Jamie Collier è un membro associato presso il Royal United Services Institute e un consulente senior di intelligence sulle minacce presso Mandiant. Jamie MacColl è ricercatore in minacce informatiche e sicurezza informatica presso il Royal United Services Institute.
La recente fuga del gasdotto Nord Stream ha dimostrato la vulnerabilità delle infrastrutture energetiche europee. Tuttavia, oltre a tali minacce fisiche, il Continente deve anche prepararsi alla prospettiva di un aumento degli attacchi informatici questo inverno.
Queste potenziali minacce informatiche alle forniture di energia porteranno a un sacco di sventure man mano che ci avviciniamo ai mesi più freddi, ma ora è il momento di prepararsi, non di farsi prendere dal panico. E allo stesso modo i governi europei ei fornitori di energia dovrebbero concentrarsi sull’opportunità di pianificare i possibili pericoli che ci attendono.
Quindi, che tipo di minacce informatiche potrebbe affrontare il Continente quando le temperature scendono?
I fornitori di energia europei sono un obiettivo ovvio per i gruppi sponsorizzati dallo stato russo, poiché le operazioni informatiche offrono la possibilità di esercitare pressioni sui paesi che partecipano a sanzioni contro la Russia o stanno attualmente riducendo la loro dipendenza dall’energia russa. Come ogni altra misura al di sotto della soglia del conflitto armato, anche tali operazioni informatiche sono attraenti, poiché sono dipinte con una patina di negabilità. E dal punto di vista del Cremlino, minare la fiducia del pubblico sarà importante tanto quanto qualsiasi interruzione fisica o tecnica causata.
Le operazioni aggressive della Russia hanno già regolarmente spinto i confini di ciò che è considerato “comportamento accettabile” nel cyberspazio. Ad esempio, gli attacchi informatici russi contro gli operatori elettrici ucraini nel 2015 e nel 2016 hanno causato interruzioni di corrente nel pieno dell’inverno. E dall’inizio dell’invasione è stato rilevato anche malware distruttivo aggiuntivo con la capacità di chiudere le operazioni, sabotare i processi industriali e disabilitare i controller di sicurezza per causare distruzione fisica.
Al di là di tali operazioni distruttive, è probabile che le agenzie di intelligence russe e le loro società di copertura associate diffondano false narrazioni anche attraverso operazioni di informazione. Queste campagne cercano di capitalizzare le tensioni interne, suscitando allarmi e divisioni. In questo senso, le preoccupazioni per le forniture energetiche europee e la stretta sul costo della vita potrebbero essere alimentate per imporre maggiore pressione sui governi europei che cercano di svezzarsi dall’energia russa.
Ulteriori minacce possono provenire anche dai criminali informatici, molti dei quali operano con tacita approvazione, e persino incoraggiamento, dallo stato russo. I criminali informatici potrebbero essere principalmente motivati dal punto di vista finanziario, ma le agenzie di sicurezza e intelligence di Five Eyes hanno avvertito che molti operatori di ransomware russi hanno promesso sostegno al governo. E questi gruppi hanno una comprovata esperienza nel prendere di mira settori e servizi chiave, come dimostrato dal loro obiettivo spietato nei confronti dei fornitori di assistenza sanitaria negli Stati Uniti e in Europa durante la pandemia, il che rende il settore energetico un obiettivo ovvio nei prossimi mesi.
Una delle preoccupazioni principali in questo caso sarà l’interruzione dei processi fisici, come sensori di energia, terminali del gas, generatori e reti elettriche. A febbraio, ad esempio, un attacco ransomware ha colpito le operazioni in diversi importanti terminal portuali petroliferi in Belgio, Germania e Paesi Bassi: un incidente simile che ha colpito i terminal del gas durante i mesi invernali potrebbe causare interruzioni significative. E mentre possiamo essere incoraggiati dal fatto che vengono sempre più messe in atto misure di salvaguardia manuali per ridurre al minimo l’impatto degli attacchi informatici, il settore energetico rimane vulnerabile.
Tali minacce sono gravi e richiederanno una risposta proattiva nei prossimi mesi per evitare qualsiasi interruzione. Tuttavia, non dovremmo essere paralizzati dalla paura, poiché abbiamo l’agenzia per affrontare queste sfide frontalmente.
Per prima cosa, la NATO ha già avvertito che “qualsiasi attacco deliberato contro le infrastrutture critiche degli alleati sarebbe accolto con una risposta unita e determinata”.
Sebbene tali avvertimenti siano ben accetti, vi è ancora sufficiente ambiguità riguardo alla potenziale risposta della NATO a un attacco informatico effettuato per mettere in imbarazzo il Cremlino. Inoltre, finora, le restrizioni normative e basate sulla deterrenza hanno avuto un impatto limitato sugli operatori di ransomware, come dimostrato dal targeting spietato delle infrastrutture critiche negli ultimi anni.
Tali risposte politiche devono, pertanto, essere combinate con un’attenzione incessante sulla costruzione della resilienza operativa. Piuttosto che cercare di prevenire gli attacchi, i fornitori di energia europei devono anche essere in grado di riprendersi rapidamente, se dovessero accadere.
A questo proposito, i leader europei e gli operatori energetici dovrebbero prendere ispirazione dall’esperienza ucraina. Oltre a incolpare semplicemente la Russia, gli sforzi a lungo termine dell’Ucraina per costruire la resilienza informatica aiutano a spiegare la mancanza di attività informatica altamente distruttiva dall’inizio dell’invasione. I difensori informatici del paese e i partner del settore privato lo hanno dimostrato chiaramente a marzo e aprile, quando hanno sventato i tentativi russi di causare un blackout tramite un attacco informatico che avrebbe colpito 2 milioni di persone.
L’apparente efficacia della resilienza informatica dell’Ucraina dimostra due lezioni per la comunità transatlantica questo inverno:
In primo luogo, dobbiamo coltivare partnership operative profonde e significative tra governo e industria. I responsabili politici spesso tengono a parole la necessità di condivisione di informazioni e partenariati pubblico-privato nella sicurezza informatica. Ma piuttosto che limitarsi a impegni ad alto livello di semplice collaborazione, ora è il momento di costruire relazioni di lavoro molto più profonde tra i membri della NATO, i fornitori di sicurezza informatica e gli operatori energetici europei. Ciò significa impegnarsi a fondo con le realtà operative dei difensori della rete.
Costruire la resilienza deve anche andare oltre la semplice protezione delle reti del settore energetico: lo sviluppo di soluzioni sarà altrettanto importante. Molte delle operazioni informatiche rivolte al settore energetico cercheranno in ultima analisi di innervosire la società europea e minare il sostegno all’Ucraina, e di fronte agli attacchi informatici e alle campagne di disinformazione i cittadini europei devono rimanere uniti.
Se sottoscriviamo una narrazione di paura, stiamo facendo il lavoro del Cremlino per questo. Invece, è ora di pianificare e affrontare direttamente le minacce informatiche invernali in Europa.
.