L’edizione annuale di Locked Shields vede quest’anno un passo significativo verso la realismo operativo. Al posto di una consueta simulazione in sandbox, il ruolo svolto dal Sans Institute prevede la messa in opera di un impianto di generazione elettrica funzionante che i team difensori dovranno proteggere sotto attacco. L’obiettivo dichiarato è colmare il divario tra l’addestramento teorico e la gestione reale di eventi che impattano reti nazionali e operatori privati.
Il gioco riunisce partecipanti di vari Paesi alleati sotto la regia del Nato CCDCOE, offrendo scenari nei quali le scelte cibernetiche si traducono immediatamente in effetti fisici. Non si tratta solo di individuare intrusioni: i team devono preservare la continuità di servizio, controllare la comunicazione tra reti e mantenere la visibilità sugli impianti industriali.
Questa esperienza è pensata per far capire che la difesa non è solo informatica, ma anche operatività sul campo.
Una piattaforma ibrida: componenti reali e virtuali
La soluzione predisposta integra quasi settanta dispositivi ICS reali, tra cui PLC, HMI e postazioni operative, insieme a circa cento macchine virtuali che riproducono i sistemi di supporto. L’architettura è volutamente ibrida per rispecchiare le reti moderne: elementi fisici connessi a ambienti virtuali e infrastrutture di rete live. Questo approccio permette di osservare effetti diretti sulle apparecchiature, come variazioni nella produzione o nell’apertura di interruttori, offrendo un feedback immediato sulle decisioni di difesa.
Tecnologie e strumenti in campo
Tra gli asset impiegati figurano PLC programmabili, HMI per il controllo locale, workstation di engineering e strumenti di monitoraggio di rete.
L’uso di componenti industriali reali enfatizza la necessità di strategie che vadano oltre patch rapide o reboot: gli operatori devono contemplare procedure operative, rollback sicuri e misure di mitigazione senza compromettere la produzione. Il modello mostra chiaramente come la sicurezza informatica sia intrecciata alla gestione fisica degli impianti.
Obiettivi dell’esercitazione e criteri di successo
Il nucleo della prova non è solamente fermare gli attacchi, ma mantenere la continuità della generazione e la stabilità delle comunicazioni tra IT e OT. I partecipanti sono valutati sulla capacità di conservare controllo e visibilità sugli asset critici, garantire comunicazioni affidabili e applicare discipline operative adeguate. L’esito non è un punteggio astratto: errori si traducono in effetti tangibili come riduzione della capacità produttiva o perdita di sincronia tra sistemi.
Valutazione in tempo reale
Durante le fasi live le azioni compiute producono conseguenze osservabili: turbine che vengono regolate, interruttori che si aprono o chiudono, e metriche di generazione che variano. Questo meccanismo insegna che alcune contromisure informatiche, se applicate senza considerare le procedure operative, possono essere dannose. L’esperienza punta a sviluppare un atteggiamento da operatore oltre che da difensore, in modo che le risposte siano efficaci e compatibili con le esigenze industriali.
Implicazioni per la formazione e la collaborazione pubblico-privato
Creare scenari di questa natura richiede collaborazione tra istituzioni, forze armate e partner industriali. Il ruolo del Sans Institute in qualità di fornitore di un ambiente operativo reale sottolinea come il settore privato sia spesso proprietario e gestore delle infrastrutture critiche.
L’esercitazione rafforza l’idea che la difesa cibernetica moderna si basa su partnership consolidate, con scambi di competenze tecniche e procedure condivise.
In conclusione, Locked Shields rappresenta un laboratorio in cui la prontezza operativa viene testata in condizioni che replicano le conseguenze della guerra ibrida e degli attacchi avanzati. Formare difensori in ambienti che riproducono fedelmente la complessità delle reti industriali è ormai indispensabile per proteggere sistemi che hanno impatto diretto sulla vita civile e sull’economia nazionale.
