La sicurezza delle infrastrutture energetiche statunitensi entra in una nuova fase di allerta. La CISA, in collaborazione con FBI, EPA e DOE, ha pubblicato un avviso congiunto che evidenzia un’ondata crescente di attacchi informatici “non sofisticati” diretti contro sistemi OT e ICS del settore petrolifero e del gas. L’elemento più preoccupante non è la complessità tecnica degli attacchi, ma la debolezza strutturale degli apparati esposti online, spesso privi di misure minime di protezione come credenziali robuste o segmentazione delle reti.
Queste campagne, sebbene basate su tecniche elementari come brute force, sfruttano l’ampia superficie d’attacco creata da dispositivi di controllo industriale accessibili da internet e configurati con impostazioni di default. La CISA sottolinea che, in presenza di scarsa igiene informatica, anche minacce banali possono produrre conseguenze fisiche, tra cui interruzioni operative, danneggiamenti hardware e alterazione dei parametri di controllo.
La preoccupazione non è teorica. In più occasioni, nel corso degli ultimi mesi, operatori malevoli hanno violato sistemi HMI esposti pubblicamente, compromettendo infrastrutture critiche dell’acqua e della logistica. L’analisi condivisa evidenzia una tendenza chiara: gli attaccanti non cercano più falle zero-day, ma bersagli configurati male e lasciati incustoditi in segmenti pubblici di rete.
La guida CISA: difendere le reti OT con misure semplici ma urgenti
Il documento tecnico pubblicato in contemporanea fornisce un insieme di mitigazioni prioritarie per ridurre l’esposizione al rischio cyber delle infrastrutture OT, incentrate sulla riduzione dell’attacco superficiale e sul recupero operativo in caso di incidente.
Il primo elemento di protezione riguarda l’eliminazione delle connessioni OT dirette a internet. I dispositivi di controllo industriale, progettati per ambienti isolati, risultano vulnerabili per natura quando esposti. Molti non dispongono di meccanismi di autenticazione resistenti, e vengono facilmente rilevati tramite motori di scansione come Shodan. La loro visibilità online costituisce oggi una minaccia sistemica.
In secondo luogo, viene raccomandato il cambio immediato delle password di default, la creazione di credenziali forti e uniche e l’adozione di autenticazione a più fattori resistente al phishing, soprattutto per le sessioni di accesso remoto. In molti casi, l’accesso iniziale è stato ottenuto proprio grazie alla presenza di credenziali deboli o standard non modificate.
Fondamentale anche la segmentazione delle reti IT e OT, con la creazione di zone demilitarizzate che riducano la possibilità di propagazione dell’attacco. Il concetto di separazione logica tra ambienti di controllo e reti amministrative diventa essenziale per contenere gli impatti e limitare i movimenti laterali degli attori ostili.
La guida enfatizza infine l’importanza della capacità di operare manualmente, anche in contesti ad alta automazione. Le organizzazioni devono essere in grado di disconnettere i sistemi compromessi, ripristinare backup locali e riavviare i processi essenziali senza ricorrere alla rete. Questo richiede test periodici, formazione specifica e l’integrazione di meccanismi fail-safe all’interno delle architetture OT.
Interazione con partner terzi e produttori: la sicurezza non è un esercizio solitario
La CISA incoraggia le organizzazioni a mantenere un dialogo attivo con fornitori, system integrator e gestori di servizi esterni, poiché una quota rilevante delle vulnerabilità deriva da configurazioni errate introdotte da terzi o da impostazioni predefinite nei prodotti.
La gestione proattiva della sicurezza non può essere limitata agli asset interni. Ogni punto della catena, ogni firmware installato, ogni configurazione remota rappresenta un possibile vettore di attacco, e va valutato non solo in termini tecnici ma anche contrattuali e procedurali.
La capacità di recupero post-attacco e la resilienza di lungo periodo dipendono da una governance trasversale che unisca competenze OT, IT e legali, superando le divisioni funzionali ancora presenti in molte organizzazioni industriali.
