Benzinai a rischio security... anche cyber

di Giovanni Villarosa - Esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, Vice Presidente di SECURTEC

Il mercato verticale del settore carburanti rappresenta un ambito intimamente correlato al distretto industriale dell’Oil & Gas; una nicchia tipicamente delineata dalla tipologia del cliente finale, piuttosto che dal tipo di prodotto offerto (prerogativa, quest’ultima, dei mercati orizzontali, che propongono beni e servizi meno specifici, ma piuttosto di interesse generale, fruibili da una più ampia platea di utilizzatori finali).

Nel mercato della distribuzione di carburanti (dove convivono officine, ricambi, bar, ristorazione, tabacchi, sale slot, etc.), alla voce security leggiamo ancora numeri preoccupanti sui fenomeni predatori quali furti, rapine violente e costosi danneggiamenti. Tutti eventi ancora fuori controllo perché i benzinai rappresentano dei veri e propri “bancomat”: obiettivi cioè fortemente appetibili per la criminalità perché incassano giornalmente ingenti somme di denaro contante e detengono diversi oggetti di valore facilmente riciclabili. E una tale condizione di rischio è sempre amplificata dai fattori ambientali, perché molto spesso gli impianti sono collocati in zone ad alta intensità di traffico, in prossimità di infrastrutture stradali, fuori dai centri abitati e/o in luoghi isolati. 

Come reagire, allora e con quali risposte? 

Una best practice iniziale è quella di innalzare i livelli di sicurezza mediante un’approfondita valutazione, e sotto diversi profili, rispetto alla reale situazione di rischio e di vulnerabilità, attuando le contromisure più appropriate rispetto alle tangibili necessità di tutela, facendo ricorso alle migliori e più performanti risorse tecnologiche (Hardware e Sotware) offerte dal vertical market application, tanto informatiche quanto elettroniche.

Videosorveglianza

Nell’attuale scenario la madre di tutte le soluzioni proattive e reattive, nel campo della vertical security per i distributori di carburante, rimane la videosorveglianza, specificatamente indirizzata al riconoscimento dei numeri di targa che transitano all’interno degli impianti, integrata alla sorveglianza video dei punti vendita.

Veri supermercati

L’elevato prezzo della benzina fa sì che eventi criminosi come il furto con destrezza di carburante (pieni gratuiti... effettuati semplicemente fuggendo dopo il rifornimento) rappresentino un fenomeno in costante crescita, ma non rimangano gli unici eventi che i gestori degli impianti devono fronteggiare. La trasformazione dei grandi distributori in veri e propri supermercati ha innescato le stesse problematiche che vive il comparto del commercio al dettaglio, in fatto di aggressioni a scopo di rapina facilitate da diversi fattori: non ultimo, il servizio svolto in orario notturno e la costante esposizione della merce. Le differenze inventariali annuali di un impianto di grandi dimensioni oscillano intorno al 10% del fatturato (80.000 euro).

Pompe carburanti intelligenti...a rischio cyber

E dal punto di vista cyber, può questo settore, tipicamente analogico per funzionamento, mi si passi il termine, dichiararsi estraneo dalla minaccia? Nell’era delle pompe carburanti intelligenti, decisamente no! In Russia un hacker manometteva i sistemi informatici degli impianti di rifornimento. E non si trattava del solito furto di dati personali dalle carte di credito: era un’operazione progettata su larga scala che ha permesso di incassare milioni di euro, grazie ad un malware estremamente sofisticato e alla compiacenza del personale dipendente. I clienti alla pompa ricevevano una quantità di carburante inferiore (dal 3 al 7%) rispetto a quella pagata, mentre la differenza sottratta veniva automaticamente trasferita in un serbatoio fuori servizio. Il software faceva il resto, cancellando sia i dati relativi ai trasferimenti, sia le transazioni sul sistema. In questo modo non rimaneva nulla nel back end e le compagnie petrolifere non potevano analizzare alcuna anomalia, né le autorità federali russe potevano verificare delle mancanze di compliance dei sistemi informatici di gestione degli impianti. Nessuno poteva risalire alle operazioni malevole!

Azioni di protezione verticalizzate 

Dunque, anche nel distretto commerciale dei carburanti si manifesta una certa vulnerabilità cyber. Servono quindi nuove azioni di protezione verticalizzate: rete, gestione della sicurezza, della vulnerabilità, endpoint security, gestione accesso delle identità. Progetti dunque indirizzati, che vanno dall’ingegnerizzazione all’implementazione, per finire con l’integrazione delle infrastrutture di security fisica e logica, quale risposta robusta a questa emergente minaccia.