Alla fine di dicembre del 2025, le infrastrutture energetiche critiche polacche — tra cui parchi eolici e solari, centrali di cogenerazione e impianti industriali — sono state oggetto di un attacco informatico coordinato da parte di hacker presumibilmente legati a uno Stato-nazione.
Ecco una breve sintesi di ciò che gli hacker sono riusciti a fare:
- Hanno ottenuto l'accesso iniziale tramite dispositivi VPN/firewall non protetti (ad esempio, hardware Fortinet) utilizzando credenziali predefinite e senza autenticazione a più fattori
- Una volta entrati, hanno raggiunto i sistemi OT e ICS, diffondendo un malware distruttivo di tipo “wiper” progettato per cancellare o danneggiare i file presenti sui controller e sugli HMI
- L'attacco ha causato l'interruzione delle comunicazioni e del monitoraggio tra gli impianti e gli operatori di rete, ha danneggiato il firmware e ha persino causato danni permanenti ad alcuni dispositivi ICS, ma non ha provocato un blackout.
In che modo i diodi di dati avrebbero potuto essere d'aiuto
Un diodo di dati è un dispositivo hardware per la sicurezza informatica che garantisce un flusso di dati unidirezionale, il che significa che i dati possono viaggiare fisicamente in una sola direzione — da una rete all'altra — senza alcuna possibilità di traffico di ritorno. Vediamo in che modo un diodo di dati avrebbe potuto impedire questo attacco.
1. Blocco degli accessi non autorizzati alle reti operative
I dispositivi OT e ICS erano accessibili tramite la rete poiché le apparecchiature perimetrali (come i gateway VPN) conducevano a tali ambienti. I diodi di dati, se presenti, avrebbero potuto essere utilizzati tra:
- La rete esposta a Internet e il segmento IT aziendale
- Il settore IT aziendale e l'ambito OT/ICS
Con un diodo installato, anche se degli hacker compromettessero un servizio VPN, non riuscirebbero mai a far passare il traffico bidirezionale di rete nel dominio OT.
Ciò significa che, qualora le credenziali venissero rubate, gli aggressori non potrebbero inviare comandi o payload ai sistemi situati dietro un diodo, poiché quest'ultimo impedisce fisicamente al traffico di accedere a tale zona.
2. Protezione dei canali di monitoraggio/controllo
Alcuni sistemi (come le dashboard di monitoraggio della rete o i server di archiviazione dati) necessitano spesso di dati provenienti dall'ICS, ma non devono mai inviare comandi in risposta. Grazie a un data diode, i dati OT potrebbero essere trasmessi in modo sicuro ai sistemi di monitoraggio, e nessun sistema esterno o appartenente al dominio aziendale potrebbe avviare traffico verso i dispositivi OT.
Si tratta di un elemento fondamentale dell'architettura di sicurezza per gli ambienti industriali in cui il traffico deve essere unidirezionale.
3. Rinforzo contro lo spostamento laterale
In questo attacco, una volta penetrati nella rete, gli aggressori si sono spostati lateralmente, dai punti di ingresso verso i domini Windows di back-end e i controllori OT. Se fosse stato presente un diodo di dati, la segmentazione della rete sarebbe stata applicata fisicamente. Un diodo avrebbe inoltre garantito che gli air gap fossero controllati in modo sicuro con flussi di dati unidirezionali.
Anche se un malintenzionato riuscisse a penetrare in un segmento, non sarebbe in grado di raggiungere gli altri segmenti se questi fossero protetti da barriere unidirezionali.
Sicurezza informatica a più livelli
È importante ricordare che l'implementazione dei diodi di dati è una componente fondamentale di una strategia informatica globale per l'OT, ma non è l'unica.
- Applicazione dell'autenticazione forte
- Tenersi aggiornati sulle vulnerabilità o sulle configurazioni errate dei software
- Tenendo presente che i diodi sono un elemento di controllo nella progettazione delle reti, non uno strumento di monitoraggio
In altre parole, i diodi sono più efficaci se inseriti in una strategia di difesa a più livelli che dovrà essere integrata con:
- Ottime credenziali e Master in Belle Arti
- Corretta applicazione delle patch e verifica del firmware
- Segmentazione della rete e accesso con privilegi minimi
- Sistemi di rilevamento delle anomalie e delle intrusioni
Fare o diodo
I diodi di dati garantiscono la sicurezza degli ambienti critici assicurando un flusso di dati unidirezionale fisico e obbligatorio, rendendo molto più difficile per gli hacker raggiungere e controllare i sistemi industriali anche qualora riuscissero a violare i dispositivi perimetrali. Nel caso della Polonia — dove gli hacker hanno sfruttato sistemi esposti a Internet per spostarsi lateralmente verso l’hardware di controllo — un’implementazione strategica dei diodi avrebbe potuto:
- Percorsi di attacco bloccati verso i segmenti OT
- Impedita l'invio di comandi dannosi e malware ai sistemi ICS
- Limitare la portata delle azioni distruttive
Di OPSWATMetaDefender Optical Diode offre una varietà di formati e configurazioni appositamente progettati per soddisfare le vostre esigenze di protezione perimetrale. Contattate oggi stesso un esperto e scoprite come uno dei nostri diodi o le nostre soluzioni di gateway unidirezionali possono garantire la sicurezza dei vostri ambienti critici.