Secondo il Rapporto Clusit “Energy & Utilities 2024 Q1”, il numero di attacchi informatici che hanno colpito il settore Energy & Utilities andati a buon fine è raddoppiato in quattro anni, tra il 2018 ed il 2022. A livello globale, Europa ed Americhe si dividono equamente l’80% dei casi esaminati, con una rilevante riduzione degli incidenti in Asia ed una importante crescita in Africa.
SCARICA IL REPORT CLUSIT “ENERGY & UTILITIES 2024 Q1”
Cybersecurity del settore energetico
Ultimi scampoli del 2024. Lo stato dell’arte sui cyberattacchi alle reti elettriche nelle parole, a Energia Italia News, di Giorgio Sbaraglia, Information & cybersecurity advisor, DPO, Comitato direttivo Clusit, che subito sgombra il campo da qualsiasi dubbio: “Gli attacchi informatici alle reti elettriche e, più in generale, alle infrastrutture critiche degli Stati non rappresentano una novità. Ci sono e continueranno ad esserci, a maggior ragione oggi a causa delle tensioni internazionali, soprattutto legati al rapporto dei Paesi occidentali con la Russia, che è il principale attore di queste minacce”.
Dati alla mano, secondo il Rapporto Clusit “Energy & Utilities 2024 Q1”, il numero di attacchi che hanno colpito il settore Energy & Utilities andati a buon fine è raddoppiato in quattro anni, tra il 2018 ed il 2022. Sebbene nel 2023 si sia registrata una flessione rispetto al 2022 (-15%), il 2024 vede solo nel primo trimestre più della metà del numero di incidenti verificatisi nell’intero anno precedente. Quindi se questo trend sarà confermato, il 2024 dovrebbe registrare un numero di attacchi circa pari a quelli del 2022, che è stato l’anno con il numero maggiore.
Dal Rapporto Clusit emerge poi che, a livello globale, Europa ed Americhe si dividono equamente l’80% dei casi esaminati, con una rilevante riduzione degli incidenti in Asia ed un importante aumento in Africa. Il malware è stato (e rimane) la principale causa di incidente, rappresentando ben il 60% delle tecniche di attacco nel 2023 ed il 96% nel 2024. Resta assai rilevante il numero di casi che hanno come “punto di ingresso” la presenza di vulnerabilità (13% nel 2022, 11% nel 2023).
NIS2 e sicurezza delle reti industriali
Energia sotto attacco. Nel contesto odierno di cyber minacce in costante evoluzione, la sicurezza delle infrastrutture critiche è divenuta un imperativo categorico per l’Unione Europea. “Parliamo di attacchi informatici alle infrastrutture critiche, tra cui le reti elettriche, condotti per finalità sia di cybercrime – ovvero economiche, famoso il ransomware che negli Stati Uniti ha paralizzato Colonial Pipeline nel maggio 2021 –, sia di Information Warfare, cioè di guerra cibernetica”.
“In tal senso – riprende Sbaraglia – l’attuazione imminente della Direttiva NIS 2, che riguarda proprio quelle organizzazioni che nella NIS1 erano definite OSE (Operatori di Servizi Essenziali), avrà sicuramente un impatto positivo anche su questo tipo di aziende, perché le obbligherà ad adottare misure di sicurezza molto importanti”. Un passo decisivo, dunque, nei confronti del rafforzamento della resilienza e della cybersecurity a livello continentale.
Proprio su quest’ultimo tema, l’esperto ribadisce: “Oggi le reti elettriche sono connesse alla rete internet e questo – se da un lato offre grandi vantaggi – dall’altro le espone al rischio di cyberattacchi”. Per poi ricordare: “Nell’ecosistema ICS (Industrial Control Systems) si partiva da sistemi che una volta erano governati offline da dispositivi come gli SCADA (Supervisory Control And Data Acquisition), nati negli anni Cinquanta, molto prima della comparsa della rete internet. Solo in tempi più recenti sono stati connessi in rete. In questi sistemi si tende a dare priorità alla continuità di funzionamento, piuttosto che alla sicurezza cibernetica”.
Valutazioni del rischio informatico
Abbiamo evidenziato come la compromissione informatica di una rete elettrica arriva, di prassi, attraverso la rete IT (che è quella più esposta sul web). “Quindi le misure di protezione sono ovvie – riprende Sbaraglia –, e spaziano dal censire e dall’identificare tutte le connessioni alla rete ICS, per poterle controllare”. E ancora, prosegue l’esperto, “isolare il più possibile la rete ICS dalle altre connessioni di rete (perché qualsiasi collegamento ad un’altra rete introduce rischi per la sicurezza) ed eseguire sui sistemi OT gli aggiornamenti di sicurezza e le patch (anche se questo non è sempre possibile su sistemi legacy, ma le aziende dovranno imparare ad imporre tale regola già nella fase contrattuale di acquisto)“.
Inoltre, “eseguire un’analisi dei rischi basata su una valutazione delle minacce e vulnerabilità (questa misura è imposta anche dalla Direttiva NIS2)“. Non da ultimo, precisa ancora Sbaraglia, “bisogna applicare sia il principio della “difesa a strati” sulle reti aziendali, sin dalla fase di progettazione (“Security by Design”) sia i principi della ZTA (Zero Trust Architecture), quindi definire in modo rigoroso i permessi ed i privilegi di accesso alle reti OT”.
Carenza di competenze cyber in Italia
Il nostro Paese affronta una mancanza rilevante di competenze nella sicurezza cibernetica, con la necessità impellente di potenziare tanto la formazione e quanto consapevolezza per proteggere le aziende dai cyberattacchi alle reti elettriche. “Si tratta di un problema che in Italia è noto. Lo evidenzia anche il Rapporto DESI “Digital Economy and Society Index” dell’Unione europea: la percentuale degli specialisti digitali nella forza lavoro italiana è inferiore alla media dell’Ue. Il nostro Paese ha una percentuale molto bassa di laureati nel settore ICT: solo l’1,4 % dei laureati italiani sceglie tali discipline, il che rappresenta il dato più basso registrato nell’Unione europea (media Ue 3,9%)”, motiva Sbaraglia.
Fermo restando che non è solo un problema appannaggio degli specialisti (“la formazione andrebbe fatta a qualunque livello aziendale, anche con corsi basici di awareness”), l’esperto spiega perché la protezione delle reti elettriche è imprescindibile dalla formazione di tutte le figure aziendali. “È ormai assodato che oltre il 90% degli attacchi informatici è causato da un errore umano. Così lo sbaglio di un qualunque dipendente potrebbe causare una violazione dei sistemi IT aziendali e, da questa breccia, l’attaccante riuscirebbe ad entrare anche nella rete OT , compromettendola”.
