Il 7 maggio di quest’anno, in America del Nord, l’oleodotto Colonial, che trasporta petrolio per 5.500 Km dal Sud all’Est degli Stati Uniti, è stato colpito da un attacco informatico di grande scala contro l’infrastruttura di fornitura del petrolio. I criminali informatici del gruppo DarkSide sono riusciti ad accedere ai sistemi dell’azienda usando il ransomware con cui hanno rubato e bloccato 100 GB di dati.
Questo incidente ha avuto svariate conseguenze: la prima e la più diretta è stata la chiusura temporanea forzata dell’oleodotto fino al ripristino dei sistemi IT. Questa interruzione del servizio ha causato carenze di carburante che hanno danneggiato le aziende di trasporti e persino l’Aeroporto Internazionale di Charlotte-Douglas nella Carolina del Nord.
In secondo luogo, ha avuto un impatto più profondo che ha portato a una risposta diretta della Casa Bianca: il Presidente degli Stati Uniti ha dovuto affrontare in prima persona l’incidente dichiarando lo Stato di emergenza nell’area colpita. Inoltre, ha fornito un elemento a favore del suo recente “Executive Order on Improving the Nation’s Cybersecurity”.
Quando a maggio è stato emesso l’ordine esecutivo, abbiamo spiegato in un articolo che, nonostante si occupi di svariate aree della sicurezza informatica, l’adozione di un approccio Zero-Trust e dell’autenticazione a più fattori sono due aspetti che hanno acquisito un’importanza fondamentale. E, soprattutto l’ultima ha rivestito un ruolo particolarmente rilevante nell’attacco informatico a Colonial.
VPN non sicura
Le indagini forensi suggeriscono che il vettore di ingresso usato dal gruppo DarkSide per introdurre il malware sia stata la rete VPN di Colonial. Occorre notare che, durante la pandemia, a causa dell’aumento nell’utilizzo da parte degli utenti che lavorano da casa, le VPN sono diventate un obiettivo più frequente per gli hacker.
Gli analisti ritengono che i criminali siano riusciti ad accedere tramite password fuoriuscite in precedenza e pubblicate sul dark web e che per accedere potrebbe essere stata sufficiente una sola delle password fuoriuscite, poiché nessuna delle VPN era dotata di sistemi di autenticazione a più fattori. Questo doppio controllo (tramite un dispositivo mobile o altri metodi) avrebbe ridotto notevolmente le possibilità che una password ancora attiva, come quelle fuoriuscite, potesse essere usata da una persona esterna all’azienda.
D’altro canto, nonostante gli hacker siano riusciti ad accedere ai sistemi IT per introdurre il ransomware, gli analisti non hanno trovato prove che dimostrassero che siano riusciti a raggiungere i sistemi OT che controllano direttamente gli impianti industriali. Tuttavia, ciò non riduce la gravità dell’incidente, poiché, nonostante non fossero l’obiettivo dei criminali, le operazioni sono state comunque colpite.
Autenticazione a più fattori: essenziale per le infrastrutture critiche
Colonial non è l’unica organizzazione con infrastrutture critiche ad aver subito un attacco informatico su larga scala quest’anno, come spiegato in questo articolo sulle chiavette USB come vettore di minacce, ma questo è stato l’incidente che ha avuto le ripercussioni più gravi. Inoltre, ha evidenziato i difetti in termini di sicurezza informatica che affliggono il settore in aree come il controllo delle autorizzazioni di accesso.
MSP e team IT devono pertanto implementare una policy rigorosa sulle password di accesso nelle infrastrutture critiche, che deve coprire tutti i sistemi e includere una procedura di autenticazione a più fattori sicura per tutte. Per i team non è facile gestire tutte le autorizzazioni, le password e le autenticazioni per un grande numero di dipendenti che usano metodi o soluzioni software tradizionali.
WatchGuard AuthPoint elimina tutte queste difficoltà poiché può essere gestito con facilità da WatchGuard Cloud. La sua interfaccia consente di avere una panoramica degli accessi ai sistemi e di gestire ruoli e autorizzazioni per ogni dipendente in maniera molto semplice. Inoltre, offre diverse tipologie sicure di autenticazione a più fattori: dall’app per dispositivi mobili protetta dall’esclusivo sistema Mobile DNA ai token hardware. In aggiunta, si adatta alle esigenze specifiche di ogni organizzazione, aiutando a evitare situazioni gravi come quelle in cui si è trovata Colonial.