IL SETTORE ENERGY HA BISOGNO DI CYBER SECURITY

Di Raúl Rocamora - Responsable de Sistemas Informáticos

1. Infrastrutture energetiche sempre più nel mirino di attacchi informatici

2001 Russia, 2003 e 2008 Stati Uniti, 2012 Arabia Saudita, 2013 Austria e Germania, 2015 Australia e Ucraina, 2016 Israele, 2017 Gran Bretagna. E potremmo continuare, elencando altri attacchi informatici subiti da infrastrutture energetiche negli ultimi vent’anni.

Ciò che destava allarme già all’inizio di questo secolo, oggi è considerata una questione di primaria importanza. Specialmente se gli attacchi cyber si rivolgono a infrastrutture critiche o strategiche per il normale svolgimento della vita di una nazione quali sono quelle dedicate alla produzione e alla distribuzione di energia. Danneggiare una pipeline, mettere fuori uso una centrale elettrica, intervenire sul sistema di sicurezza di un impianto nucleare, sabotare il sistema di depurazione di un acquedotto: sono azioni che hanno conseguenze di portata non prevedibile, anche altamente drammatica. È sufficiente osservare i danni che provoca un blackout energetico di qualche ora in una qualsiasi città del globo: blocco di servizi quali sanità, approvvigionamento idrico, trasporti, comunicazioni, produzione industriale e sistema finanziario. Per non parlare dei riverberi negativi sull’ordine pubblico.

Si è calcolato che un’interruzione di corrente elettrica di circa sei ore, in inverno, in un Paese come la Francia, creerebbe danni economico-sociali per circa 1,5 miliardi di euro [+info].

Ancora vi è qualcuno che pensa che quello descritto sia solo il plot di un b-movie catastrofista. In realtà gli episodi si susseguono. L’ultimo a marzo di quest’anno, negli USA, quando diverse zone degli Stati della California, Utah e Wyoming sono rimaste al buio per un probabile attacco informatico a un locale provider di energia elettrica [+info].

Ma chi sono i cyber criminali? I responsabili di queste operazioni variano a seconda degli obiettivi e delle forze messe in campo nell’azione; possono essere hacker che agiscono per ottenere un riscatto in denaro, cyber terroristi che così facendo colpiscono i loro nemici politici ma anche Stati sovrani, decisi nello sfruttare le nuove tecnologie per danneggiare le nazioni rivali. Operazioni che - considerando i potenziali impatti – potrebbero addirittura esser equiparati ad atti di guerra (piuttosto che a semplici attività di sabotaggio).

Immagine 1. Principali attacchi informatici a infrastrutture energetiche dal 2010

Fonte: World Economic Forum – Boston Consulting Group

2. Digitalizzazione delle reti, aumento del rischio

L'ecosistema nel quale siamo e saremo sempre più immersi è, esso stesso, spazio naturale per la crescita e lo sviluppo dei cyber-crimini. Digitalizzazione, interconnessioni e connettività, internet of things, big data, intelligenza artificiale, una sempre maggiore convergenza fra operational technology (OT) e information technology (IT) – solo per citare alcuni punti chiave della rivoluzione 4.0 – oltre a innovazione e progresso hanno portato con sé minacce e rischi.

La sicurezza informatica appare, dunque, non solo indispensabile ma anche trasversale e presente in tutti principali settori della società: produttivo, economico e istituzionale. 

E le infrastrutture non sono differenti, anzi.

Come accade per altri settori (si pensi alla produzione industriale), la trasformazione digitale ha conferito maggiore complessità e articolazione alle reti. Per governare il sempre più abbondante flusso di energia derivante dalle rinnovabili e per coordinare i sempre più numerosi e avanzati device collegati (dispositivi smart home e sistemi di ricarica dei veicoli elettrici, per esempio) è necessaria una gestione sempre più decentralizzata e “intelligente” e che tenga in considerazione gli ormai molti soggetti coinvolti.

Come scrive [+info] Paola Girdinio – profonda conoscitrice del tema della cyber security e oggi presidente di Start 4.0 Centro italiano di Competenza per la Sicurezza e l’Ottimizzazione delle Infrastrutture Strategiche – “I dati generati nei sistemi embedded, creati da dispositivi machine-to-machine e IoT (Internet of Things), sono in crescita esponenziale nel settore elettrico e la loro importanza è il cuore del sistema. […] Le unità IoT installate globalmente dalle utilities sono cresciute mediamente del 23% l’anno. Con essi gli attacchi. E non solo nel loro numero, ma soprattutto in complessità”.

3. Investire in cyber security: scelta inevitabile

La cyber security è un’azione combinata di più fattori. E non è detto che il continuo adeguamento tecnologico per migliorare i dispositivi di sicurezza in grado fermare gli attacchi o almeno di limitarne i danni sia il primo. Sebbene possa apparire tale.

Forse prima di tutti viene il riconoscimento del problema da parte del management aziendale e/o dei decisori politici. È solo con la piena e consapevole comprensione dell’esistenza di un grave pericolo per l’intero sistema (aziendale, ma non solo) che è possibile mettere in moto strategie e azioni. Meglio se comuni o il più possibile condivise, in maniera da unire gli sforzi e le forze.

E qualcosa si sta muovendo, anche se non con la medesima velocità e in modo uniforme. Le aziende, anche in Italia, cominciano a investire: nel 2018 il comparto dell’information security ha superato il miliardo di euro con un aumento del 9% rispetto all’anno precedente. Se poi la cultura della sicurezza informatica ha cominciato a farsi largo fra le grandi imprese del nostro Paese, è purtroppo ancora troppo poco diffusa fra i soggetti più numerosi del settore produttivo nostrano, ovvero le aziende medio-piccole. Nel 2018 il 70% del già modesto budget per la sicurezza informatica è stato impiegato per adeguarsi alle norme sulla privacy imposte dal regolamento europeo GDPR (fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano 2018).

Tuttavia, come avviene per la Digital Transformation del sistema produttivo – la Quarta rivoluzione industriale 4.0 – il vero ostacolo è la carenza di una cultura dell’innovazione e una scarsa visione strategica. Le PMI italiane, troppo spesso prigioniere della contingenza delle loro attività quotidiane, non guardano alla formazione, all’aggiornamento e all’adeguamento tecnologico come strumenti irrinunciabili per fare business e garantire un futuro alla propria azienda. Cyber security in primis.

Intanto le istituzioni europee e, di riflesso, quelle nazionali hanno posto la questione cyber risk fra quelle di maggior rilevanza. Ne sono prova due strumenti normativi quali la Direttiva NIS [+info] del 2018 e il Cyber Security Act [+info] di quest’anno; entrambi recepiti dall’Italia.  Alle direttive, che dedicano particolare cura al settore produttivo ed energy, si aggiunge la Raccomandazione della Commissione europea del 3 aprile scorso rivolta proprio al settore dell’energia [+info]. La sicurezza delle reti energetiche è uno degli obiettivi chiave della strategia Ue per la cyber security [+info], ma è anche dovere di ogni nazione democratica saper garantire adeguati livelli di sicurezza e benessere ai propri cittadini.