La digitalizzazione delle infrastrutture urbane è una risposta diretta all'incremento costante della densità abitativa, parallela alla necessità crescente di migliorare l'efficienza energetica e promuovere la sobrietà nell'uso delle risorse. Tuttavia, il passaggio verso città più connesse solleva anche questioni riguardanti la sicurezza informatica, poiché l'interconnessione di dispositivi e infrastrutture rende tutto suscettibile a vulnerabilità potenziali. E i criminali informatici hanno già ampiamente dimostrato la loro capacità di sfruttare le vulnerabilità insite in queste nuove architetture. Ecco come si presenta la superficie di attacco delle città connesse.
Illuminazione, segnaletica, mobilità urbana, risorse idriche, videosorveglianza, gestione tecnica degli edifici, energia, parcheggi... collegando questi sistemi essenziali, le smart city offrono nuove prospettive ma estendono anche la propria superficie di attacco. Diamo uno sguardo a queste sfide di sicurezza informatica, elencando in ordine cronologico inverso gli 8 principali attacchi informatici alle città connesse e intelligenti.
Stati Uniti, 2023: interruzione temporanea del servizio idrico
Nel novembre 2023, l'autorità idrica municipale di Aliquippa in Pennsylvania ha subito un attacco informatico ai sistemi di controllo della pressione dell'acqua, secondo quanto riferito da CBS News Pittsburgh. Sabato 25 novembre, un dispositivo informatico dell'ente idrico che monitora la pressione ha smesso di funzionare, mostrando un messaggio anti-israeliano.
Si tratta di un attacco informatico di portata internazionale, rivendicato successivamente dai Cyber Av3ngers, un gruppo di cybercriminali iraniani precedentemente implicato in incidenti simili in Israele.
Londra, 2023: messaggi hacktivisti affissi sugli autobus
Nell'ottobre 2023, il gruppo di pirati informatici The Dyke Project ha preso il controllo degli annunci pubblicitari sulla rete dei trasporti pubblici di Londra. Secondo quanto riportato dal quotidiano online Slate, i criminali informatici hanno sostituito le pubblicità tradizionali con messaggi di Queering the Map, un sito che consente alle persone LGBT+ di condividere comunicazioni anonime e geolocalizzate.
Transport for London, l'ente pubblico responsabile dei trasporti, ha confermato l'attacco informatico e rimosso le pubblicità non autorizzate, come previsto dalla politica aziendale.
Polonia, 2023: attacco informatico paralizza il sistema dei trasporti
Nel giugno 2023, la città polacca di Olsztyn ha subito un attacco informatico che ha paralizzato il sistema dei trasporti, secondo quanto riportato da LeMagIT. Olsztyn, nota per le sue caratteristiche di smart city, vanta un centro di gestione del traffico, la sorveglianza degli incroci con rilevamento delle infrazioni, hotspot Wi-Fi sui tram e un sistema di informazioni meteorologiche. L'attacco ha colpito quasi un centinaio di incroci nel centro della città, mettendo fuori uso i semafori e altre infrastrutture cruciali del sistema di trasporto.
Si sono così formati numerosi ingorghi lungo le vie principali, mentre i cittadini hanno riscontrato difficoltà nell'acquistare i biglietti per i mezzi pubblici. Per contenere la situazione, l'ente responsabile dei trasporti ZDZiT, si è visto costretto a scollegare fisicamente i server dalla rete.
Irlanda, 2022: un residente viola il sistema informatico del parcheggio
Nel maggio 2022, David Young è comparso davanti al tribunale di Cork, in Irlanda, per aver sfruttato una vulnerabilità nel sistema informatico dell'azienda privata incaricata dal Comune di gestire il sistema di parcheggi. Secondo quanto riportato dal quotidiano Irish Examiner, durante un aggiornamento del software l'uomo avrebbe individuato una falla temporanea che consentiva di modificare manualmente gli account dei clienti. Ha quindi sfruttato tale vulnerabilità per incrementare in modo fraudolento il proprio credito per il parcheggio.
Per risolvere il problema, l'azienda si è rivolta a un consulente informatico, con costi di analisi e aggiornamento superiori a 12.000 euro. D'altra parte, l'autore dell'atto criminale si è dichiarato colpevole, facendosi carico di tutte le spese, compreso l'importo indebitamente accreditato per il parcheggio.
Cina, 2019: fuga di dati compromette la privacy di un esteso sistema di sorveglianza
Nel maggio 2019 è stata scoperta una fuga di dati da un sistema di sorveglianza delle smart city cinesi. Nell'intervista rilasciata dall'esperto di sicurezza John Wethington al sito web TechCrunch sono stati rivelati ulteriori particolari circa l'entità di tale scoperta. Il ricercatore ha individuato un database Elasticsearch su Internet che non richiedeva alcuna password, contenente gigabyte di dati relativi al riconoscimento facciale di centinaia di persone, raccolti nell'arco di diversi mesi.
Una fuga di informazioni che solleva molti interrogativi sull'uso del riconoscimento facciale e dei sistemi di sorveglianza nelle smart city.
Stati Uniti, 2017: criminali informatici attivano le sirene di emergenza nel cuore della città
La rivista Forbes rivela che nell'aprile 2017 a Dallas sono stati attivati simultaneamente 156 sistemi di allarme di emergenza per mano di criminali informatici. L'attacco, avvenuto poco prima di mezzanotte, è stato erroneamente interpretato come un'allerta meteo, nonostante l’assenza di segnali d'imminente catastrofe naturale. L'Ufficio per la gestione delle emergenze di Dallas è dovuto intervenire rapidamente per disattivare gli allarmi e si è rivolto alla Commissione federale per le comunicazioni al fine di identificare i colpevoli.
L'incidente è stato fonte di notevoli disagi per la città, oltre a provocare un aumento delle chiamate al 911, sovraccaricando i servizi di emergenza. Sebbene i sistemi siano stati rapidamente ripristinati, il sindaco Mike Rawlinson ha reagito prontamente all'incidente, spiegando sulle pagine di Forbes che "si tratta di un serio segnale della necessità di migliorare e rendere più sicura l'infrastruttura tecnologica della nostra città".
Finlandia, 2016: un attacco DDoS disattiva il sistema di riscaldamento in numerosi appartamenti
Secondo quanto riportato da Forbes, nel novembre 2016, Lappeenranta, una città finlandese di 60.000 abitanti, ha subito un attacco informatico DDoS che ha mandato in tilt i sistemi di controllo di due edifici residenziali, lasciando gli utenti senza riscaldamento e acqua calda. L'attacco ha causato il riavvio continuo dei sistemi di riscaldamento e di produzione di acqua calda, generando un ciclo infinito che ha portato al blocco del normale funzionamento degli impianti.
Sebbene le temperature locali non abbiano raggiunto livelli estremamente bassi, l'incidente ha segnato profondamente la sicurezza informatica degli edifici connessi.
Stati Uniti, 2014: ricercatori nel campo della sicurezza informatica controllano i semafori
Nell'agosto 2014, i ricercatori dell'Università del Michigan, in collaborazione con un'agenzia stradale locale, hanno rivelato una vulnerabilità nei sistemi di gestione dei semafori. Tramite dei semplici computer portatili, sono riusciti ad accedere facilmente al sistema di controllo di ben 100 semafori nello stato del Michigan per sincronizzarli sul verde.
La notizia, pubblicata all'epoca dal Daily Mail, metteva in evidenza le falle di sicurezza di un sistema utilizzato in 40 stati americani, che comprendeva l'uso di reti wireless non protette e di password predefinite.
È quindi evidente che la crescente connettività dei sistemi urbani sta creando nuove opportunità per i criminali informatici. Dal controllo dei semafori alla compromissione dei sistemi di sorveglianza, tutti questi incidenti dimostrano l'importanza di implementare una maggiore sicurezza informatica per proteggere le infrastrutture vitali.
