquisito conoscenze mirate per poi applicarle direttamente in esercizi pratici. Allo stesso tempo, tutti i partecipanti hanno potuto lavorare in modo indipendente e condurre esperimenti anche nei laboratori esistenti.
Risultati dei test
Di seguito sono riportati i risultati tecnici ottenuti.
Identificazione delle vulnerabilità nell’hardware
I partecipanti hanno esaminato l’hardware del Krinflab riuscendo a rivelarne i punti deboli come, ad esempio, firmware non protetti sulle cosiddette schede Compact Flash o punti di accesso al dispositivo non protetti. Queste scoperte sono di grandissima importanza, perché rappresentano potenziali vie di accesso per gli attacchi informatici. Ai fini di una divulgazione responsabile, i produttori di questi dispositivi sono stati immediatamente informati delle vulnerabilità riscontrate.
Conferma dell’applicabilità degli approcci forensi
Un altro risultato ottenuto è stata la conferma dell’applicabilità degli approcci forensi per i sistemi energetici. Ciò consente di condurre indagini più accurate sugli incidenti di sicurezza e rappresenta un passo cruciale verso una ciberdifesa più efficace. Al contempo, però, sono state scoperte anche limitazioni che saranno fonte di ispirazione per la ricerca e lo sviluppo futuri.
Follow-up
Il Cyber-Defence Campus e la HSLU analizzeranno i risultati dell’hackathon e li renderanno accessibili al vasto pubblico sotto forma di pubblicazioni in un secondo momento.
Il progetto «Cyber Training» è stato chiamato in vita da Viola Amherd nell’ambito della Strategia Ciber in risposta al continuo cambiamento dei requisiti necessari e alla crescente complessità della sicurezza informatica a livello nazionale. Il suo obiettivo è quello di offrire esercitazioni tecniche e strategiche alle autorità con infrastrutture critiche di importanza nazionale e alle scuole universitarie. I contenuti dei formati di esercitazione interdisciplinari previsti si concentrano sull’ottimizzazione dei meccanismi e dei processi decisionali di applicazione generale per far fronte agli attacchi informatici.
