Non appena suona la sirena d’allarme, nel centro di controllo tutti sussultano. Tutti i telefoni si disattivano e le luci di emergenza lampeggiano. Il team si mette freneticamente alla ricerca dell’anomalia, mentre nella stanza accanto sgorga acqua calda da un contenitore sotto pressione. Ma come mai? Eppure i monitor di controllo dell’impianto indicano che i sistemi funzionano correttamente ed è tutto nella norma… Gli addetti ai lavori mettono a confronto i valori, elaborano piani di emergenza e si chiamano tra loro disordinatamente. Non appena il vapore acqueo penetra nel locale, il responsabile del turno di lavoro attiva lo stop d’emergenza e arresta l’impianto, che priverà della corrente migliaia di abitazioni. La centrale nucleare Ritka, distante 25 chilometri da Praga , è stata completamente mandata in tilt dai cracker .
Un’antica casa nei pressi Praga ospita il Centro d’Addestramento, dove vengono simulati i casi d’emergenza. Per entrare servono permessi speciali che non è semplice ottenere, vista la necessaria riservatezza che protegge l’intera struttura.
Esercitazione o realtà?
Chi cerca la centrale di Ritka con Google Maps non la troverà, ma localizzerà un imponente edificio dove la scena appena descritta si ripete spesso. Tutto ciò a scopo di esercitazione, affinché eventuali attacchi a un’infrastruttura reale non abbiano conseguenze spaventose. Un tipo di minaccia che si rivela infatti sempre più vicina; a metà aprile, nella centrale nucleare bavarese di Gundremmingen , si è verificato uno spiacevole incidente: numerosi computer sono stati colpiti da virus, relativamente innocui. In passato, malware in stile Stuxnet sono stati usati anche per infliggere ingenti danni a un’acciaieria tedesca.
Per fronteggiare eventi di questo tipo, ma anche più gravi, l’israeliana Cybergym Europe ha organizzato un vero e proprio Centro di Addestramento, il primo europeo per reparti IT, attivi all’interno di infrastrutture a rischio . Sono in particolare i responsabili della gestione delle centrali nucleari che inviano i propri team nella Republica Ceca presso questa “residenza riservata”, affinché possano prepararsi a sventare un attacco da parte di criminali informatici. Fotografie? Proibite, infatti l’azienda israeliana è molto titubante a rilasciarne un paio.
Gli esperti del Centro d’Addestramento di Ritka organizzano corsi di formazione particolareggiati: quasi come un plastico fatto di costruzioni Lego, i trainer riproducono impianti industriali completi (centrale idroelettriche, raffinerie, centrali elettriche…) e reti aziendali. Per l’esecuzione del test, tutto deve essere fedele all’originale, con moduli di comando autentici realizzati da Siemens, ABB, Rockwell o General Electric. Anche reti di istituti bancari o sistemi di comunicazione di ambasciate formano i propri specialisti con identici sistemi di management, firewall e banche dati. I partecipanti dovranno lavorare con programmi conosciuti e abituali: “È importante poter disporre di qualsiasi cosa che richiami il più possibile la realtà”, spiegano i trainer.
Nella sala adibita al training, gli esperti che compongono l’IT-Teams di sicurezza trovano le strumentazioni necessarie per combattere gli attacchi informatici, che già conoscono e utilizzano ogni giorno per il loro lavoro.
A Ritka è tutto realmente autentico, perfino il serbatoio sotto pressione con il vapore che fuoriesce. Durante l’attacco dei cracker, i partecipanti, pressati dal momento, devono redigere report di management e tabelle Excel. In una crisi autentica, infatti, la direzione vuole essere regolarmente informata sulla sviluppi della situazione. Ecco perché i trainer stressano volutamente i propri “scolari”. Anche la pausa pranzo, prevista dal programma giornaliero, viene annullata durante la prova d’emergenza. In ogni caso, non era mai stata in realtà programmata. Un cracker non tiene certo in considerazione gli orari di apertura della mensa.
Preparazione militaresca
Ogni locale, ogni angolo del centro di training è sorvegliato con videocamere e tutte le immagini confluiscono in una centrale di comando. Da qui, il responsabile delle esercitazioni comanda gli “pseudo-cracker” e osserva le reazioni del team preposto alla difesa. “Qui non si tratta di caricare degli update il più velocemente possibile, per evitare che il cracker possa sfruttare una falla” spiega Tomas Pibyl, capo del centro di training. In una situazione di pericolo imminente, si tratta piuttosto di come far funzionare un’unità militare. Pibyl paragona la centrale sotto attacco a un ferito in battaglia: “Abbiamo bisogno di un team che sia in grado di operare a cuore aperto un ferito, sotto il fuoco nemico, e di mantenerlo in vita”.
Veterani israeliani
Qui la visione marziale e militare è cosa di tutti i giorni. Non è una coincidenza che dietro alla Cybergym Europe ci siano dei veterani del corpo militare israeliano del settore Cyber Defence, cioè la difesa contro gli attacchi alle reti informatiche. Questi specialisti hanno una grande esperienza sugli attacchi militari a infrastrutture IT. Da lungo tempo, i servizi segreti di tutto il pianeta, si stanno allenando per intervenire sugli impianti di controllo di potenziali avversari. In caso di emergenza i sabotaggi a grandi infrastrutture potrebbero generare caos e instabilità. Su pagine Internet sospette, da lungo tempo, vengono trattate proprio le falle nei sistemi di sicurezza delle centrali elettriche. Gli esperti precisano che il pericolo di questi attacchi procura più preoccupazioni di eventi similari alle incursioni a Gundremmingen.
Riunione d’emergenza
Tornando a Praga, a Ritka, dopo il training giornaliero, viene tenuta una riunione sui piani d’intervento, un vero e proprio “Debriefing” che, in questo caso, è anche un termine militare. Ogni azione viene analizzata. Cosa si sarebbe potuto fare meglio? Cosa ha funzionato perfettamente? Tutto questo si rivela importante per organizzare gli attacchi simulati per il giorno successivo. Con queste esercitazioni, i difensori devono potenziarsi e diventare più resistenti allo stress, affinché in caso di emergenza, nella speranza che non si verifichi mai, vengano commessi meno errori e sia possibile reagire adeguatamente.
Come reagisce il team ai possibili attacchi informatici? La direzione interventi del Centro di Addestramento osserva accuratamente tutte le azioni, tenendosi sempre pronta a prendere le giuste decisioni per contrastare qualsiasi minaccia.