La sicurezza informatica nel settore dell’avionica

A cura di Raoul Chiesa

1. SCENARIO

Fornitori di hardware e software per il mercato Aero*, vendono piattaforme, applicazioni e sistemi che, in genere, sono estremamente insicuri, dal punto di vista della sicurezza delle informazioni, della cybersecurity, della privacy. Per essere più gentili, potremmo dire che almeno gli aspetti della sicurezza delle informazioni non sono in cima alla loro lista. Gli operatori dell’industria dei trasporti non hanno (ancora una volta: tipicamente, ma con alcune aspettative difficili da trovare e molto rare) una visione corretta e una comprensione sufficiente delle nuove sfide legate alla sicurezza ICT.

2. In generale, il grafico seguente mostra la cosiddetta Esposizione a minacce sconosciute in base al “contesto puntuale” di diversi settori industriali, tra i quali possiamo trovare anche quello dell’Avionica.

Il problema chiave

Molto tempo fa, intorno al 2005, sono stato ingaggiato, insieme al mio team tecnico di Cybersecurity, da un aeroporto internazionale europeo. L’obiettivo era quello di eseguire un “test di penetrazione” (simulando un vero attacco informatico) contro l’intera infrastruttura ICT dell’aeroporto.

Stavo parlando con i tecnici del cliente e in qualche modo mi hanno aperto gli occhi.

Il tipo mi ha detto: “Noi siamo solo l’Internet Service Provider (ISP) dell’aeroporto. Noi (ri)vendiamo “servizi”, come il “trasporto dati”: pensate a SITA, ai POS dei negozi Duty Free, alle interconnessioni con le forze dell’ordine (Dogana, Immigrazione, ecc.), e così via. Anche “cose semplici” come il “Free Wifi” che si trova in tutti gli aeroporti del mondo!

3. Hacker e sicurezza degli aerei

Nonostante la fiducia nelle industrie aeronautiche e avioniche, la comunità degli hacker etici ha “scoperto” la mancanza di sicurezza informatica in queste industrie molto tempo fa!

Tra il 2006 e il 2014 molti hacker etici e ricercatori di sicurezza, come Hugo Teso (Germania), Renderman (Canada), Ruben Santamarta (Spagna) e il sottoscritto (Italia), solo per citarne alcuni, hanno iniziato a “dare la caccia” alle vulnerabilità in questo specifico settore industriale.

Presentazioni pubbliche come “Hackers + Airplanes: no good can come of this” portano titoli che si spiegano da soli!

4. Caso di studio: Errori nelle RFQ di Penetration Test

Molto spesso, quando abbiamo avuto a che fare con clienti dell’industria avionica per progetti di Penetration Test, abbiamo riscontrato molteplici errori nelle Richieste di Offerta:

  • Le aree ICT chiave (asset dell’infrastruttura di rete) da testare mancavano nello Scope of Work (ToE: Target of Evaluation).
  • I clienti non chiedevano una metodologia specifica e standard a livello mondiale da utilizzare nei Penetration Test.
  • Non c’è sufficiente conoscenza dei problemi di sicurezza ICT.
  • Mentalità sbagliata e mancanza di consapevolezza della Cybersecurity e della contestualizzazione dei Cyberattacchi.
  • Mancanza di budget: la maggior parte dei clienti diceva “Vogliamo testare tutto”, mentre il budget a disposizione consentiva solo un “piccolo” test.
  • 100% concentrato solo su ISO/IEC: tutti noi conosciamo le ISO/IEC (27001, 27005, ecc. ecc.: c’è una ISO per ogni settore!). La conformità a una ISO/IEC consente all’azienda di essere “etichettata”con un timbro ufficiale dell’ISO, aiutando le Procedure, le Politiche, il Ruolo delle Risorse Umane, ecc.... D’altra parte, quando si tratta di ISO/ IEC relative alla sicurezza delle informazioni, tali conformità non rappresentano una reale sicurezza ICT: una valutazione di sicurezza ISO/IEC è solo una valutazione teorica (interviste, documenti, procedure, ecc.), non un test di sicurezza sul campo.

La maggior parte degli errori sopra descritti sono dovuti a un approccio totalmente sbagliato alla sicurezza delle informazioni: il cosiddetto “paradigma CIA”.

CIA sta per i tre pilastri della sicurezza informatica.

Per essere “sicuro”, un sistema informatico deve conservare i dati (informazioni) che memorizza ed elabora tenendo conto di tre paradigmi:
- Riservatezza (R) dei dati;
- Integrità (I) dei dati;
- Disponibilità (D) dei dati.

Ora, si capisce subito come questo approccio non si adatti a diversi settori, come quello dell’avionica o quello dei servizi di pubblica utilità (elettricità, acqua, ecc.), solo per citarne uno meno complicato.

Infatti, quando si tratta di servizi di pubblica utilità troviamo un approccio opposto: AIC.

I dati (la vostra bolletta elettrica) devono essere prima di tutto Disponibili (D), poi come secondo Integro (I) e solo come ultima importanza e priorità, Riservati (R).

Il significato complessivo è che se non c’è una bolletta dell’elettricità, non c’è bisogno di occuparsi né della sua (I) né della sua (R).

Questo esempio tratto dalla vita reale spiega perché gli esperti di Cybersecurity si trovano spesso in difficoltà quando si occupano di questioni di sicurezza delle informazioni insieme a esperti di mercati diversi, come quello degli SCADA e dell’automazione industriale - e il settore dei trasporti rientra in questa categoria. Si tratta di mentalità diverse, guidate da priorità diverse.

Cosa potete fare VOI?

La cybersecurity nell’avionica è qualcosa di rilevante per tutti noi: operatori di mercato, utenti finali, responsabili politici, legali, manutentori, integratori e cittadini.

Durante l’ultimo WAS 2023 in Svizzera (Winter Avionics Summit, Vivey, marzo 2023), e grazie alla lungimiranza di Gina Whitehead Girona che ha creato il WAS, io e la mia collega Serena Giugno abbiamo tenuto una conferenza della durata di 3 ore”.

È stato molto utile per tutti i partecipanti, provenienti da diversi ambienti del settore avionico: hanno imparato cosa può accadere, perché, ma soprattutto cosa può fare l’azienda violata in modo proattivo, per evitare che tali incidenti si verifichino.

Ecco perché di seguito fornisco a tutti i lettori di questa rivista una panoramica di alto livello delle azioni chiave da eseguire all’interno della vostra organizzazione.

a) Consapevolezza della sicurezza

“Non c’è rimedio alla stupidità umana”: una frase molto forte che riprende uno dei problemi principali quando si tratta di Cybersecurity... il fattore umano, chiamato anche “l’anello più debole della catena”.

Ci sarà sempre un utente, un dipendente, un consulente, chiunque... che cliccherà su un link dannoso, piuttosto che inserirà una chiave USB nel posto sbagliato, e così via.

Per “rimediare” a questo problema ed evitare tali minacce, è necessario sensibilizzare l’organizzazione alla sicurezza informatica.

Ciò avviene in diversi modi, come ad esempio sensibilizzazione a distanza o in loco da parte di esperti di sicurezza informatica, videoclip e materiale intranet (come le diapositive) in modo che i dipendenti siano costretti a guardarli, e la politica di sicurezza informatica dell’azienda, che fa rispettare le linee guida di “buona condotta”.

b) OSINT - Open Source Intelligence

Indipendentemente dal settore, ogni organizzazione dovrebbe avere installato e “pronto all’uso” una piattaforma OSINT, piuttosto che un fornitore esterno di OSINT, per essere informata in tempo reale su ogni informazione pubblica relativa al proprio settore, ai propri fornitori e alla catena di fornitura (come richiesto dal regolamento europeo GDPR), ecc.

c) Dark Web e Deep Web

Proprio come per l’OSINT, lo stesso approccio logico dovrebbe essere eseguito su tutti i dati appartenenti alla vostra organizzazione che sono già stati “rubati” e possono essere trovati “in vendita” sul Dark Web e sul Deep Web.

Nel corso del mio workshop abbiamo controllato molte aziende (domini, siti web, indirizzi e-mail), lasciando tutti i delegati a bocca aperta.

Anche in questo caso, un’organizzazione può acquistare una soluzione di terze parti e utilizzarla in proprio, anziché affidare il lavoro a società esterne di consulenza in materia di Cybersecurity, allertando così l’organizzazione quando viene scoperto qualcosa di “cattivo, illegale e pericoloso”.

d) Valutazioni di sicurezza

Una valutazione di (Cyber)Security è molto simile al nostro check-up personale, quello che ognuno di noi (dovrebbe) fare regolarmente ogni anno: un giorno di Day-Hospital con tutti gli esami medici, le analisi, ecc.

La stessa cosa accade alla vostra organizzazione, quando si esegue una serie di “controlli” sulla vostra “Postura di Cybersecurity”.

Questo può essere effettuato con due diversi “livelli” di profondità, ottenendo così un risultato molto più dettagliato: un Vulnerability Assessment o un Penetration Test.

Il mio consiglio è di optare per un Penetration Test: questo replicherà le azioni esatte di diversi aggressori (“hacker”, “attori della criminalità informatica”, “attacchi sponsorizzati da uno Stato”, “terroristi informatici”, ecc.).

Caso di studio: Aeroporti e Penetration Test

Per far capire ai lettori non tecnici i benefici e i risultati di un rapporto di Penetration Test, ecco un piccolo “allegato” a questo articolo.

Era il 2005 e, come ho scritto all’inizio, ero stato ingaggiato per conto di una delle mie società di Cybersecurity da un aeroporto internazionale europeo. Abbiamo eseguito sia “attacchi IT e ICT”, sia “attacchi di intrusione fisica”, sia “attacchi di ingegneria sociale”.

Di seguito pubblico alcune evidenze (sanificate) del rapporto, con la speranza che questo possa aiutare altre aziende che gestiscono i servizi aeroportuali in altri paesi del mondo.