L’Agenzia dell’Unione europea per la cybersecurity (ENISA) ha pubblicato il suo primo report sul panorama delle minacce informatiche dei settori dei trasporti nell’UE, “Threat Landscape: Transport Sector 2023”.
Questo nuovo report mappa e analizza gli incidenti informatici in relazione al trasporto aereo, marittimo, ferroviario e stradale coprendo il periodo da gennaio 2021 a ottobre 2022 con l’obiettivo di portare nuove informazioni sulla realtà del settore dei trasporti.
Il rapporto offre nuove informazioni sulle minacce informatiche del settore dei trasporti. Oltre all’identificazione delle principali minacce e all’analisi degli incidenti, il rapporto include una valutazione degli attori della minaccia, un’analisi delle motivazioni che guidano le loro azioni e introduce le principali tendenze per ciascun sottosettore.
Principali minacce che colpiscono il settore dei trasporti
- attacchi ransomware;
- minacce relative ai dati;
- malware;
- attacchi Denial-of-Service (DoS), Distributed Denial-of-Service (DDoS) e Ransom Denial-of-Service (RDoS);
- phishing/spear phishing;
- attacchi alla supply-chain.
Gli attacchi ransomware sono diventati la minaccia più importante contro il settore nel 2022, con attacchi quasi raddoppiati, passando dal 13% nel 2021 al 25% nel 2022. Sono seguite dalle minacce relative ai dati (violazioni, fughe di notizie) poiché i criminali informatici prendono di mira credenziali, dati di dipendenti e clienti, nonché proprietà intellettuale a scopo di lucro. Gli attacchi sono considerati pianificati in una natura opportunistica, in quanto non sono stati osservati gruppi noti che prendono di mira esclusivamente il settore dei trasporti.
Più della metà degli incidenti osservati nel periodo di riferimento sono stati collegati a criminali informatici (55%). Applicano la filosofia “segui i soldi” nel loro modus operandi.
Gli attacchi degli attivisti informatici sono in aumento. Un quarto degli attacchi è legato a gruppi di hacktivisti (23%), con la motivazione dei loro attacchi solitamente legata all’ambiente geopolitico e finalizzata all’interruzione operativa o guidata da motivazioni ideologiche. Questi attori ricorrono principalmente ad attacchi DDoS e prendono di mira principalmente aeroporti, ferrovie e autorità di trasporto europee. I tassi di questi attacchi si concentrano su regioni specifiche e sono influenzati dalle attuali tensioni geopolitiche.
Gli attori sponsorizzati dallo Stato sono stati più spesso attribuiti a prendere di mira il settore marittimo o le autorità governative dei trasporti. Questi fanno parte della categoria “Tutti i trasporti” che comprende gli incidenti che colpiscono l’intero settore dei trasporti. Questa categoria comprende quindi le organizzazioni di trasporto nazionali o internazionali di tutti i sottosettori, nonché i ministeri dei trasporti.
Incidenti osservati in ogni settore
Aviazione
Di fronte a molteplici minacce, l’aviazione si confronta con le minacce relative ai dati come le più importanti, insieme a ransomware e malware. I dati dei clienti delle compagnie aeree e le informazioni proprietarie dei produttori di apparecchiature originali (OEM) sono le principali risorse mirate del settore. I siti Web fraudolenti che impersonano le compagnie aeree sono diventati una minaccia significativa nel 2022, mentre il numero di attacchi ransomware che colpiscono gli aeroporti è aumentato.
Marittimo
Le minacce rivolte al settore marittimo includono ransomware, malware e attacchi di phishing mirati alle autorità portuali, agli operatori portuali e ai produttori. Gli aggressori sponsorizzati dallo Stato spesso effettuano attacchi politicamente motivati che portano a interruzioni operative nei porti e sulle navi.
Ferrovia
Per il settore ferroviario, le minacce identificate vanno dal ransomware alle minacce relative ai dati che colpiscono principalmente i sistemi IT come i servizi passeggeri, i sistemi di biglietteria e le applicazioni mobili, causando interruzioni del servizio. I gruppi di hacktivisti hanno condotto attacchi DDoS contro le compagnie ferroviarie con un tasso crescente, principalmente a causa dell’invasione russa dell’Ucraina.
Strada
Le minacce nel settore stradale sono prevalentemente attacchi ransomware, seguiti da minacce relative ai dati e malware. L’industria automobilistica, in particolare i fornitori OEM e di livello X, è stata presa di mira da ransomware che ha portato a interruzioni della produzione. Le minacce relative ai dati prendono di mira principalmente i sistemi IT per acquisire dati di clienti e dipendenti, nonché informazioni proprietarie.
Sulla disponibilità e affidabilità dei dati: sfide nella segnalazione degli incidenti
Sebbene l’ENISA abbia raccolto dati da una varietà di fonti per eseguire la sua analisi, la conoscenza e le informazioni sugli incidenti rimangono limitate a quegli incidenti segnalati ufficialmente e per i quali le informazioni sono state divulgate pubblicamente. Tali incidenti divulgati su cui l’ENISA ha basato la sua analisi e le sue conclusioni, tuttavia, rischiano di non rappresentare la realtà se quelli non divulgati superano quelli resi pubblici.
Nonostante gli Stati membri dispongano di obblighi giuridici per la segnalazione obbligatoria degli incidenti, spesso accade che gli attacchi informatici vengano divulgati per primi dall’attaccante.
Nell’UE, la direttiva rivista sulle misure per un livello comune elevato di cybersicurezza in tutta l’Unione (NIS2) e le disposizioni aggiuntive in materia di notifica per gli incidenti di sicurezza mirano a sostenere una migliore mappatura e comprensione degli incidenti rilevanti.
Questo lavoro fa parte del programma di lavoro annuale dell’Agenzia dell’UE per la cybersicurezza per fornire intelligence strategica alle sue parti interessate.
Le fonti di informazioni utilizzate ai fini di questo studio includono l’intelligence open source (OSINT) e le capacità di intelligence sulle minacce informatiche dell’Agenzia. Il lavoro integra anche informazioni provenienti da ricerche documentali di dati disponibili come articoli di notizie, opinioni di esperti, report di intelligence, analisi degli incidenti e rapporti di ricerca sulla sicurezza.
I dati analizzati derivano anche dagli input ricevuti nell’ambito delle interviste effettuate con i membri del gruppo di lavoro ENISA Cyber Threat Landscapes (gruppo di lavoro CTL).
L’analisi e le opinioni incluse nei rapporti sul panorama delle minacce dell’ENISA sono indipendenti dal settore e dai fornitori.
ENISA Threat Landscape: Transport Sector 2023
https://www.enisa.europa.eu/news/understanding-cyber-threats-in-transport