Di pari passo con il crescere della digitalizzazione e del paradigma della Smart Energy, è aumentato il rischio che i malintenzionati possano sfruttare le falle di sicurezza per colpire utility e operatori del settore energetico, arrivando persino a minacciare l’approvvigionamento, la distribuzione sulla rete e gli stessi utenti finali. Sebbene le aziende del settore siano coscienti dei rischi di sicurezza cui devono far fronte, i dati dell’ultimo Data Breach Investigations Report di Verizon (DBIR 2022) mostrano che le utility sono ancora lontane dall’essere completamente al riparto. Il report ha censito ben 407 incidenti, più di uno al giorno, subiti a livello globale da aziende dei servizi di fornitura energetica e del settore minerario presi in esame a livello globale. Di questi, ben 179 (oltre il 44%) hanno comportato una violazione di dati. Le informazioni compromesse erano prevalentemente credenziali (73%) e dati personali nel 22% dei casi. A causare gli attacchi, nel 96% dei casi, sono stati attori esterni alle aziende, mossi prevalentemente da motivi economici (78%) o di spionaggio (22%). Relativamente alle tecniche, ben il 95% delle violazioni è il risultato di attacchi di social engineering, system intrusion o alle applicazioni web. EnergyUP.Tech ha approfondito il tema con Alistair Neil, Managing Director International Advanced Solutions di Verizon Business Group.
Quali tipologie di cybercriminali attaccano le aziende dell’energy? Qual è il loro obiettivo?
Nonostante l’idea che questo settore venga preso di mira soprattutto dallo spionaggio internazionale sia per certi versi affascinante, va detto che la maggior parte degli attacchi subiti dalle utility e dalle aziende operanti nell’ambito dell’energia ha obiettivi meramente economici. Secondo il Data Breach Investigations Report (DBIR) 2022 di Verizon, si tratta per lo più di hacker mossi dalla più classica delle motivazioni, l’avidità, che puntano a ottenere guadagni monetizzabili (all’origine del 78% dei casi di violazione). Certo vi sono anche attacchi riconducibili a organizzazioni legate ai servizi di intelligence, ma in questi casi le violazioni non mirano a provocare danni, ma piuttosto ad acquisire informazioni e dati sensibili (22%). Altri criminali informatici puntano a danneggiare la reputazione di un’azienda, magari interrompendo la fornitura del servizio, screditandola agli occhi dei consumatori e di altri stakeholder. Vi sono poi gli ex dipendenti, che talvolta decidono di vendicarsi per un licenziamento che considerano ingiusto. In quest’ultimo caso, sebbene si tratti di attori esterni alle aziende, questi criminali hanno il vantaggio di conosce profondamente gran parte dei piani di sicurezza informatica delle realtà in cui hanno lavorato.
Colpisce il fatto che buona parte degli incidenti derivi dal phishing e dalle tecniche di social engineering. Cosa significa questo dato?
Significa che gran parte delle violazioni è determinata dall’errore umano. Sempre secondo il DBIR 2022, il settore delle utility e dell’energia registra il dato più elevato riguardo agli attacchi di social engineering e oltre il 60% delle violazioni si basano sul phishing perpetrato attraverso mail e applicazioni web.
Esiste un problema di formazione alla sicurezza nelle utility, in particolare per i dipendenti?
Certamente sì, come dimostrano i dati. Siamo di fronte a una grossa carenza di formazione nell’ambito della sicurezza informatica. I dipendenti non hanno le competenze necessarie per evitare di diventare loro stessi i veicoli attraverso i quali le loro aziende vengono colpite. Al di là degli investimenti in materia di soluzioni e tool informatici all’avanguardia, le imprese del settore dell’energia devono investire di più sulla formazione dei propri dipendenti, in modo da garantire loro il raggiungimento di un livello minimo e accettabile di competenze in tema di sicurezza IT.
La grande diffusione delle tecnologie digitali nelle utility è stata sinora compresa e sfruttata dai cybercriminali?
Tra aziende e hacker è ormai in atto una vera e propria sfida a chi riesce a implementare le strategie più sofisticate. Le imprese che operano nel settore dell’energia sono fra le più attive sotto questo punto di vista, in quanto dispongono delle migliori tecnologie nell’ambito della sicurezza informatica. Ciò però non basta poiché i cybercriminali continuano a migliorare i loro attacchi sfruttando proprio l’impiego massiccio di soluzioni tecnologiche (pensiamo al proliferare degli endpoint legato al lavoro da remoto o in modalità ibrida). Per questo ogni implementazione tecnologica deve andare di pari passo con quelle di sicurezza informatica, in modo da non fornire agli hacker gli spiragli di cui hanno bisogno per portare a termini i loro attacchi.
Alla luce dei vostri dati, quanto possiamo ritenere al sicuro il funzionamento delle infrastrutture energetiche?
Come per ogni altro settore, anche per quello delle infrastrutture energetiche le minacce da parte degli hacker sono costanti e sempre più complesse. La sicurezza informatica è un settore in continua evoluzione così come lo è quello del cybercrime. Se un’azienda non ha mai subito violazioni, può voler dire che sta implementando una buona strategia di sicurezza IT, sia sul piano delle soluzioni utilizzate sia su quello dell’organizzazione e della formazione interna. Tuttavia non si deve mai abbassare la guardia, perché dall’altra parte ci sono criminali pronti a sfruttare ogni debolezza e ingenuità.
Dobbiamo aspettarci nei prossimi anni un ulteriore aumento degli attacchi contro questo target?
Non possiamo dire oggi quello che accadrà nei prossimi anni in termini di sicurezza informatica. Ciò che possiamo dire è che vista l’attuale centralità del tema dell’approvvigionamento energetico, le aziende di questo settore dovranno garantire standard di sicurezza molto elevati onde evitare, ad esempio, interruzioni del servizio di fornitura, che potrebbero causare seri danni all’economia nazionale.
Quali sono, secondo Verizon, le migliori strategie di protezione per le aziende del settore?
Sempre più aziende stanno comprendendo la necessità di migliorare le proprie strategie di security soprattutto in termini di aumento del budget. Questo vale anche per le imprese del settore energetico che risultano essere seconde, tra i settori analizzati, in termini di investimenti in cybersecurity, anche se molti manager e imprenditori continuano a non capire tutte le possibili ripercussioni di una violazione informatica. Per superare le loro resistenze potrebbe essere utile simulare una crisi di sicurezza, in modo da mettere il management aziendale di fronte alla necessità di prendere decisioni rapide sulla base di informazioni incomplete o talvolta obsolete. Per questo il costante aggiornamento del piano di security rappresenta uno dei temi centrali per tutti i responsabili IT. È importante rivalutare costantemente la propria strategia di cybersecurity in modo da non farsi trovare impreparati di fronte alle nuove minacce informatiche. Da ultimo è necessario colmare il gap di competenze che molte aziende del settore energetico si trovano ad affrontare. In quest’ottica, CIO, CISO e responsabili IT devono lavorare per costruire una solida cultura aziendale in materia di sicurezza informatica basata su un insieme di digital skill che tutti i dipendenti devono maturare.
Articolo originariamente pubblicato il 23 Gen 2023