Il settore energy & utility è da tempo nel mirino del cybercrime, presto potrebbe esserlo ancora di più per via delle crescenti tensioni geopolitiche ma, perlomeno, rispetto ad altri comparti sembra essersi più protetto e corazzato contro questi attacchi. Queste alcune indicazioni che arrivano dall’Energy & Utilities Security Summit 2022 organizzato da Clusit, Aipsa e Utilitalia. La situazione attuale di notevole problematicità sul fronte della sicurezza informatica è stata ricostruita da Gabriele Faggioli, presidente di Clusit, facendo riferimento all’ultimo rapporto elaborato dall’associazione. Che segnala un forte aumento nel 2021 degli attacchi registrati aumentati del 10% rispetto all’anno precedente, di intensità sempre più grave, in larga misura legati al malware come vettore e all’azione del cybercrime. Gli attacchi appaiono in particolare aumento in Europa, probabilmente come conseguenza dell’entrata in vigore di normative come il GDPR, che impongono alle organizzazioni di notificare i Data Breach subiti. Più problematico è invece un altro numero che arriva dal Clusit: in Italia 3 attacchi su 4 hanno impatti critici, una percentuale probabilmente frutto del tessuto economico del nostro Paese, in larga parte dominato da PMI che non hanno la possibilità di destinare cospicue risorse alla cybersecurity. Basti pensare che, complessivamente, in Italia si spendono complessivamente 1,5 miliardi di dollari in sicurezza informatica, ovvero meno del budget che può essere stanziato da una singola multinazionale di Oltreoceano.
Rischio Cyberwar
Nei giorni scorsi e nelle scorse settimane l’allarme cyber nel nostro Paese ha raggiunto livelli elevatissimi, dopo che alcune azioni di probabile matrice russa hanno colpito alcuni siti istituzionali, ma secondo Faggioli, questi attacchi sembrano essere stati quasi dimostrativi, una sorta di avvertimento lanciato al nostro Paese, che potrebbero però intensificarsi nei prossimi mesi. Ecco perché ora c’è molto timore che anche le infrastrutture critiche, termine entro il quale ricadono naturalmente anche le centrali elettriche possano essere uno dei bersagli privilegiati di una possibile cyberwar. A guardare i dati degli anni precedenti, in realtà, il settore elettrico non è stato tra più colpiti dagli attacchi, tanto da essere soltanto il quinto più colpito in Italia tra le infrastrutture critiche nel periodo 2018-2021. Un dato che, probabilmente, è frutto dell’attenzione riservata da tempo dalle utility al tema, ormai entrato nell’agenda del top management e che ha senz’altro visto investimenti importanti in passato, soprattutto da parte dei big del comparto. Però non si deve commettere l’errore di pensare che il mondo energy & utilities sia un blocco unico: “Spesso le utility dell’energia sono medio piccole, abbiamo 125 distributori di energia elettrica e 10 soltanto hanno più di 100.000 clienti . Nel nostro Paese ci sono 193 distributori gas (solo 6 grandi) e 164 distributori di acqua, oltre a tutta una parte di popolazione (20%) in capo ai comuni. Senza dimenticare che ad oggi abbiamo 900.000 produttori di energia elettrica, i cosiddetti prosumer. Come Utilitalia, per diffondere la sensibilità, sul tema, ogni 2 anni facciamo un monitoraggio per capire come imprese si stanno muovendo. Ci sono delle luci ma c’è ancora molto è da fare. In particolare abbiamo un progetto relativo alla cyber, che dovrebbe portare allo sviluppo di indicatori che se condivisi e implementati potrebbero dare riscontri importanti al management aziendale, che deve valutare come investire al meglio le proprie risorse in sicurezza”, ha evidenziato Mattia Sica, Direttore del Settore Energia, Reti e Tecnologie di Utilitalia.
Infrastrutture non semplici da gestire
Un punto caldo del dibattito, in particolare, è la capacità degli operatori energetici di coinvolgere i dipendenti aziendali – considerati come l’anello debole della cybersecurity – nelle politiche di sicurezza. A questo proposito Andrea Chittaro Senior Vice President Global Security di Snam e presidente di AIPSA, ha posto l’attenzione sull’impatto smart working, ricordando poi che “per fare awareness serve programma aziendale della durata di anni, con commitment del top management. Gli obiettivi vanno poi adeguatamente misurati: quante persone sono proattive, quante segnalano gli attacchi avvenuti”. Alessandro Manfredini, Direttore Group Security & Cyber Defence del Gruppo A2A ha invece posto l’accento sulle difficoltà di proteggere gli impianti del settore energia, spesso in funzione da prima dell’attuale ondata cyber: “I sistemi di questi impianti sono difficili da patchare, spesso ho potuto visionare delle versioni di Windows di certi Scada a dir poco obsolete. Questo comporta che non sempre l’infrastruttura energetica consente di ospitare delle soluzioni di monitoring. Inoltre, fare delle operazioni di revamping non è per nulla semplice: il mondo OT va maneggiato con grande cura, mettere antivirus e antimalware non è banale e non sempre è possibile farlo”.