immagine-preview

Gen 2, 2018

Energia e Cybersecurity, linee guida per una maggiore sicurezza

I principali attori istituzionali e industriali che lavorano per l’ambito energetico stanno intensificando gli sforzi per garantire la sicurezza informatica delle proprie infrastrutture critiche

“Nessun dorma” chiede la Cybersecurity Nazionale agli stakeholder di ogni ordine e grado e dopo tanti interventi di divulgazione tesi alla conquista della piena consapevolezza, finalmente sembra si possa dire che la sicurezza informatica sia arrivata all’attenzione dei decisori. Ma naturalmente non basta. La priorità sentita e riaffermata anche durante l’ultima Conferenza nazionale della Cybersecurity Energia giunta alla quarta edizione, è passare all’azione mediante interventi di difesa e protezione capaci di determinare un effettivo salto di qualità che permetta di non restare vittima di periodiche campagne di malware o di attacchi targetizzati innalzando la resilienza del comparto energetico nazionale.

Attori istituzionali

Gilberto Dialuce, Direttore Generale della Sicurezza energetica del MISE ha confermato gli impegni previsti, sia a livello europeo sia a livello nazionale, per il raggiungimento della cyber-resilience del settore energetico e per continuare la sensibilizzazione su questi temi verso le imprese private del comparto. Sono attualmente attive collaborazioni con il CERT, il DIS e gli organi preposti e anche la strategia energetica nazionale contiene una sezione dedicato alla cybersecurity (Capitolo 5 paragrafo Cybersecurity, da pagina 167 a 172 n.d.r.). In particolare dalla consultazione nazionale della strategia sono emersi alcuni elementi di attenzione: l’opportunità di affrontare il tema della sicurezza informatica in maniera sistemica per realizzare un coordinamento non burocratico ma cooperativo, e l’esigenza di operare verso la standardizzazione e la certificazione dei componenti dei sistemi, destinati alle infrastrutture critiche incluso l’approccio del security by design.

In circa cinque anni è previsto il raddoppiamento dei fondi pubblici per le tecnologie pulite, una delle quali è la smart grid

Su quest’ultimo punto si ricorda anche l’iniziativa di realizzare un centro per la certificazione nazionale. In circa cinque anni è previsto il raddoppiamento dei fondi pubblici per le tecnologie pulite, una delle quali è la smart grid da indirizzare verso approcci di resilience, mentre un importante impulso è stato dato dai lavori del G7 e dall’Unione Europea cercando di avviare una cooperazione pragmatica fra i paesi in tema di Cybersecurity anche in occasione del recepimento della Direttiva sulla sicurezza delle reti NIS.

L’impegno della polizia postale nell’ambito delle attività online per la sicurezza degli utenti sul web, e nell’ambito del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), è stato specificato dalla Dott.ssa Nunzia Ciardi, dirigente superiore della polizia di Stato, che ha sottolineato fra le altre cose, come l’operato derivante da tutte le analisi tecniche investigative, sia condiviso con i gestori di infrastrutture critiche perché accresca l’insieme delle azioni preventive  applicabili.

Attori industriali

Fra i rappresentanti delle maggiori realtà di servizi di pubblica utilità si nota una posizione concorde rispetto alla minaccia, considerata più evoluta e mirata a reperire informazioni da cui trarre diretto vantaggio economico (nei casi di Cybercrime n.d.r.) o dati di tipo strategico tattico (nel caso di cyberterrorismo n.d.r.).

Crescono le megabotnet ovvero botnet più estese e diffuse in ambito IoT, e gli attacchi cosiddetti downgrade (rollback ) attack che sfruttano la compatibilità retroattiva del codice, di cui il FREAK attack, “factoring attack on rsa-Export keys”, è un esempio (A. Curioni).

Nell’ambito infrastrutture critiche è cruciale mantenere la disponibilità dei servizi in modo predominante rispetto ai requisiti di integrità e riservatezza dei dati che sono fondamentali per altri ambiti (A. Bertani, Cesi). Per realizzare la prevenzione nell’esercizio delle reti elettriche si deve partire dal cyber risk assessment, con audit e penetration test mediante simulazioni dinamiche al posto dei test statici, adottando esercitazioni con red e blue team che si contrappongono. Anche nell’ambito energetico è decisivo considerare la sicurezza informatica come leva per la digitalizzazione e come abilitatore del “business digital overall” che riguarda tutta la catena di produzione dell’energia, fino all’utente finale, ripartendo dal dato e ripensandone la sicurezza, piuttosto che limitarsi a proteggere la stanza dove sta il dato (Y.Rassega, Enel).

Si rende necessario anche estendere l’assetto difensivo a tutta la supply chiain ovvero a tutti i fornitori di tipo primario o coinvolti in subappalto, come elemento chiave del proprio sistema di tutela (F. Morelli, Terna). Infine il passaggio alla “smartizzazione” dei networks, richiede l’abbandono al modello delle reti isolate e l’esigenza di difendere la Operation IT delle reti passando da un approccio centrato sulla robustezza ad un approccio basato sulla resilienza (M.Garri, Acea).

L’ambito europeo

L’Agenzia europea per la cooperazione fra i regolatori nazionali dell’energia (ACER), che integra e coordina le attività a livello dell’UE, ha sottolineato mediante il suo Knowledge Manager, S. Bracco, come sia necessario mantenere il settore energetico altamente affidabile, nonostante stia diventando profondamente dipendente da un settore storicamente meno affidabile come quello dell’IT, a cui si aggiunge anche l’ulteriore sfida di individuare il mezzo migliore di protezione per ciascuna delle nuove e diverse tecnologie che si affacciano sul mercato e che sono potenzialmente adottabili.

In ambito europeo l’Italia,  contrariamente a quanto si pensi, è stata fra i primi tre paesi ad operare sul settore energetico europeo fin dal 2005 ed ha contribuito ai diversi step della cybersecurity roadmap che parte dal 2013 con la strategia europea,  a cui hanno fatto seguito la direttiva NIS e il GDPR, il “Clean Energy for All Europeans”, la serie di misure concrete in tema di  resilienza, deterrenza e difesa contenute nel documento “Resilience, Deterrence and Defence: Building strong cybersecurity in Europe” e l’ultima proposta in tema Cyber datata settembre 2017. Nonostante il lungo lavoro sussistono alcuni gap per il settore energetico principalmente correlati a: un framework efficace ed efficiente per la risposta e difesa da attacchi alle infrastrutture energetiche, l’aumento della resilienza nel settore energetico, e l’aumento di conoscenza e skill verticali uniti alla promozione di attività di ricerca. Infine sembrano mancare a livello europeo piattaforme di intelligence specializzate al settore energetico e capaci di supportarne le specifiche esigenze.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter