Il mondo dell’energia è in grado di gestire le minacce informatiche e le prescrizioni normative sulla cybersecurity?
La situazione italiana varia da casi di eccellenza a realtà preoccupanti, se si scorre tutta la filiera, e a complicare le cose c’è anche il fattore tempo.
Il 10 giugno, infatti, il Consiglio dei ministri ha approvato uno schema di decreto legislativo relativo alla direttiva Ue Nis 2, “network and information security”.
Il recepim
ento finale dovrà avvenire entro il 17 ottobre 2024 e le nuove misure “impattano fortemente nel settore elettrico, come in molti altri”, secondo Alessandro Manfredini, presidente di Aipsa, Associazione italiana professionisti security aziendale.
“La ratio della norma è elevare i livelli di sicurezza nei servizi essenziali e importanti”, quindi anche nell’energia, introducendo prescrizioni che non tutti riusciranno a ottemperare facilmente e rapidamente.
“In primis, la Nis 2 non si applica solo ai sistemi informativi, quindi al telecontrollo della distribuzione o della generazione energetica, ma a tutto il sistema informatico dell’azienda”.
Cosa ancor più importante, le imprese dell’energia “Nis 2 relevant” dovranno “estendere le misure tecniche di sicurezza a tutta la catena dei loro fornitori. In questo modo il bacino di applicazione della direttiva si allarga molto”.
Proprio su questo punto, però, si apre un problema potenziale perché la filiera dell’energia e con essa quella dei fornitori, come si diceva in apertura, non ha una confidenza omogenea con le pratiche di cyber sicurezza.
“Il Tso nazionale, Terna, è un modello di riferimento in questo campo”, spiega Manfredini. Inoltre, “grandi società attive nella generazione di energia, ad esempio Enel, a2a o Edison, hanno sempre avuto una sensibilità alta per la sicurezza informatica. Allo stesso modo i distributori elettrici inseriti in gruppi strutturati”.
A fronte di ciò, purtroppo, “c’è un mondo di piccoli prosumer legati alle fonti rinnovabili, soprattutto FV, che curano poco questi aspetti. Una questione valida anche per le piccole utility che al loro interno non hanno unità organizzative in grado di gestire le minacce. In questo caso si ha una compliance al massimo con il regolamento Ue sulla protezione dei dati (Gdpr del 2016) e, nella migliore delle ipotesi, troviamo dei responsabili per i sistemi informativi che fanno anche cybersecurity”.
Non una grande base da cui partire, in realtà, perché questi responsabili “hanno un approccio molto orientato alla tecnologia”. Secondo il presidente di Aipsa, invece, il tema va affrontato “a partire dall’analisi del rischio e delle vulnerabilità intrinseche dei sistemi che, a volte, non sono più aggiornabili ma vanno comunque protetti. Senza dimenticare il fattore umano che gioca un ruolo determinante”.
Dunque, in sintesi, l’avvento della Nis 2 allargherà il perimetro relativo alle aziende attive nel settore energia ma molte di queste, soprattutto piccole utility e fornitori, non hanno implementato per tempo strategie di cybersecurity e ora devono rincorrere le nuove norme.
Un problema anche in termini di sanzioni visto che le ammende potranno arrivare fino al 2% del fatturato consolidato per coloro che non risulteranno conformi.
Un cambio di visione sulla sicurezza informatica
Su questo aspetto Manfredini chiarisce un equivoco di fondo, una prospettiva sbagliata con cui si guarda la sicurezza informatica: “A prescindere dal voler rispettare un obbligo di legge, dobbiamo capire che operatori e fornitori saranno in grado di rimanere sul mercato solo se potranno garantire una cybersecurity efficace”.
Dunque, “non c’è solo lo spauracchio di una sanzione: un attacco andato a buon fine può compromettere irrimediabilmente la capacità operativa di chiunque. Lo abbiamo già visto nel settore manifatturiero con fabbriche che hanno messo in cassa integrazione i dipendenti mentre cercavano di sbloccare i sistemi danneggiati da un attacco cyber”.
Tra le soluzioni al problema Aipsa sostiene “forme consortili o di aggregazione” della domanda di prodotti e sistemi “per poter venire incontro alle esigenze delle piccole e medie imprese”, su cui “l’impatto della Nis 2 sarà molto rilevante visto che alcune sono veramente indietro in termini di cybersecurity”.
Un fronte su cui “lo Stato può giocare un ruolo importante, ad esempio con un cloud nazionale sicuro dove le aziende possano depositare i loro applicativi in un ambiente certificato”.
Il passo in più da compiere, infine, è “tornare a parlare di finanza agevolata per investimenti in sicurezza informatica”.
Fare cybersecurity, infatti, non è solo questione di implementazione tecnologica ma anche di formazione e analisi.
Oggi “le vulnerabilità e le debolezze di processo, insieme al possibile errore umano, sono ciò che cerca un attaccante per colpire con mail di fishing o altro”, rimarca il presidente Aipsa.
“Se i mondi IT e OT non sono ben separati, ad esempio, un file malevolo può arrivare ai sistemi di automazione industriale” e basti pensare alle moderne smart grid per dare una dimensione al problema.
“Le minacce per gli operatori dell’energia sono le stesse di quelle presenti in altri comparti: il ransomware con tutte le modalità con cui viene inoculato, dal fishing al social engineering”.
L’esperienza di A2a
Tra i casi virtuosi citati in precedenza c’è a2a, di cui Alessandro Manfredini è direttore group security & cyber defence. Come ha approcciato la questione questa multiutility?
“Per noi la cybersecurity è parte integrante del piano di transizione digitale, funzionale alla transizione ecologica e all’economia circolare. A livello di modello organizzativo siamo un unicum avendo apposite direzioni coinvolte a livello corporate e le business unit fortemente sensibili al tema. I presidi organizzativi sono orientati l’uno per la valutazione del rischio, la governance e il monitoraggio degli incidenti; l’altro, all’implementazione delle corrette misure di sicurezza nel campo IT e OT. Ovviamente da soli non si va molto lontano”, conclude l’esperto della multiutility.
“Partecipiamo ai network d’impresa e crediamo nella ‘information sharing’ per contrastare il problema. Tanta formazione e costanti esercitazioni per elevare la cultura della sicurezza completano il quadro”.
