Negli ultimi anni, la sicurezza informatica è emersa come una delle principali preoccupazioni per le infrastrutture critiche negli Stati Uniti, e un recente attacco ha messo in evidenza le vulnerabilità del settore. L’American Water Works Company, Inc., il più grande fornitore di acqua e servizi fognari negli Stati Uniti, ha subito un attacco informatico che ha sollevato interrogativi sulla sicurezza dei sistemi idrici nazionali e sul loro impatto sulle comunità servite.
Dettagli dell’incidente
American Water, con sede nel New Jersey e che fornisce servizi a oltre 14 milioni di persone in 14 stati e 18 installazioni militari, ha reso noto che un’attività non autorizzata è stata rilevata nei suoi sistemi informatici il 3 ottobre 2024. L’azienda ha fatto questa rivelazione tramite una comunicazione regolamentare e un avviso di sicurezza pubblicato sul proprio sito web il 7 ottobre.
Stacy Mitchell, vice presidente esecutivo e consulente generale di American Water, ha dichiarato: “Abbiamo scoperto che parti sconosciute avevano violato illegalmente i sistemi e le reti informatiche dell’azienda, costringendo l’utilità a interrompere alcune operazioni, avviare un’indagine e contattare le forze dell’ordine”. Questo attacco ha portato alla sospensione temporanea del portale clienti online, MyWater, per proteggere i dati sensibili degli utenti, e il call center dell’azienda sta operando con funzionalità limitate.
Impatti e misure di sicurezza
Nonostante l’incidente, Mitchell ha affermato che l’azienda non crede che l’attacco abbia avuto un impatto negativo sui sistemi di acqua potabile o di trattamento delle acque reflue: “Sebbene la Società non sia attualmente in grado di prevedere l’impatto completo di questo incidente, non ci aspettiamo che l’incidente avrà un effetto materiale sulla Società o sulla sua condizione finanziaria e sui risultati delle operazioni”.
Le comunicazioni dell’azienda hanno rassicurato i clienti che non subiranno penali per ritardi nei pagamenti o interruzioni del servizio durante questo periodo di inattività. La sicurezza dell’acqua potabile, secondo l’azienda, rimane intatta e sicura da bere.
In un avviso sul sito web, American Water ha dichiarato: “Stiamo lavorando diligentemente per riportare online i sistemi disconnessi in modo sicuro e protetto. Indagini di questa natura richiedono tempo e condivideremo le informazioni quando e come appropriato”.
Un contesto di crescente preoccupazione
L’attacco contro American Water avviene in un clima di crescente preoccupazione per la sicurezza informatica nel settore idrico. Diversi mesi fa, l’Agenzia per la Protezione Ambientale degli Stati Uniti (EPA) aveva emesso un avviso per le forze dell’ordine riguardante un numero crescente di attacchi informatici ai sistemi idrici comunali. L’agenzia ha avvertito che tali attacchi potrebbero consentire agli intrusi di manipolare le tecnologie operative, con conseguenze potenzialmente pericolose, come l’interruzione dei processi di trattamento dell’acqua o l’alterazione dei livelli chimici a “quantità pericolose”.
Secondo l’allerta dell’EPA, oltre il 70% dei sistemi idrici ispezionati ha violato i requisiti di sicurezza informatica di base previsti dalla Sezione 1433 del Safe Drinking Water Act, il quale richiede valutazioni del rischio e della resilienza, nonché piani di risposta alle emergenze. L’EPA ha identificato vulnerabilità come l’uso di password predefinite eccessivamente semplici e controlli di accesso inadeguati, aumentando le sue azioni esecutive per garantire la conformità e mitigare i rischi informatici.
La risposta delle agenzie governative
La Cybersecurity and Infrastructure Security Agency (CISA), che il 1° ottobre ha lanciato la sua ventunesima campagna per il mese di sensibilizzazione sulla sicurezza informatica, ha sottolineato l’importanza di proteggere le infrastrutture critiche. Le linee guida della CISA per i servizi idrici comprendono misure come la riduzione dell’esposizione delle reti a Internet, l’aggiornamento delle password predefinite, l’implementazione dell’autenticazione a più fattori e l’esecuzione di valutazioni periodiche della sicurezza informatica.
L’EPA, la CISA e altre agenzie federali hanno emesso avvisi multipli, citando attori malevoli del cyberspazio appartenenti a gruppi sponsorizzati da stati, come il Corpo delle Guardie della Rivoluzione Islamica dell’Iran (IRGC), “hacktivisti” pro-Russia e gruppi sponsorizzati dal regime cinese, come Volt Typhoon. L’EPA ha avvertito che “questi attori malevoli hanno interrotto alcuni sistemi idrici con attacchi informatici e potrebbero aver incorporato la capacità di disabilitarli in futuro”.
Le dichiarazioni degli esperti
Il direttore dell’FBI, Christopher Wray, ha avvertito ad aprile che hacker collegati al Partito Comunista Cinese avevano infiltrato le infrastrutture critiche americane e stavano aspettando il momento giusto per infliggere un “colpo devastante”. Durante un discorso all’Università Vanderbilt a Nashville, Wray ha dichiarato: “Il loro piano è quello di infliggere colpi bassi contro le infrastrutture civili per cercare di indurre panico”. Ha inoltre sottolineato che il programma di hacking della Cina è più grande di quello di tutte le altre nazioni messe insieme e che il regime sta sviluppando la capacità di attaccare fisicamente le infrastrutture critiche statunitensi quando lo riterrà opportuno.
