logo SBA

ETD

Archivio digitale delle tesi discusse presso l’Università di Pisa

Tesi etd-02192022-202856


Tipo di tesi
Tesi di laurea magistrale
Autore
SUGLIA, VITO
URN
etd-02192022-202856
Titolo
Rischi e Vulnerabilita Cyber dei sistemi ICS a bordo delle Unita Navali. Analisi del progetto CECASP
Dipartimento
SCIENZE POLITICHE
Corso di studi
SCIENZE MARITTIME E NAVALI
Relatori
relatore Marcilli, Gianluca Maria
Parole chiave
  • CECASP
  • Cyber
  • ICS
  • Rischi e Vulnerabilità
  • Unità Navali
Data inizio appello
03/03/2022
Consultabilità
Non consultabile
Data di rilascio
03/03/2092
Riassunto
Già nel 2014, nel loro studio Cybersecurity and Cyberwar, Peter Singer e Allan Friedman avvertirono: «Forse non esiste un problema che è diventato così importante, così rapidamente, che tocca così tante persone, e che rimane così poco compreso». Non si tratta solo delle famose password 12345 o QWERTY, oppure con date di nascita dei figli o nome del proprio animaletto domestico, ma è più un approccio superficiale tanto generalizzato quanto difficile da scardinare. La cyber security è un tema attuale e molto complicato, non solo perché il numero degli attacchi cresce annualmente, ma perché rispetto ad altre competenze digitali è ancora considerata una questione a cui non prestare particolare attenzione. I criminali informatici sfruttano psicologia, comportamenti e abitudini umane per raggiungere i loro obiettivi: l’Ingegneria Sociale, una branca di studio in espansione. Fino a circa un decennio fa, non essere a conoscenza del tema non creava grandi problemi. Oggi è diverso, tutto il mondo è sempre più interconnesso e quindi più “hackerabile”: tutto ciò che è collegato a Internet può essere attaccato. Con la rivoluzione mobile e la diffusione degli oggetti “smart”, diventati pop ed alla portata di tutti, il campo d’attacco cresce a dismisura. Smartphone, tablet, macchine che si guidano da sole, termostati e frigoriferi,
orologi bluetooth e altoparlanti wireless. Nel più ampio contesto della trasformazione digitale, l'Internet of Things è concepito come una moltitudine di dispositivi eterogenei interconnessi e comunicanti con l'obiettivo di raggiungere una vasta gamma di obiettivi, spesso in modo collaborativo. Questo solo per parlare della vita fuori dall’azienda.
Si può sostenere che in un futuro relativamente prossimo, il costrutto IoT includerà impianti industriali, infrastrutture, centri di controllo e altri sistemi che oggi sono controllati da sistemi ICS(Industrial Control System) e SCADA (Supervisory Control and Data Acquisition). Ogni azienda, impresa, infrastruttura militare e non, potrebbe subire un attacco ai propri sistemi informatici, e in verità moltissime l’hanno già subìto. Gran parte del successo degli attacchi non è causato tanto o solo dai software malevoli, quanto da noi stessi, dal fattore umano: spesso un attacco inizia con un messaggio di posta elettronica che l’utente scarica perché fuorviato ed ingannato dal contenuto. Questo non significa che ogni essere umano, utilizzatore o dipendente, debba trasformarsi in esperto di Cyber Security, ma è necessario che in ogni azienda e luogo di lavoro si diffondi una cultura di base ed una sensibilizzazione sulla sicurezza informatica.
Nell’ambito della sicurezza militare, la tesi analizza rischi e vulnerabilità cyber dell’ICS (Industrial Control System), ovvero il sistema di gestione e controllo degli impianti industriali utilizzato anche a bordo delle Unità Navali della Marina Militare Italiana. Si introdurrà il mondo della Cyber Security, con riferimenti al contesto NATO, elencando ed illustrando concetti utili alla comprensione dello studio affrontato nel corso della tesi. Successivamente analizzeremo le caratteristiche degli ICS, il processo di acquisizione e supervisione dei dati e l’architettura di rete con l’obiettivo di comprendere quali sono i rischi e le vulnerabilità.
Partendo da queste informazioni si passerà ad illustrare il progetto CECASP (Cyber Ew Capability Against Smart Platform), un’attività volta ad ottenere una maggiore resilienza dei sistemi di automazione per le piattaforme navali alle minacce cibernetiche. Scopo del progetto è quello di verificare l’applicabilità di un approccio di tipo Red Teaming all’analisi dei rischi cibernetici connessi a minacce di tipo APT (Advanced Persistant Threat) attraverso l’utilizzo di un ambiente di simulazione/emulazione dei sistemi di bordo, capace cioè di replicare le funzionalità principali di Sistemi Complessi come l’impianto di automazione di piattaforma di una Unità Navale di nuova concezione.
In altri termini, a partire da una specifica configurazione dell’impianto di automazione di una piattaforma navale, si illustrerà come una serie di componenti HW (es. chiavetta USB) e SW (es. malware), opportunamente installati sui sottosistemi di bordo ed “attivati” da un
potenziale attaccante esterno, potrebbero consentire il controllo dei sistemi/impianti critici di unità di bordo come i sottosistemi di propulsione o di produzione/distribuzione dell’energia. L’obiettivo ultimo non è limitato quindi alla valutazione delle vulnerabilità di specifici sistemi installati sull’Unità Navali, ma è quello di definire una metodologia operativa per la valutazione della robustezza e della resilienza di un’architettura complessa. In conclusione verranno spiegati i risultati ottenuti dal progetto CECASP contestualizzandoli con la realtà odierna, il mondo delle Unità Navali e, più in generale, della Forza Armata.
File