10 minuti. È il tempo che è stato necessario per hackerare, tramite un semplice notebook e una connessione, una petroliera scelta a caso in navigazione nel Mar Adriatico. Un gioco da ragazzi insomma. A farlo è stato Gianni Cuozzo, amministratore delegato di Aspisec, società specializzata in consulenza sul cyber-risk, per dimostrare quanto la sicurezza sia un tema sempre più importante, anche nel settore nautico.
L'attacco, che non ha avuto nessun effetto in quanto di puro carattere dimostrativo, è stato perpetrato durante il convegno "Le rotte digitali del trasporto - IoT e big data: opportunità e rischi della digital transformation" organizzato a Genova dal quotidiano Il Secolo XIX.
"Cuozzo, con portatile e connessione forniti per l'occasione dall'Autorità di Sistema Portuale genovese che ospitava l'evento, ha individuato la nave e le caratteristiche del suo sistema informatico tramite due portali open-source facilmente accessibili a tutti. A quel punto, l'informatico ha notato come una delle porte del sistema, quella relativa al protocollo AIS (per il tracking satellitare della nave) non fosse protetta da alcun firewall, e quindi costituisse di fatto un varco non presidiato. L'unico ostacolo restava quindi la password, scoperta al primo tentativo: un semplice 1234", spiega Francesco Bottino su Business Insider Italia.
"A questo punto - ha spiegato l'Ad di Aspisec - potremmo di fatto prendere il controllo di tutti i sistemi della nave, senza che nessuno se ne accorga. Solitamente un'azienda si rende conto di aver subito un attacco hacker dai 6 ai 12 mesi dopo l'intrusione", si legge su l'ANSA.
Pazzesco, ma non così strano. Ormai ci siamo abituati. In un mondo sempre più connesso, ogni oggetto diventa Internet of Things, anche una nave. Il problema è che i produttori spesso non si curano della sicurezza, ritenendola una spesa inutile. E così, spesso, tanto i dispositivi quanto - adesso lo sappiamo - le navi, non hanno alcuna contromisura verso i malintenzionati, tanto da usare semplicissime password di default come 1234.
Il conto finale però può essere molto salato in caso d'attacco, ha spiegato Gian Enzo Duci, presidente di Federagenti: "La compagnia danese Maersk Line, prima al mondo nel trasporto di container, a causa dell'attacco informatico della scorsa estate, ha subito perdite per quasi 300 milioni di dollari in un solo trimestre".
Costi economici, ma potenzialmente non solo. Pensateci bene: navi hackerate, comandate da chissà chi, scagliate a tutta velocità nei porti. Spesso si pensa a questo scenario per le auto autonome - e a ragione - ma anche una nave potrebbe fare danni notevoli a cose e persone. "Siamo riusciti a prendere il controllo della nave perché nessuno aveva mai cambiato le password di base. La falla origina da un 'errore umano', o comunque dalla scarsa consapevolezza rispetto a questa tipologia di rischi", ha spiegato Cuozzo.
Come fare per proteggersi? Per prima cosa è necessario aggiornare costantemente i software anti-intrusione, ma non basta. "È fondamentale in azienda avere personale specializzato, in grado di valutare effettivamente la qualità dei sistemi di sicurezza informatica acquistati dai fornitori", ha aggiunto l'esperto.