Le Centrali di Emergenza 112, come le altre infrastrutture critiche che fanno parte del PSN - Perimetro di Sicurezza Nazionale, sono chiamate a individuare i rischi informatici a cui possono essere soggette, e predisporre piani di cybersecurity per preservare la piena operatività dei servizi e garantire la sicurezza dei dati sensibili. Per fare ciò è necessario, da un lato, individuare le vulnerabilità e le possibili superfici di attacco a cui sono esposte le Centrali, e, dall’altro, implementare strategie, piattaforme e procedure operative in grado di abbattere il rischio e contrastare i cyber-attack.
Quali sono le vulnerabilità principali a cui sono esposte le Centrali Operative
EENA – European Emergency Number Association, sottolinea come i cyber-attack alle Centrali di Emergenza 112 o di Continuità Assistenziale 116117 avvengano principalmente via internet, facendo leva su strumenti di uso quotidiano, quali la posta elettronica o i browser. In futuro, il rischio non potrà che amplificarsi, visto l’utilizzo sempre maggiore della rete. Internet, al tempo stesso, facilita le attività criminali, come per il “Ramsomware-as-a-Service”: è oggi possibile utilizzare un ramsomware come servizio virtualizzato tramite cloud. Le Centrali di Emergenza sono esposte, dunque, a una serie di vulnerabilità e rischi informatici, legati alla connettività e all’utilizzo della piattaforma CAD – Computer Aided Dispatch, che possono compromettere la continuità operativa:
- Interruzione dei servizi. Nella Centrale sono presenti numerosi dispositivi, sistemi operativi e piattaforme connesse a internet, che possono essere potenzialmente accessibili da remoto. I dispositivi e i software utilizzati quotidianamente rappresentano possibili vettori di attacco per gli hacker, che potrebbero sfruttarli per compromettere la sicurezza della rete. L'uso di sistemi operativi non aggiornati, software privi delle ultime patch di sicurezza e la presenza di reti ibride richiede un monitoraggio costante. Ogni componente deve essere censito e inserito in un piano di controllo che verifichi regolarmente il loro stato e livello di aggiornamento, in conformità con le indicazioni del fornitore e secondo una periodicità predefinita.
- Attacchi DDoS – Distributed Denial of Service. Questa tecnica di attacco informatico mira a rendere un servizio indisponibile sovraccaricando i server della centrale operativa con un massiccio volume di traffico dati proveniente da una botnet di computer compromessi. Tale saturazione può impedire l'accesso ai sistemi di emergenza, causando ritardi nel trattamento delle chiamate e nella gestione delle situazioni di crisi. In questo modo, la capacità degli operatori di coordinare le risposte viene compromessa.
- Accesso non autorizzato. Le credenziali (user, password, ecc.), costituiscono un rischio a livello informatico, legate a imprudenze del personale, o ad attività criminali di social engineering. Gli attaccanti possono utilizzare tecniche come phishing e malware per compromettere i sistemi CAD, i database e le infrastrutture di rete.
- Vulnerabilità del CAD. I sistemi CAD possono presentare vulnerabilità software, come bug o codici non sicuri, che gli attaccanti possono sfruttare per ottenere accesso non autorizzato. Queste vulnerabilità possono derivare da patch non aggiornate e, poiché i sistemi CAD sono frequentemente integrati con altre piattaforme, come database e software di monitoraggio, il rischio aumenta ulteriormente: una vulnerabilità in uno di questi sistemi può compromettere l'intero ambiente operativo, rendendo le centrali operative di emergenza più suscettibili a minacce informatiche.
I rischi fanno capo, dunque, a un fattore tecnologico e a una comportamentale, che vanno affrontati con l’adozione di piattaforme di cybersecurity, sistemi avanzati per il controllo degli accessi e l’adeguata formazione del personale.
Prevenire gli attacchi con le piattaforme di cybersecurity: 4 fasi chiave
Le piattaforme di cybersecurity sono lo strumento più importante per combattere il rischio informatico. Il loro compito fondamentale è, infatti, quello di analizzare il traffico di rete e intercettare comportamenti anomali delle macchine. La loro implementazione avviene con un processo in 4 step:
- Installazione di agent e sonde. Le componenti software e hardware vengono installate sulle macchine e in appositi nodi di rete. A fronte di traffico anomalo o esecuzione sospetta di processi, vengono generati alert che danno luogo a segnalazioni o intraprendono azioni predefinite (blocco del collegamento, interruzione del processo, ecc.).
- Analisi dei log. Vengono individuati eventi sospetti, singoli o concatenati. Similmente al caso precedente, vengono inviano alert o si eseguono processi puntuali. Va sottolineato, però, che l’analisi dei log richiede una istruzione specifica della piattaforma, in quanto gli eventi da tracciare sono specifici dell’ambito di azione.
- Integrazione con il CAD. In funzione delle API – Application Programmable Interface messe a disposizione dalla piattaforma, o attraverso funzionalità dedicate, il CAD viene integrato per gestire gli alert prodotti dalla cybersecurity.
- Istruzione della piattaforma. Il software va istruito per identificare i cosiddetti “falsi positivi”, ovvero attività legittime erroneamente segnalate come minacce. Ad esempio, un file di sistema o un'applicazione potrebbe essere contrassegnato come malware, causando inutili allarmi e potenziali interruzioni di servizio.
In parallelo all’uso del software di cybersecurity, EENA suggerisce che la configurazione della rete avvenga implementando la network separation. Oltre all’utilizzo di firewall, proxy e router, l’associazione europea raccomanda la suddivisione delle reti a cui sono collegati tutti i client della Centrale. Non una unica, ma partizionata in reti indipendenti, definite in base alle necessità di lavoro dei singoli client. Un virus che infettasse un client non si propagherebbe ad altre reti. APCO International –Association of Public-Safety Communications Officials sottolinea come, allo stesso modo, vanno isolate e controllate tutti le apparecchiature IP-based presenti (ad esempio i BMS – Building Management System, gli UPS - Uninterruptible Power Supply, o altre apparecchiature di Safety & Security).
Come ridurre il rischio informatico in Centrale Operativa
Il personale che opera nella Centrale Operativa può essere fonte di rischio informatico, legato sia alla gestione delle credenziali di accesso ai sistemi, sia all’utilizzo della mail o alla navigazione su internet. Il rischio va affrontato, da un lato, con strumenti di controllo avanzati, e, dall’altro con un’adeguata formazione del personale:
- Autenticazione. I meccanismi di riconoscimento biometrico, quali, ad esempio, il riconoscimento facciale, le impronte digitali, o la scansione dell’iride, assicurano l’identificazione della persona autorizzata. In parallelo, l’autenticazione a più fattori o l’utilizzo di codici temporanei aumenta il livello di controllo dell’accesso.
- Training. Il social engineering e le mail fraudolente sono mezzi comuni per tentare l’intrusione. Al fine di aumentare l’attenzione e la vigilanza del personale di Centrale, è necessario pianificare un’attività di informazione e formazione continua. Le tecniche criminali sono in costante evoluzione e la conoscenza ne abbatte il rischio connesso.
APCO evidenzia la necessità che la cybersecurity nasca insieme alle Centrali e non sia un processo aggiunto a posteriori. Le stesse attività criminali sono in costante evoluzione, e le piattaforme sono aggiornate di continuo per avere conoscenza delle nuove vulnerabilità. La cybersecurity non rappresenta, dunque, una risposta tecnologica a un problema contingente, ma piuttosto un’evoluzione culturale che consente alle Centrali di interpretare correttamente la loro mission: salvaguardare persone e asset per il bene della comunità.