Nel film Un colpo all’italiana (The Italian Job) un gruppo di rapinatori inglesi riesce a derubare un portavalori che viaggia con i ricavi della Fiat, per poi fuggire col bottino a bordo di tre Mini Cooper. La loro arma segreta è la manomissione di un complesso sistema di monitoraggio del traffico che paralizza la città di Torino. Era il 1969 e oggi ingorghi del genere non ci fanno alcuna paura: si scatenano per cause assai meno fantascientifiche e, anzi, purtroppo sono parte integrante della nostra normalità metropolitana. Un sabotaggio come quello cinematografico compiuto dai ladri impersonati da Micheal Caine e Benny Hill sarebbe possibile nel 2022? Che cosa colpirebbe? E con quali effetti?
Le risposte sono davanti ai nostri occhi quando attraversiamo le nostre città ormai connesse, le cosiddette smart city, tanto che ad aver rievocato quel vecchio film è stato di recente il direttore tecnico del National Cyber Security Center britannico (NCSC), Ian Levy. Lo ha fatto annunciando la pubblicazione della prima stesura dei Connected Places Cyber Security Principles, una guida per le autorità locali su come proteggere da attacchi cyber i trasporti, su cui si basa la vitalità degli agglomerati urbani. A luglio 2021 l’Unione Europea aveva già rilasciato il suo Transport Cybersecurity Toolkit, un documento di indirizzo per sensibilizzare gli stati membri a proposito delle minacce informatiche che potrebbero interrompere la circolazione di persone e merci, o mettere a rischio i dati personali ai cittadini. Esattamente quello che è successo in Italia poche settimane fa.
Un bollettino degli attacchi
Lo scorso 23 marzo in molte stazioni le biglietterie hanno smesso di funzionare e i tabelloni degli orari sono andati in tilt. A spegnerle era stata la Rete ferroviaria italiana (Rfi) per arginare l’azione di un cryptolocker, un virus che cifra i dati di un utente e chiede un riscatto per renderli di nuovo utilizzabili: 10 milioni di euro in bitcoin la somma pretesa da Hive, il gruppo criminale russo-bulgaro autore dell’attacco. Per quanto la notizia abbia fatto rumore, però, non si tratta di una novità.
Per numero di ransomware (la categoria di attacchi che bloccano un sistema e lo riabilitano in cambio di denaro, in cui rientra anche il recente episodio di Ferrovie dello Stato Italiane) l’Italia è il dodicesimo paese più colpito al mondo e il quarto in Europa, preceduto da Germania, Francia e Regno Unito. Se consideriamo invece la totalità dei malware, con gli oltre 62,3 milioni intercettati nel 2021 e quasi triplicati rispetto all’anno precedente, passiamo alla quarta posizione globale, dopo Stati Uniti, Giappone e India, e alla prima nel Vecchio Continente. Questi i numeri del rapporto annuale sulla cybersecurity di Trend Micro, multinazionale giapponese attiva in 65 paesi e da 30 anni leader nelle soluzioni di sicurezza in cloud, che solo nel 2020 ha bloccato più di 94 miliardi di minacce informatiche.
«Oggi il giro d’affari legato al cybercrime vale più del traffico di droga, se oltre ai soldi che intascano i criminali informatici si considerano anche i costi per ripristinare i sistemi danneggiati», afferma il responsabile di Trend Micro Italia Gastone Nencini, raggiunto da Infra Journal. «Le stime, tra l’altro, si basano soltanto sulle denunce, ovvero sugli attacchi di cui si ha notizia. Il regolamento europeo sul trattamento dei dati (Gdpr) impone la denuncia e l’informativa quando si verifica un cosiddetto data bridge, ovvero un furto di dati, ma non in tutti gli altri casi. In assenza di obblighi specifici, spesso aziende e istituzioni evitano di rendere noti gli hackeraggi a cui sono soggette per evitare danni di immagine».
Del resto sono sempre più frequenti, perché il cybercrime ha costruito una sorta di economia parallela. «Non c’è bisogno di essere un hacker per minacciare qualcuno - continua Nencini -. In rete esistono veri e propri listini per commissionare attacchi o comprare illegalmente informazioni sensibili. Sul cosiddetto dark web sono attivi gruppi di cyber criminali specializzati in ransomware, altri che vendono banche dati o accessi online degli utenti, altri ancora che possono compromettere sistemi di sorveglianza basati su fotocamere. C’è l’imbarazzo della scelta». Più della geopolitica o dell’attivismo come nel caso di Anonymus, spesso a fare da traino è proprio il denaro, che resta il movente principale. «Gli autori degli attacchi fanno sicuramente un bilancio costi-benefici e in base a questo decidono chi colpire», spiega Gastone Nencini.
Lo scenario nelle smart city
«Nel settore della mobilità, per esempio, possiamo immaginare che un attacco ai servizi di sharing mobility potrebbe essere piuttosto remunerativo: di fronte a un blocco delle app o al furto dei dati di tutti i clienti, difficilmente le aziende potrebbero sottrarsi al pagamento. Le auto, poi, saranno sempre più basate su tecnologie e un domani potrebbero addirittura “guidarsi” da sole. I progettisti hanno idea di quali rischi ciò comporterà?». Queste sono soltanto alcune delle condizioni che potrebbero rallentare o bloccare del tutto la vita di centinaia di migliaia di persone: oltre ai trasporti, praticamente tutto è oggi controllato da remoto tramite sensori connessi a internet. Spesso continuiamo ad associare scenari fantascientifici a questo termine, eppure nelle smart city ci viviamo già.
«La maggior parte delle nostre città oggi rientrano in questa categoria, basti pensare al controllo semaforico, ai contatori elettrici e del gas, o alla regolazione dei flussi idrici», dice Nencini. Ebbene tutto questo è potenzialmente a rischio. «In un contesto simile la domanda non è tanto quanto è vulnerabile un sistema rispetto a un altro, perché tutti lo sono: un sistema totalmente sicuro non esiste, bisogna vedere se è stato configurato per essere adeguatamente protetto. All’estero abbiamo visto bloccare le forniture d’acqua, spegnere l’illuminazione pubblica, mandare in tilt i semafori». E allora: stiamo tutelando i trasporti e le smart city? «Tendenzialmente si corre ai ripari. C’è ancora una scarsa consapevolezza, non da parte dei tecnici ma dei top manager. Spesso la sicurezza è vista come un costo invece che come una garanzia su asset fondamentali, che deve ormai essere parte integrante di ogni processo in un’ottica di prevenzione e non di cura. Il concetto chiave, che politiche più attive dovrebbero promuovere, è quello di security by design».
Più connessi, più vulnerabili
Questo approccio si basa sulla considerazione del rischio informatico a monte e anche la società di consulenza EY, per bocca dell’esperto della Cyber Compentency Samer Omar, lo ritiene «essenziale per prevenire gli attacchi e salvaguardare le città intelligenti», ovvero la vita di sempre più cittadini. «Si prevede che le città con oltre 10 milioni di abitanti – scrive Omar – aumenteranno dalle 33 esistenti nel 2018 a 43 nel 2030». Insieme ai residenti crescerà l’impiego di tecnologie sempre più avanzate e pervasive, «come intelligenza artificiale, biotecnologie, apprendimento automatico, informatica quantistica e 5G, per offrire servizi intelligenti alla popolazione. E questo non potrà che creare nuove vulnerabilità nell’ecosistema cittadino». La cosiddetta Internet of Things (IoT) potrebbe ritorcersi contro di noi o, meglio, essere indotta da qualcuno a farlo.
«Estrarre informazioni private. Monitorare segretamente attività riservate. Rendere indisponibile un servizio. Alterarne le impostazioni di funzionamento. Bloccarne l’utilizzo. Sono solo alcuni dei modi in cui il crimine informatico può sfruttare proprio i dispositivi IoT per compromettere le infrastrutture critiche di una smart city», spiega a Infra Journal Federica Maria Rita Livelli, membro del comitato direttivo dell’Associazione Nazionale dei Risk Manager (Anra). E il trasporto è un servizio vitale in qualunque metropoli. «Nuove minacce stanno emergendo. Di fatto, una rete interconnessa di trasporto basata su cloud, che include mezzi pubblici, auto connesse, sensori intelligenti e veicoli autonomi, è una realtà ormai diffusa. Il continuo aumento di attacchi in questo settore rende necessario che le amministrazioni urbane si avvalgano non solo di protocolli di sicurezza ma anche di personale esperto». Perché, avverte Livelli, seppur meno frequenti le offensive informatiche che non partono da nuclei criminali ma da stati possono essere ancor più massicce e dannose: fino a sfociare nella cosiddetta cyber war.
I trasporti nel mirino
«Gli attori interessati possono essere agenzie di intelligence e apparati militari, intenzionati a colpire un sistema di trasporto per causare un effetto distruttivo o anche per raggiungere un obiettivo di politica estera. Il rapporto 2022 della National Academy of Sciences di Washington cita tre attacchi informatici particolarmente eclatanti, rivolti ai sistemi di trasporto pubblico nordamericani e attribuiti, direttamente o meno, a Stati stranieri. Nel primo, ad aprile 2021, attori con sede in Cina hanno colpito la New York City Metropolitan Transportation Authority. Il secondo, partito dall’Iran, si è indirizzato a maggio 2020 contro il Dipartimento dei trasporti del Colorado. Nell’ultimo, era gennaio 2018, la Corea del Nord avrebbe hackerato il sistema suburbano di Toronto Metrolinx». Ma non bisogna necessariamente andare Oltreoceano. «Nel 2020 gli indirizzi email e i dettagli di viaggio di circa 10 mila persone che avevano utilizzato il Wi-Fi gratuito fornito nelle stazioni delle ferrovie del Regno Unito sono stati esposti online - ricorda Livelli -. L’Europa dovrebbe creare un sistema di sicurezza informatica comune anche nel settore del trasporto, promuovendo sempre più la cultura della gestione del rischio, della continuità operativa e della cybersecurity, oltre a garantire trasparenza, scambio di conoscenze e coordinamento».
Punti deboli
Uno studio del Center for Long-Term Cyber Security dell’università di Berkley, The Cybersecurity Risks of Smart City Technologies (2020), conferma che gli Stati-nazione e gli addetti ai lavori sarebbero più efficaci rispetto a cercatori a criminali, gruppi terroristici e cosiddetti ‘hacktivisti’. In particolare i 76 esperti intervistati «sono concordi nel ritenere che gli Stati abbiano forti motivazioni per attaccare le infrastrutture» e che le tre tecnologie più vulnerabili sono «allarmi di emergenza o di sicurezza, videosorveglianza stradale e semafori o segnali intelligenti». Ma se mandare in tilt il traffico automobilistico causa gravi disagi, fermare i treni può trasformarsi in un disastro. «Pensiamo soltanto che cosa significherebbe per il pendolarismo mattutino» commenta Amir Levintal, ceo e cofondatore di Cylus, azienda israeliana specializzata nella sicurezza informatica per il trasporto su rotaia fondata nel 2017.
«Non esiste una soluzione di sicurezza informatica valida per tutte le tecnologie nel settore dei trasporti: ognuna ha bisogno di una soluzione su misura - ci spiega Levintal -. Il settore ferroviario, per esempio, ha esigenze peculiari di cui un sistema di sicurezza informatica deve tenere conto. Per questo, di pari passo con la sua crescente digitalizzazione, è chiamato adottare misure significative. Le aziende stanno gradualmente attivando tecnologie di sicurezza informatica che forniscono una visione completa della loro infrastruttura di rete in ogni momento, in modo che possano rilevare in tempo le minacce. I treni, del resto, si basano su sistemi fail-safe, che danno priorità alla sicurezza rispetto alla funzione e alla disponibilità del servizio, al punto da interrompere le corse per ridurre al minimo i rischi».
Un attacco informatico potrebbe avere conseguenze significative come la perdita di fiducia da parte dei passeggeri, danni reputazionali e perdite economiche, a maggior ragione se pensiamo ai treni merci. «Essendo un anello fondamentale della catena di approvvigionamento diventano un potenziale un bersaglio e bloccarli può avere un impatto su un intero sistema-Paese - conclude -. Non dobbiamo mai dimenticare che la mobilità è fondamentale per la qualità della vita urbana ed essenziale per l’economia locale, perché consente alle persone di uscire per lavorare, fare acquisti e divertirsi: non permette di muoversi soltanto alle persone, ma anche ai capitali e, per estensione, all’economia stessa».