Proteggere la sicurezza operativa (security OT) dei sistemi aeroportuali non è solo un problema di business per le società di gestione, ma una necessità importante a garanzia delle infrastrutture critiche per la vita e l’economia del Paese. Una responsabilità e un compito non banali nell’ambito degli ambienti digitali complessi di un aeroporto, dove qualsiasi inconveniente si tradurrebbe inevitabilmente in situazioni caotiche, che possono mettere a rischio l’operatività dei servizi ma anche la sicurezza delle persone, esponendo i gestori, nel migliore dei casi, alle richieste di risarcimento da parte di compagnie e passeggeri.
Al pari di altre infrastrutture pubbliche frequentate giornalmente da centinaia di migliaia di persone tra viaggiatori, accompagnatori, dipendenti interni e di società terze, la sicurezza OT degli aeroporti è esposta agli attacchi cyber portati avanti sia da remoto sia dall’interno delle strutture, per esempio, sfruttando le criticità logiche e fisiche dei sistemi informatici in uso. Il report “Cyber attacks on the aviation industry” di KonBriefing Research riporta a livello globale nel 2022 ben 21 attacchi a danno delle società aeroportuali a cui si aggiungono 38 alle compagnie di volo, e alcune decine ai servizi di trasporto, salvataggio e informazione che garantiscono l’operatività degli scali. È cronaca recente (del 28 agosto scorso) il malfunzionamento d’origine sconosciuta al sistema di controllo del traffico aereo del Regno Unito che ha creato il caos nei cieli d’Europa e mondiali, con 1.500 voli cancellati e 250 mila passeggeri coinvolti. Nell’ottobre scorso, tre aeroporti italiani in Puglia, Calabria e Val d’Aosta hanno avuto i siti istituzionali Web bloccati da un attacco Ddos (distributed denial of service) per mano del “Mysterious Team Bangladesh”, un team di hacker impegnato in rivendicazioni politiche e religiose contro India e Israele.
Gli attacchi di cybersecurity costituiscono dunque un rischio concreto, che una società privata che gestisce un importante scalo italiano (di cui per motivi di sicurezza non possiamo fare il nome) si è impegnata a ridurre al minimo attraverso l’impiego dei servizi di ricerca delle vulnerabilità offerti dal team di hacker etici di UNGUESS. Vediamo di seguito come questo è stato realizzato.
Indice degli argomenti
Le sfide per la tutela della sicurezza OT dell’aeroporto
La tutela della sicurezza OT e dell’integrità degli asset digitali dell’aeroporto richiedono un approccio olistico e proattivo che, partendo dalla valutazione delle minacce potenziali porti all’adozione delle difese più appropriate. Un impegno che dev’essere esteso anche alla gestione dei dati per garantire, per esempio, che il loro trattamento sia conforme con il regolamento europeo GDPR e a un quadro normativo in continua evoluzione sui temi della privacy e del rischio operativo: aspetti che incidono su un gran numero di sistemi, database e applicazioni presenti nell’aeroporto.
Un impegno che non può prescindere da un’analisi approfondita delle vulnerabilità dei sistemi, in particolare laddove il periodico rinnovamento delle piattaforme rischierebbe d’introdurre nuove criticità, sia a livello del codice applicativo sia dell’interscambio di dati con altri sistemi. Una eventualità che la società di gestione dell’aeroporto doveva assolutamente scongiurare in occasione di un rinnovo del sistema informatico per la movimentazione dei bagagli.
Poiché il buon funzionamento di un aeroporto dipende da una molteplicità di sistemi sviluppati da terze parti, non solo è importante rafforzare la sicurezza OT scegliendo soluzioni ma, sui processi più critici, servono garanzie di livello superiore. La società di gestione dell’aeroporto ha quindi deciso di sottoporre le piattaforme in fase di nuova introduzione a un check di vulnerabilità prima di andare in produzione, incaricando la società UNGUESS di questa verifica, realizzata all’insaputa dei fornitori.
La verifica delle vulnerabilità senza sacrificare l’operatività dei servizi
Tra le fasi del progetto per la sostituzione del sistema di monitoraggio della movimentazione bagagli dell’aeroporto, ne è stata prevista una dedicata alla sicurezza OT, attraverso il controllo delle vulnerabilità dei software utilizzati. L’esame è stato eseguito in modo indipendente, senza il coinvolgimento del fornitore del sistema, in modo da garantire la terzietà degli esaminatori. Compito che è stato affidato al team di Bug Security Bounty inCrowd di UNGUESS, servizio specificamente dedicato all’identificazione delle vulnerabilità.
Quali erano gli elementi peculiari di questo test? La prima cosa era appurare la buona realizzazione tecnica da parte del fornitore, quindi la dotazione di protezioni efficaci contro le possibili incursioni malevole con conseguenti effetti sulla sicurezza OT: blocchi o inefficienze capaci di creare effetti a catena sui voli, sui passeggeri e scali collegati. Come secondo aspetto, c’era l’esigenza di verificare l’effettiva conformità del sistema con le normative dell’aviazione civile che prevedono l’esecuzione della suite di test standard Pentest. Infine, era necessario portare a termine i test in tempi ben definiti per rispettare le delivery del progetto e avere il margine per gli eventuali interventi di mitigazione del rischio.
La realizzazione dei test per migliorare la sicurezza OT
Per i test di vulnerabilità alla piattaforma operativa bagagli, UNGUESS ha selezionato dalla propria community, che conta diverse centinaia di hacker etici certificati, i professionisti dotati delle competenze più adatte alle piattaforme tecnologiche in uso e al contesto d’indagine. Un contesto non facile non essendo possibile accedere al codice sorgente di proprietà intellettuale dei fornitori. I professionisti ingaggiati da UNGUESS hanno quindi potuto contare solo sull’iscrizione alla whitelist per l’accesso al sistema da testare.
La ricerca delle vulnerabilità nel sistema era soggetta a scadenze stringenti. Le operazioni di vulnerability assessment e penetration test (VAPT) sono iniziate in meno di 24 ore dalla richiesta. Un primo blocco di attività ha coinvolto UNGUESS per due settimane, tra aprile e maggio del 2022, per il setup iniziale con l’impegno di tre specialisti dell’azienda e del security manager della società aeroportuale.
In seguito alla definizione di modalità e tempi, UNGUESS ha reclutato la task force di sei hacker etici che, tra giugno e luglio del 2022 (in un periodo caratterizzato da un elevato flusso di passeggeri), ha eseguito i test nel rispetto dei tempi assegnati, sfruttando un processo a ciclo continuo con il supporto della piattaforma di crowd-based di UNGUESS. Realizzata in un periodo caratterizzato da un elevato flusso di passeggeri, l’attività dei professionisti ha dovuto tener conto dell’esigenza di minimizzare gli impatti dei test sui sistemi, lavorando su slot temporali ristretti, compresi tra le 22.00 e le 2.00 del mattino.
I risultati ottenuti
Già nei primi 25 minuti dall’inizio dei test, il servizio di UNGUESS è stato in grado di individuare le prime vulnerabilità di livello critico per la sicurezza OT. Vulnerabilità analizzate e convalidate dagli specialisti, quindi comunicate al gestore entro poche ore tramite un’apposita dashboard online, assieme alle informazioni e ai suggerimenti per la mitigazione.
Le attività del team di hacker etici UNGUESS hanno evidenziato un gran numero di vulnerabilità, classificate per l’80% come critiche e per il 20% ad alto livello di criticità, aggiornando in tempo reale il cliente attraverso la piattaforma di notifica. Questo ha permesso alla società di gestione dell’aeroporto di decidere, volta a volta, cosa fare per ridurre i rischi associati alle vulnerabilità segnalate sulla base del budget disponibile. Nel 95% dei casi, l’azienda ha scelto di applicare le soluzioni di mitigazione suggerite dagli specialisti di UNGUESS.
