Gli ultimi mesi hanno visto un clamore di voci che allertavano le aziende dell’aumento degli incidenti di sicurezza nel settore agroalimentare. In questo settore in rapido sviluppo, le aziende agricole stanno abbracciando il concetto di agricoltura di precisione, mentre gli stabilimenti alimentari utilizzano linee di lavorazione e produzione altamente automatizzate. Con così tante apparecchiature connesse, la sicurezza informatica è diventata una questione di fondamentale importanza per l’industria agroalimentare. Guardiamo indietro al 2021, un anno diverso da tutti gli altri per il settore agroalimentare.
Gli attacchi informatici all’industria agroalimentare sono una realtà da diversi anni .
Potremmo aver perso qualche segnale debole?
Soffocati dal rumore di fondo e dalla confusione della crisi sanitaria, i feedback e gli inviti alla cautela non hanno avuto la priorità che meritavano. E la necessità è davvero grande, visto l’utilizzo di molti strumenti collegati nel moderno settore agricolo. Gli agricoltori oggi utilizzano tecnologie come sensori igrometrici, beacon GPS e trattori intelligenti per controllare la produzione delle loro fattorie intelligenti con dati raccolti da strumenti diversi, proprio come farebbe qualsiasi altra azienda tecnologica. Ed è la stessa storia per i gruppi agroalimentari; le linee di produzione e lavorazione sono ora automatizzate e condividono i dati provenienti da tutto il mondo all’interno della stessa azienda. Una miriade di dispositivi; una serie di obiettivi per i criminali informatici. Ciò è ancora più vero per quanto riguarda le apparecchiature operative, che sono online ma troppo spesso non dichiarate e, soprattutto, non controllate. Benvenuti nel mondo di “Shadow OT”.
Nel luglio 2020, l’Agenzia per la sicurezza nazionale (NSA) e l’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) hanno pubblicato una raccomandazione per le industrie di vitale interesse (compresa l’industria agroalimentare) in merito alla ” necessità immediata di ridurre l’esposizione a strumenti di gestione remota ” che potrebbero avere un “ impatto molto serio sulle infrastrutture critiche ”. Questa raccomandazione si riferiva in particolare a tutte le apparecchiature operative (OE) di vecchia generazione, e in particolare ai sistemi ICS/SCADA, che sono i sistemi di monitoraggio più comunemente utilizzati negli impianti di trasformazione alimentare, e devono pertanto essere protetti. Nello stesso documento, NSA e CISA hanno anche elencato una serie di tattiche e procedure di attacco:
- utilizzo di tecniche di spear phishing per ottenere accessi illeciti alla tradizionale rete aziendale (IT) e quindi infiltrarsi nella rete di produzione aziendale (OT);
- connessione a PLC connessi a Internet senza previa autenticazione tramite porte e protocolli standard del settore;
- corruzione del meccanismo di aggiornamento dell’editore del software;
- il tutto con l’obiettivo di implementare malware (es. sotto forma di ransomware su entrambe le reti, in modo da paralizzare lo strumento di produzione crittografando i dati dell’azienda).
Questo documento è importante perché punta a un cambiamento nelle metodologie degli attaccanti, che ora sono più complesse delle semplici versioni casuali e preprogrammate . Il risultato: attacchi informatici più sofisticati, mirati e subdoli che hanno avuto un grave impatto sull’industria agroalimentare.
L’industria agroalimentare: un obiettivo prioritario per gli attacchi informatici nel 2021
Dal 2021 in poi le grandi aziende del settore sono state prese di mira dagli attacchi informatici. Rispettivamente a febbraio, aprile e maggio 2021, la società francese Lactalis, il produttore francese di champagne Laurent Perrier e la società americana Molson Coors – il secondo produttore di birra degli Stati Uniti – hanno annunciato di essere state vittime. Lo stesso mese ha visto un altro attacco informatico di particolare rilievo, contro il gruppo agroalimentare brasiliano JBS Foods. In termini numerici, il gruppo è il più grande produttore mondiale di carne bovina e di pollame, nonché il secondo produttore di carne suina. Il 30 maggio 2021, il team di sicurezza IT di JBS Foods ha scoperto che i server in Nord America e Australia erano stati presi di mira dai criminali informatici. Essendo caduto vittima di un attacco ransomware, con responsabilità rivendicata dal gruppo REvil, un riscatto di 11 milioni di dollari per riottenere l’accesso ai suoi dati. Si tratta di una cifra storica per un player del settore alimentare di queste dimensioni e di un episodio storico che dimostra che le aziende agroalimentari sono sensibili ai rischi informatici .
A settembre 2021, l’elenco delle vittime è cresciuto ulteriormente con la cooperativa di cereali New Cooperative, la 51a più grande negli Stati Uniti, che è stata colpita dal ransomware BlackMatter . Allo stesso tempo, il distributore francese di vini e liquori La Martiniquaise ha denunciato un attacco informatico relativo al furto di dati. E pochi giorni dopo, anche un’altra cooperativa americana, la Crystal Valley, ha annunciato di essere stata colpita da un ransomware utilizzando una metodologia simile all’attacco contro la New Cooperative. Poche settimane dopo, un duplice attacco in Francia ha preso di mira il gruppo agroalimentare bretone Jean Floc’h e il ristoratore parigino Dalloyau, entrambi attaccati dal ransomware Conti. E solo pochi giorni dopo, è stata la volta del gruppo agroalimentare francese Avril, a quanto pare a seguito di un attacco di phishing. L’azienda ha quindi interrotto immediatamente l’accesso di tutti i dipendenti alla posta elettronica e a tutti gli strumenti digitali. Infine, ancora una volta negli Stati Uniti, il gigante della conservazione degli alimenti refrigerati Americold ha annunciato di essere stato colpito da un attacco informatico nel novembre 2021.
Dato questo assalto, gli esperti britannici hanno pubblicamente espresso allarme per la vulnerabilità della filiera agroalimentare del Paese , che è autosufficiente solo per il 50% nella produzione alimentare e quindi dipendente dalle importazioni. Un attacco informatico mirato a un singolo anello della catena di approvvigionamento potrebbe quindi sconvolgere l’intero settore e avere conseguenze di vasta portata che potrebbero indurre a un appello a rimodellare la politica del Regno Unito in materia . E gli attacchi informatici contro l’industria agroalimentare probabilmente cambieranno nei mesi e negli anni a venire. L’obiettivo: i tanti strumenti connessi che l’agricoltura oggi utilizza sempre più, in comune con qualsiasi altra azienda tecnologica. Durante la conferenza DEFCON 29, un esperto di sicurezza informatica ha dimostrato la capacità di prendere il controllo a distanza di un trattore John Deere. Un atto di questo tipo è ancora semplicemente una dimostrazione a un evento, ma apre le porte a nuovi incidenti di sicurezza in futuro…
Ma per le aziende agroalimentari, che sono per natura attori critici e vitali, come è possibile rispondere a queste minacce informatiche? Parte della risposta risiede nella segmentazione della rete e nelle tecnologie IPS (Intrusion Prevention System) ed Endpoint Detection and Response (EDR), che fanno parte dei meccanismi di protezione della sicurezza informatica di diverse aziende agricole critiche. A sua volta, EDR identificherà comportamenti anomali o dannosi sui computer, come l’escalation dei privilegi o l’installazione di malware. E combinati con la segmentazione della rete e l’IPS, insieme forniranno una protezione efficace contro i tentativi di scoperta e movimento laterale.
Un’industria che affronta attacchi informatici… e il riscaldamento globale
Per quanto riguarda il potenziale di minaccia, occorre prestare particolare attenzione anche all’hacking di Kaseya RMM e SolarWinds, aprendo una nuova opportunità per i criminali informatici per distribuire in massa cariche virali direttamente a ciascuno dei clienti di queste aziende. Nel caso in cui l’acronimo RMM (per Remote Monitoring and Management) non suoni un campanello, il termine si riferisce a uno strumento per il monitoraggio e la gestione da remoto delle infrastrutture IT. Questi strumenti sono ora ampiamente utilizzati dalle società di servizi IT, offrendo flessibilità e semplicità nella gestione dell’infrastruttura e, soprattutto, sono riconosciuti come strumenti affidabili dalle soluzioni di sicurezza informatica. Il compromesso di questi due leader di mercato ha consentito ai criminali informatici di volare sotto il radar perché le azioni eseguite da queste soluzioni non sono sufficientemente esaminate dalle autorità di sicurezza informatica, a causa del loro stato di fiducia e della somiglianza tra le attività di “installazione” del malware e le loro attività abituali. Nel corso del 2021, diverse migliaia di aziende sono state colpite da questi attacchi alla catena di approvvigionamento di massa tramite campagne ransomware. Nel luglio 2021 in Svezia, gli 800 negozi di alimentari della catena Coop hanno subito danni collaterali a causa dell’incidente di Kaseya RMM. In tutto, non meno di 130 fornitori di servizi IT dell’azienda sono stati apparentemente colpiti dall’attacco informatico.
Sulla scia di tali attacchi informatici, sembrano possibili diverse conseguenze per il futuro del settore agroalimentare. La prima conseguenza che viene in mente è quella dell’ingerenza economica . Disattivando la produzione o la distribuzione di cibo, sarebbe possibile creare una carenza che porta a prezzi più elevati (e, in casi estremi, gravi carenze alimentari). E mentre questo scenario può sembrare uscito da un thriller, l’impatto del riscaldamento globale potrebbe (ulteriormente) amplificare le conseguenze di tali attacchi . Secondo le previsioni degli esperti della NASA e dell’IFAD (Fondo internazionale per lo sviluppo agricolo), possiamo aspettarci che i cambiamenti climatici influiranno su materie prime chiave come grano, mais e riso, con rese e produzione destinate a diminuire drasticamente entro il 2030.
L’improvvisa accelerazione degli attacchi informatici al settore agroalimentare negli ultimi mesi suggerisce, quindi, che una crisi sistemica è una possibilità. Come nel caso della salute, è fondamentale che le aziende agricole e agroalimentari (grandi e piccole) prendano coscienza del fenomeno e delle problematiche in gioco e ricevano supporto per migliorare la propria cybersecurity.
FONTE: https://www.stormshield.com/news/food-industry-and-cyberattacks-is-a-system-wide-shock-on-its-way/
