Cyber Security Energia 2015 Il Report della 2ÂŞ Conferenza Nazionale CSE
©Energia Media, febbraio 2016 Direttore Emanuele Martinelli Gestione del progetto Alessandro Seregni Hanno collaborato Anna Galbiati, Marta Mazzanti Immagini ©Shutterstock
Energia Media Sede di Milano Via Soperga, 16 - 20127 Milano Tel. +39 02.78622540 Fax +39 02.78622540 Sede di Roma V.le Trastevere, 40 - 00153 Roma Tel. +39 06.5810501 email: comunicazione@energiamedia.it www.smartcityitalia.net www.industriaenergia.it www.cybersecurityenergia.it www.acquaoggi.it
Energia Media Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in programmi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility.
ii
Cyber Security Energia 2015 Il Report della 2ÂŞ Conferenza Nazionale CSE
3
Il presente Report prende spunto dalle riflessioni emerse durante la 2ª Conferenza Nazionale Cyber Security Energia CSE, svoltasi a Roma, il 24 settembre 2015, presso il CASD, Centro Alti Studi della Difesa. La 2ª Conferenza Nazionale Cyber Security Energia prosegue il percorso della 1ª, tenutasi il 3 luglio 2014, e dei numerosi momenti di confronto che si sono susseguiti a Milano e Roma. La collaborazione con Deloitte e WEC Italia, il coinvolgimento delle imprese tecnologiche e delle società energetiche di riferimento del Paese garantiscono al percorso strutturato da Energia Media profondità di contenuti e continuità di relazioni tra soggetti industriali e istituzioni.
Cyber Security Energia 2ÂŞ Conferenza Nazionale
24 settembre 2015 CASD Centro Alti Studi della Difesa Palazzo Salviati, Piazza della Rovere 83, Roma
in collaborazione con
con il supporto di
con il patrocinio di
5
Interventi Diego GAVAGNIN.............................................................................................................................................................p.8 Senior Advisor Energia Media Massimiliano DEL CASALE............................................................................................................................................... p.10 Gen. C.A., Presidente CASD - Stato Maggiore della Difesa Luca LO SCHIAVO..............................................................................................................................................................p.11 Responsabile UnitĂ Regolazioni Caratteristiche e Innovative (RCI) - Aeegsi Marco MARGHERI..............................................................................................................................................................p.12 Vice Presidente - WEC Italia
6
Alessandro ORTIS...............................................................................................................................................................p.16 Co-Presidente della Commissione Sviluppo della Assemblea Parlamentare del Mediterraneo Antonio PENNASILICO...........................................................................................................................................p.19 Comitato Direttivo - Clusit Luigi MARTINO...................................................................................................................................................................p.23 Research Assistant Phd Course Cyberspace and International Relations - Università degli Studi di Firenze Paolo CIOCCA.....................................................................................................................................................................p.26 Vice Direttore, Dip.to delle Informazioni per la Sicurezza (DIS) - Presidenza del Consiglio dei Ministri Luigi RAMPONI...................................................................................................................................................................p.28 Presidente Centro Studi Difesa e Sicurezza (CESTUDIS) Stefano BUSCHI..................................................................................................................................................................p.32 Partner Deloitte, Cyber Risk Services Leader Italia - Deloitte Raffaele TISCAR.........................................................................................................................................................................p.36 Vice Segretario Generale - Presidenza del Consiglio dei Ministri Rita FORSI..................................................................................................................................................................................p.40 Direttrice ISCOM - Ministero dello Sviluppo Economico Andreas MITRAKAS..................................................................................................................................................................p.43 Head of Unit - Quality & Data Management - ENISA Massimo ROCCA.......................................................................................................................................................................p.45 Head of Information Security Unit - Enel Security Italy Andrea CHITTARO....................................................................................................................................................................p.46 Chief Security Officer - Snam Giancarlo CAROTI.....................................................................................................................................................................p.46 Responsabile Information Security - Terna Gilberto DIALUCE.....................................................................................................................................................................p.48 Direttore Generale Sicurezza Energetica - Ministero Sviluppo Economico Giovanna DONDOSSOLA.........................................................................................................................................................p.52 Senior Scientist - Transmission&Distribution Technologies Department - Ricerca Sistema Energetico - RSE Michele MINICHINO.................................................................................................................................................................p.53 Coordinator of Critical Infrastructure Protection Program - ENEA Alessandro CATTELINO...........................................................................................................................................................p.56 ICT Manager - IREN Andrea GUARINO.....................................................................................................................................................................p.57 Responsabile Security, Privacy & Compliance - Funzione ICT - ACEA Massimiliano MANDOLINI........................................................................................................................................................p.58 Selex ES Nicola GATTA......................................................................................................................................................................p.59 Direzione Marketing & Industry Management - Certiquality Antonio FORZIERI.....................................................................................................................................................................p.60 Cyber Security Practice Lead, EMEA - Symantec Antonio IERANÒ.....................................................................................................................................................................p.61 Enterprise BG Cyber Security Office Domenico RAGUSEO................................................................................................................................................................p.62 Manager of Europe Security Technical Sales and Solutions - IBM Angelo PERNIOLA.....................................................................................................................................................................p.63 Senior Consultant Advanced Cyber Defense - EMEA - RSA Roberto BALDONI.....................................................................................................................................................................p.65 Direttore Centro Cyber Intelligence and Information Security, Università “La Sapienza”, Roma
7
Introduzione Diego GAVAGNIN
Energia Media
Mentre tutto sembrava in lenta ripresa, ecco una nuova crisi, un alternarsi di crolli e riprese in Borsa mentre la sfiducia cresce. E le crisi finanziarie ed economiche ma anche sociali hanno sempre come motore sotterraneo la sfiducia, che crea paura nel futuro. Tutti allora si chiudono in loro stessi; c’è chi si tiene il denaro in tasca, chi compra i lingotti d’oro. Impieghi improduttivi. Risultato: tutto si ferma e chi rimane fermo poi alla fine cade. Come i soldati della Regina davanti a Buckingham Palace. Adesso ci si interroga ad alta voce sui motivi di questa crisi perché non si riesce a vedere l’innesco. Saperlo potrebbe ridare un po’ di fiducia, perché già conoscere cosa è successo dà tranquillità e fa tornare la sicurezza di chi pensa di poter reagire. Viene in mente il battito della farfalla, che muove un po’ d’aria in Brasile e a noi arriva una burrasca, oltre l’oceano. Ecco, è la globalizzazione dell’economia e della finanza, giunta ai suoi estremi immaginabili, grazie allo sviluppo della cibernetica. Nella complessità globale tutto è noto e quindi invisibile. Come non vediamo la farfalla, e forse mai riusciremo a vederla, così non riusciamo e sempre meno riusciremo, a capire cosa accade, cosa è accaduto. Chissà qual è il grado di fiducia dei trader nei computer e nei programmi che usano, nella stessa rete, mentre decidono se vendere o comprare, magari perché hanno appena letto una strana notizia nella cronaca nera di Hong Kong, o una telefonata gli ha fatto cambiare umore. Poi scatta il trend che si auto avvera. Si vede uno scambio al ribasso, lo si segue, arrivano altri scambi, aumenta l’idea che sia in atto una forte discesa e si vende; e così tutti gli altri. Scattano dunque gli allarmi e le quotazioni vengono sospese. Ma è la sospensione stessa che drammatizza la situazione e alla riapertura tutti tornano a vendere. Accade così anche in caso di rialzo, quando si passa da più 5 a meno 5 nella stessa giornata. Deve ancora crescere e svilupparsi la cultura dell’ignoto, la capacità di recepire i giusti segnali e sopravvivere nell’incertezza. Quante centinaia di
8
migliaia di anni ci sono voluti per superare la paura della fine della savana, dell’inizio della foresta, dell’arrivo del deserto mai visto prima. La paura dell’oltre: oltre le montagne, oltre i fiumi. O la visione del mare così lontano e presente e tanto calmo quanto folle e tempestoso in poche ore. Eppure bisognava navigare e lo si faceva. Ecco i miti che spiegano l’ignoto e lo rendono familiare, tollerabile. Ma ahimè la stagione dei miti è finita, perché sappiamo come sono nati e a cosa sono serviti. Da qualche millennio ci siamo protetti vivendo sulla difensiva, costruendo città murate, Stati, eserciti. Il concetto di difesa del territorio, del mare, dell’aria, ci è ben radicato e tutta la società sa come essere allerta e cosa fare se arrivano minacce. La nuova dimensione cibernetica è invece un cambiamento di stato, una rivoluzione in atto di cui non vediamo ancora limiti e capacità espansiva. Non possiamo metterci mano, così come non sappiamo mettere le mani sul nostro computer, mentre sapevamo bene come impugnare un’arma. Eccoci tornati all’incertezza, con i rischi di rimozione del problema e con il nascondersi in silenzio, in un angolo. Prevale l’idea che debba pensarci qualcun altro, mentre la difesa cibernetica, che siano attacchi o errori, è un problema sia individuale sia collettivo. Così come ogni altro spazio esso riguarda ciascuno di noi, e insieme le aggregazioni sociali, i quartieri, le città, le imprese, la comunità. È un fatto culturale, ma di cultura globale, non regionale. Non c’è più una guida, né un Paese leader che decide per tutti, né due nazioni che, pur in contrasto, dettano linee di condotta da seguire. Poi sappiamo che non c’è spazio, né fisico né “immateriale”, senza energia. Le aziende del settore sono infatti le più esposte agli attacchi di panico informatico proprio in considerazione della loro importanza economica, politica e strategica. Il prezzo del petrolio ha perso l’8% e guadagnato il 5% nello stesso giorno! Non c’è più neanche il tempo di controllare una statistica, mentre i listini ballano. Inutile chiamare gli esperti; anche i più bravi, certamente, conoscono il mondo, ma quello vecchio. A tutto questo si aggiunge l’incertezza sulla tenuta delle difese informatiche vere e proprie, quelle che devono proteggere da attacchi veri, non da panico. Eppure nelle situazioni di crisi almeno la sicurezza e la fiducia nei propri strumenti devono essere l’ultimo baluardo come lo era sul filo della spada, sulla tenuta del ferro. La segretezza sugli attacchi che tutti sanno che ci sono - anche se sempre negati - contribuisce al clima negativo. Nel mondo della produzione dell’energia il problema non è il proprio computer, è la tenuta delle reti. Concentrati sull’ombelico non si vede il panorama e quando lo si guarda ci si spaventa. Sviluppare la coscienza della sicurezza informatica se non globale almeno aziendale, come quella nazionale, può non essere la soluzione finale, ma certo può dare una mano.
9
Riflessioni introduttive
Massimiliano DEL CASALE
CASD
L’innovazione tecnologica avanza a una velocità inaspettata fino a pochi anni fa e si espande con altrettanta rapidità a tutta la società. Il fatto che non si possa prescindere da strumenti di comunicazione informatici e da sistemi informatizzati ha comportato, di contro, anche l'insorgere di notevoli situazioni di vulnerabilità. Prima fra tutte quella riguardante la sicurezza e, dunque, la tenuta di questi sistemi, anche in considerazione dell’enorme quantità di dati – correlati e necessari a noi tutti – da dover processare nella maniera più efficace e più rapida. Lo spazio stesso della comunicazione può essere paragonato a una terra di confronto, una sorta di campo di battaglia dove operano sia le grandi strutture internazionali sia le organizzazioni criminali e terroristiche sia i singoli soggetti in possesso di una conoscenza e di un know-how avanzati; essi con poche risorse finanziarie hanno la capacità di penetrare nei sistemi informatici e nelle banche dati e, conseguentemente, di condizionare il funzionamento stesso delle comunicazioni tra le società. In questo senso è indispensabile dedicare grande spazio al tema della sicurezza, a partire dalla formazione di coloro che si troveranno ad operare in settori strategici. Partendo dalla nostra scuola - il Centro Alti Studi della Difesa che ha deciso di dedicare diversi corsi proprio alla trattazione al tema della cyber security. 10
Luca LO SCHIAVO
AEEGSI
La questione della cyber security sta uscendo dalle élite ristrette di specialisti in cui si è sviluppata inizialmente e sta diventando, progressivamente, senso comune della vita delle imprese energetiche E non solo delle imprese: anche degli uffici di regolazione. Quest'anno, i regolatori nazionali dell'energia, riuniti nella loro associazione europea CEER, sollecitati da ENISA, hanno avviato un primo lavoro di confronto interno sulla cyber security, da cui sta emergendo un panorama diversificato che può fornire indicazioni concrete di benchmarking per la diffusione delle migliori pratiche regolatorie. In un futuro anche breve, potrebbe essere coinvolta ACER, l'agenzia europea per la cooperazione dei regolatori dell'energia costituita nel 2011 sulla spinta del cosiddetto terzo pacchetto europeo sul mercato interno dell'energia. Benché il settore dell'energia sia in prima linea sul fronte della cyber security, per l'essenzialità assoluta dei servizi energetici, non dobbiamo scordare che i temi di prevenzione e mitigazione delle vulnerabilità cibernetiche sono per loro natura "cross-sector", intersettoriali e pervasivi esattamente come la tecnologia ICT su cui si basano. La risposta non può quindi che essere anch'essa intersettoriale, sebbene ogni settore abbia le proprie specificità. Come regolatore del settore energia, nel 2015 abbiamo avuto due occasioni di toccare il tema della cyber security: dapprima con una consultazione, nel mese di giugno 2015, sul tema della diffusione su larga scala dei sistemi intelligenti di distribuzione, o "smart distribution system" (consultazione n. 255/ 2015); e di recente, con la consultazione sui requisiti funzionali dei contatori elettronici di seconda generazione. Queste due circostanze segnalano che la cyber security è prima di tutto una questione di progettazione dei servizi, dei processi e dei componenti tecnologici del grande sistema energetico nazionale e in prospettiva europeo. Un sistema sottoposto a un grande pressione di innovazione, in questa fase caratterizzata da nuove tecnologie di produzione e di utilizzo, nuovi ruoli, ibridazione tra generazione e consumo, nuove regole. Sotto la spinta di comunicazioni ansiogene, si tende a vedere il nuovo come fonte di rischio cibernetico, mentre bisogna riflettere 11
sul fatto che l'innovazione è anche l'occasione per eliminare le vulnerabilità del passato, che sono forse meno evidenti ma non meno pericolose.
Marco MARGHERI
WEC Italia
Il termine resilienza è utilizzato con sempre maggiore frequenza anche nell'ambito energetico. Davanti a eventi estremi, la resilienza dei sistemi energetici dei Paesi è uno dei primi pilastri a essere messa in crisi. Nel 2014 la quantità di eventi capaci di generare impatti sul funzionamento delle infrastrutture energetiche è stata quattro volte superiore a quelle registrate negli anni Ottanta. Le imprese energetiche si sono abituate a costruire le condizioni, tramite processi e strumenti sempre più avanzati, per continuare a funzionare nonostante le situazioni di emergenza. Inoltre, c'è la necessità di dare stabilità al Paese. Quando i servizi e le capacità tecnologiche sono parte della quotidianità di ognuno e sono vitali sia per le infrastrutture che per i singoli cittadini, diventa fondamentale la loro integrità dal punto di vista fisico, digitale e della loro dimensione cibernetica e tecnologica. I rischi non riguardano più solamente il mondo dei sistemi informativi. Anche guardando al settore energetico – strategico per ogni nazione – è indispensabile che la pubblica amministrazione, il governo, i legislatori abbiano le risorse per dotarsi di una competenza che evolva nel tempo e che sia in grado di stare al passo con i rapidi e quasi quotidiani mutamenti e aggiornamenti. È urgente stabilire una strategia in grado tanto di prevenire gli attacchi come di reagire a essi in modo coordinato. Per ottenere risultati concreti e soddisfacenti è tuttavia fondamentale superare la divergenza di punti di vista e la scarsa comunicazione tipiche del rapporto pubblico-privato. Bisogna testare un nuovo modo di collaborare e di condividere le preoccupazioni, i processi e le competenze.
12
13
Visione, politica e regole
15
Prospettive e programmi internazionali
Alessandro ORTIS Commissione Sviluppo della Assemblea Parlamentare del Mediterraneo Parlare di sicurezza informatica significa focalizzare l’attenzione su questioni che sono diventate e - sempre più - stanno diventando cruciali per ogni aspetto della vita socio-economica e culturale della nazione. Questioni di primaria importanza, all’interno delle quali i sistemi energetici hanno una collocazione di rilievo, considerando l’importanza che rivestono per il progresso della condizione umana e di quello stesso del pianeta. Il settore energetico è un settore strategico fondamentale che chiede di essere gestito, trattato e sviluppato in modo da assicurare sempre sicurezza, adeguatezza e competitività. L’energia fa parte di ogni momento del nostro quotidiano, è strumento fondamentale per far progredire la qualità della vita, per raggiungere i successi economici, per generare cultura. È chiave di volta anche per quanto riguarda le relazioni internazionali e la tutela dell'ambiente. In una parola è colonna portante – o una delle colonne portanti – di quello che si definisce sinteticamente sviluppo sostenibile. L’incrocio tra l'energia e la cibernetica dà origine a un ambito estremamente importante dove – come enunciato dal titolo della prima sessione della 2ª Conferenza nazionale – è fondamentale avere visione, politiche e regole chiare. E nell’ambito della cyber security, lato energy, la necessità di uscire da una situazione di incertezza, confusione e assenza di regole è prioritaria. Quindi se non si vuole la presenza di zone franche o dove regni il caos è urgente operare per avere dei quadri normativi di riferimento il più possibile ben disegnati, ben manutenuti e rispettati; quadri normativi e assetti di governance che derivino da scelte politiche, a loro volta, riferite a una visione dinamica, sempre più ampia e complessiva del problema della sicurezza informatica. In questo senso non basta stabilire le regole o colmare i vuoti normativi. È fondamentale anche tenere queste norme sempre aggiornate e monitorate, in linea con altri quadri normativi, in maniera che possano guidare proattivamente gli sviluppi positivi. Infatti, tanto quello energetico come quello cibernetico sono settori bisognosi di attenzioni continue e proattive da parte regolatoria. Sono almeno 4 le macrofasi della filiera energetica fra le più esposte al rischio cibernetico.
16
La prima fase riguarda l'approvvigionamento delle risorse (oil&gas, elettricità e altro) e, nello specifico, i mercati di approvvigionamento. Per un continente l’Europa e, in particolare, per una nazione come l’Italia fortemente dipendente dalle importazioni non c'è dubbio che il mercato di approvvigionamento sia materia particolarmente sensibile. Per quanto riguarda gli idrocarburi, il nostro Paese si rivolge ad aree politicamente instabili, quali Libia, Medio Oriente, Ucraina e Russia, dove si giocano delle partite di portata colossale. Mercati nei quali la forte concorrenza e i grandi interessi in gioco possono rendere molto delicata la questione dei possibili attacchi informatici. Il tema della sicurezza informatica è di particolare rilevanza per quei Paesi che dipendono dalle importazioni, considerando le implicazioni che l’acquisto da Paesi terzi ha sulle rotte sia marine che aeree, sui collegamenti transfrontalieri, sulle infrastrutture e su tutto ciò che riguarda l’approvvigionamento. Poi esiste il problema legato alla produzione interna, alla scoperta dei giacimenti, alla gestione delle centrali elettriche, alla produzione distribuita che sempre più trova spazio e sviluppo e che rende ancor più complicato il modo di attrezzare il sistema e di difenderlo. Nello stesso tempo, le fonti rinnovabili o le micro unità distribuite sul territorio non possono ignorare la questione cyber security: anch’esse, infatti, in quanto telecontrollate, telesorvegliate, telecomandate, devono essere parte di un sistema armonico, coordinato, finemente gestito e protetto. La difesa da attacchi informatici non si può dunque limitare alle infrastrutture interne di una nazione, ai suoi impianti di stoccaggio, alle sue grandi reti di trasporto e di distribuzione dell’energia ma deve estendersi fino ai noi consumatori, alle nostre abitazioni, ovvero fino a quei contatori che, in un futuro ormai prossimo, saranno sempre più “intelligenti”. Strumenti tecnologici interconnessi che funzionano grazie anche all'informatica ed alla relativa sicurezza. La cyber security, oltre che in termini di difesa e buona funzionalità del sistema, può essere vista anche nell’ottica di sviluppo di opportunità di business. Immaginando e mettendo a disposizione nuove combinazioni prodotti-mercati, servizi-mercati; innovazione e ricerca e sviluppo dedicato al settore. In questo senso l’Italia e le aziende italiane possono ben cogliere delle opportunità industriali nei settori della softwaristica, dell’hardware e della componentistica. Quindi la sicurezza informatica va vista non solo come un ennesimo e fastidioso problema da risolvere ma come una grande opportunità di sviluppo, considerando il contesto in continua mutazione, con confini sempre più ampi e sconosciuti. In conclusione, per operare al meglio in un contesto di Cyberwarfare mondiale serve sempre più collaborazione e cooperazione tra istituzioni, operatori e cittadini a livello di singo-
17
lo Paese, a livello di Unione europea e a livello internazionale. C'è bisogno di iniziative dinamiche, in profondità e proattive. Ciò significa considerare pure tre aspetti: la sensibilizzazione e la formazione; gli investimenti; l’implementazione rapida dei progetti.
18
Antonio PENNASILICO Clusit Proviamo a considerare la questione della sicurezza informatica da un altro punto di vista, ovvero quello quella sensibilizzazione e della collaborazione. Per i non addetti ai lavori, il mondo digitale e virtuale sono poco concreti, come i pericoli che li riguardano. Purtroppo anche le imprese non sempre comprendono la portata e le conseguenze negative delle problematiche di cyber security quali un attacco alla sicurezza informatica di un determinato sistema. Un’affermazione che diventa molto preoccupante quando le imprese in questione operano in campi sensibili e strategici, come quelle energetiche. Dati alla mano e allarmati per il quadro che emergeva dalle nostre analisi dei dati relativi al 2013, avevamo intitolato un capitolo del Rapporto Clusit 2014 « L’insicurezza informatica è il “new normal” » (non senza attirare qualche critica). Date le premesse, come era purtroppo lecito attendersi l’interminabile sequenza di attacchi informatici registrati nel 2014, caratterizzati da un costante aumento della gravità degli impatti per le vittime, non solo ha confermato la nostra ipotesi ma, interpretando con attenzione le dinamiche che stanno alla base di questi fenomeni, ci induce a segnalare l’emergenza di un nuovo paradigma, ovvero che non è più possibile utilizzare strumenti informatici senza, per questo stesso fatto, essere costantemente sotto attacco. Parafrasando la Prof. Shoshanna Zuboff della Harward Business School, che negli anni Ottanta del secolo scorso affermava “tutto ciò che può essere informatizzato lo sarà”, potremmo dire che siamo giunti al punto in cui “tutto ciò che può essere attaccato lo sarà”. Questo perché i malintenzionati (indipendentemente dalla loro natura e dai loro scopi), attirati da sostanziosi guadagni (economici e non) sono aumentati di numero, si sono organizzati, ed hanno a disposizione strumenti sempre più sofisticati, che possono adattare e sostituire al bisogno con stupefacente rapidità, acquistandoli a costi mediamente irrisori in un immenso mercato underground di prodotti e servizi cyber criminali che ha tutte le caratteristiche di un’industria high-tech di prim’ordine, con l’aggravante che questa particolare industria gode del “vantaggio competitivo” di essere totalmente non regolamentata e di non essere soggetta ad alcun tipo di limitazione (salvo il contrasto delle Forze dell’Ordine). Inoltre va sottolineato che i criminali si avvalgono (ormai da anni) di strumenti totalmente automatizzati, in grado di colpire milioni di sistemi in poche ore, il che consente loro di cambiare tattiche e strategie in tempo reale e di operare senza interruzione da qualsiasi punto del pianeta. 19
Questo approccio sistematico è molto facilitato dalla diffusione endemica di vulnerabilità non gestite e dalla situazione di sostanziale “monocultura” tecnologica che si è determinata negli anni, la quale rende particolarmente efficace questo genere di automazione degli attacchi informatici, e genera pericolose “economie di scala” a favore degli attaccanti. Il problema infatti non è meramente tecnologico. La ragione principale per cui gli attaccanti hanno la meglio è economica, e risiede nella crescente asimmetria tra i differenti “modelli di business”: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori (ancora legati ad un modello reattivo, e dunque incapaci di anticipare le mosse degli avversari) è di milioni di dollari . A titolo di esempio il malware BlackPOS, in vendita per 1.800 dollari nel mercato underground, che contiene ben otto componenti “riciclate” e già note da anni, nel 2014 (considerando due soli attacchi) ha causato danni accertati per 62 milioni di dollari a HomeDepot, e per 148 milioni a Target. Va qui anche ricordato che nel corso del 2014 è (purtroppo) venuto a cadere il “mito” della superiorità dell’Open Source (ed in particolare di Linux) dal punto di vista della sua maggiore sicurezza intrinseca, a seguito della scoperta di vulnerabilità gravissime, pre-
20
senti da anni nel codice di importanti componenti, sfuggite al vaglio della “Community” principalmente per mancanza di risorse. Per quanto le principali distribuzioni siano state corrette in tempi brevissimi, considerando che moltissimi sistemi embedded costantemente connessi in rete come router casalinghi, appliance di ogni genere, telecamere di sicurezza, stampanti, vending machines, smart tv, giochi per bambini (etc.) contengono una qualche variante di Linux nel proprio rmware, e che tutti questi miliardi di sistemi difficilmente riceveranno patch per vulnerabilità come Heartbleed, ShellShock o Poodle, si comprende quanto sia davvero grave il problema. Un simile scenario di “industrializzazione delle minacce”, unito alla bassa sicurezza presente nei sistemi informatici in generale, modifica sostanzialmente tutti i ragionamenti fatti finora in termini di gestione del rischio informatico e di valutazione degli economics (e quindi del ROI) dell’ICT, e richiede a tutti (utenti finali, vendor, istituzioni civili e militari, imprese) un ripensamento profondo delle strategie di implementazione di nuovi prodotti e servizi basati sull’informatica e sulla rete. Infine, non vanno sottovalutati i possibili effetti sistemici di quanto sopra. Da un lato sofisticate tecniche di attacco sviluppate da team governativi (anche queste poi “riciclate” dall’underground criminale, come nel caso del malware Gyges) sono già usate su larga scala da un certo numero di nazioni con finalità di spionaggio e di infiltrazione dei sistemi altrui, allo scopo di fare “pressione” sui bersagli e/o di poterli danneggiare o disattivare, e dall’altro strumenti analoghi stanno entrando nella disponibilità di organizzazioni terroristiche, che si approvvigionano tramite gruppi cyber criminali. Le possibili conseguenze di questa selvaggia corsa ai cyber-armamenti (ambito non normato a livello internazionale) sono francamente straordinari, e non riguardano solo le cosiddette “infrastrutture critiche” definite come tali in base alle normative, ma una quantità crescente di servizi erogati da aziende private e da pubbliche amministrazioni che, se resi indisponibili a seguito di un attacco, creerebbero enormi disagi alla popolazione e, in certi scenari, anche perdite di vite umane. La comprensione dei fenomeni sopra discussi dovrebbe spingere tutti i responsabili (non solo in ambito ICT) a rivedere con estrema urgenza le proprie attuali politiche di gestione del rischio informatico (quando esistenti) o convincerli ad adottarne, innalzando i livelli di investimento in formazione, processi e strumenti deputati alla sicurezza cibernetica, che allo stato attuale si dimostrano ancora palesemente inadeguati, sia perché troppo limitati, sia perché orientati nella maggioranza dei casi a forme di difesa reattiva “tradizionali” e statiche che ormai non tengono più il passo con l’evoluzione delle minacce.
21
Osserviamo con estrema preoccupazione che purtroppo ciò non sta ancora accadendo. Manca attenzione per i fenomeni in atto, si confondono ancora gli investimenti in compliance (certamente necessari) con quelli in sicurezza, non esistono forme di coordinamento né di “mutuo soccorso” per esempio tra partner o tra clienti e outsourcer, i contratti non tengono ancora debitamente conto dell’aumentata rischiosità dell’ICT, le possibilità di trasferimento dei rischi “cyber” tramite polizze assicurative sono ancora limitate e poco utilizzate, si sottovalutano gli effetti domino che inevitabilmente discendono dalla crescente interconnessione tra organizzazioni, non si applicano forme strutturate di information sharing, eccetera. Considerata l’importanza assunta dall’ICT in ogni ambito della nostra esistenza, questo sorprendente scollamento tra realtà e percezione andrebbe approfondito sotto vari punti di vista non tecnici (culturali, antropologici, economici). Ci limitiamo a sottolineare che nello scenario odierno occorre porre la sicurezza informatica al centro ed a monte di qualsiasi progetto che includa l’utilizzo di sistemi ICT, e non considerarla più un aspetto secondario (o peggio una “tassa”), ma l’elemento abilitante più essenziale ed irrinunciabile per evitare che scelte avventate (o semplicemente non informate) producano effetti contrari a quelli desiderati, se non deleteri. Tali effetti nell’immediato possono sostanziarsi in gravi danni economici, violazioni della privacy su larga scala e furti di proprietà intellettuale ma in prospettiva, su un più ampio piano socio-culturale, con l’aumentare degli incidenti, possono indurre un rigetto della tecnologia da parte degli utenti, e/o facilitare l’instaurazione di regimi “orwelliani” di monitoraggio di massa e di forte compressione delle libertà personali, introdotti con la motivazione di “combattere le minacce cyber”. Sono tutti rischi molto concreti che non possiamo permetterci di correre.
22
Luigi MARTINO Università degli Studi di Firenze Le crescenti minacce provenienti dal dominio cibernetico necessitano oggigiorno, non solo di un’esperienza e specializzazione tecnologica ma anche e soprattutto di un approccio strategico. Approccio strategico, nel campo della cybersecurity, vuol dire pianificazione e soprattutto visione strategica. La visione strategica, non a caso, caratterizza quei Paesi che hanno la consapevolezza dei rischi e delle minacce; tale approccio è alla base delle scelte di policy degli Stati Uniti, attuali leader internazionali nel campo della sicurezza cibernetica. Pur forzando (volutamente) l’accostamento del modello statunitense con la realtà italiana (si pensi a tal proposito ai limiti costituzionali che impediscono, in Italia, l’uso della forza per risolvere controversie internazionali) l’analisi del modello americano permette di evidenziare un modello virtuoso che, anche se in minima parte, potrebbe suggerire delle iniziative attualizzabili nel nostro Paese. La virtuosità del modello americano, come detto in precedenza, si basa su una visione strategica che i decisori politico-militari statunitensi ebbero sin dal 1996 quando, attraverso il documento militare Joint Vision 2010, evidenziarono sia lo sviluppo della rivoluzione informatica che il presupposto e la volontà di giungere a un dominio (civile e militare) effettivo nel cyberspazio. Tuttavia, la supremazia nello spazio cibernetico non esula da rischi dovuti essenzialmente all’elevata informatizzazione raggiunta, con l’utilizzo della tecnologia ICT, in tutti i settori dei Paesi industrializzati. Ad esempio, la vulnerabilità delle infrastrutture critiche nazionali di fronte alla crescente sofisticazione degli attacchi informatici appare sempre più evidente. Proprio questa consapevolezza del trade-off crescente tra informatizzazione ed esposizione al rischio, ha spinto i decisori politici americani a intraprendere una serie di iniziative basate perlopiù sulla collaborazione pubblico-privato con la consapevolezza da un lato che l’elemento tecnologico gioca un ruolo marginale rispetto all’elemento strategico, e dall’altro lato con la convinzione che il settore privato (che detiene in maggior misura la gestione e il controllo delle infrastrutture critiche) non può sottrarsi alle esigenze di sicurezza nazionale. Le iniziative governative americane vanno dagli ultimi executive order di Obama incentrati sull’avvio di un partenariato pubblico-privato per lo scambio di informazioni alle iniziative intraprese dal Dipartimento dell’energia per bloccare e contrastare le crescenti intrusioni cibernetiche salvaguardando perlopiù le nuove tecnologie Smart Grid. 23
In campo internazionale gli Stati Uniti (come dimostra in questi giorni l’apertura al dialogo con la Cina) da un lato tendono a sviluppare un dialogo con i maggiori competitor statali per stabilire regole del gioco condivise mentre, come sottolinea la recente Cyber Strategy approvata dal Pentagono nell’aprile 2015, non esitano a dichiarare la propria intenzione di reagire, anche con armi classiche, in caso di attacco cibernetico. La consapevolezza della crescente rilevanza assunta dalle infrastrutture energetiche nel campo della cybersecurity può essere anche intravista dalle iniziative intraprese in seno agli organismi internazionali. Ad esempio, presso l’OSCE è stato istituito un Informal Working Group (voluto dalla rappresentanza americana) sulla necessità di adottare delle Confidence Bulding Measures (CBMs) nel cyberspazio. Le infrastrutture critiche energetiche vengono definite, all’interno di questo dibattito, come una delle principali entità da difendere, dovuta alla loro interdipendenza che potrebbe causare un effetto domino distruttivo. In conclusione quindi, come accennato in precedenza, emerge una necessità evidente di intervenire nel campo della cybersecurity anche per il settore energetico (alla luce della crescente evoluzione verso un mondo Smart) attraverso un approccio strategico che, da un lato, metta in luce le crescenti minacce alla sicurezza nazionale protratte attraverso i continui attacchi informatici ai danni delle infrastrutture critiche e, dall’altro lato, evidenzi come il settore privato (sensibile ai calcoli economici) sia il primo a rimetterci in termini di danni materiali e di immagine in caso di cyber attacks. Solo con la consapevolezza della comunanza di interessi nazionali ed economici (in definitiva di Sistema Paese) tra settore pubblico e privato può esistere un efficace ed efficiente contrasto alle attività deleterie provenienti dal cyberspazio. Una difesa efficace deve partire dalla logica realistica del calcolo costi benefici. Maggiori investimenti in cybersecurity equivalgono a maggiori benefici per l'economia e per l'intero sistema Paese (si pensi a tal proposito all'indotto economico che rappresenta oggi il mondo ICT). Questo calcolo lo hanno ben compreso Paesi come gli Stati Uniti (e non solo). Sarebbe il caso che anche l’Italia si sforzasse a comprendere come la sicurezza cibernetica sia una priorità per il benessere dell’intero sistema Paese.
24
25
Applicazione e prospettive del Piano Nazionale protezione cibernetica e sicurezza informatica. I programmi in Italia
Paolo CIOCCA Dipartimento delle Informazioni per la Sicurezza (DIS) Nel settore della sicurezza cibernetica, aumentano le linee di lavoro comuni, vista la forte pressione internazionale sul tema. L'iniziativa G7 Energia, legata soprattutto all’impulso degli Stati Uniti, è di grande importanza e mette in chiaro la necessità di accelerare i tempi d’azione. Anche nel panorama nazionale è possibile individuare alcune novità. Innanzitutto esiste una direttiva del presidente del Consiglio, dell’1 agosto 2015, indirizzata ai ministeri facenti parte del Comitato interministeriale per la sicurezza della Repubblica (CISR) con l'obiettivo di accelerare i tempi di allineamento delle proprie capacità di difesa a standard internazionali. Inoltre, è stato richiesto all’Agenzia per l’Italia Digitale (AGID) di fornire un livello minimo di sicurezza al quale le amministrazioni pubbliche si devono adeguare, rifacendosi a tre punti del sistema: il CERT Nazionale, il CERT della pubblica amministrazione e il Nucleo per la sicurezza cibernetica (NSC), in maniera da allinearsi allo standard internazionale. Il Dipartimento delle informazioni per la sicurezza (DIS) effettuerà una verifica della situazione sulle diverse componenti delle pubbliche amministrazioni. Saranno queste ultime in assenza di uno stanziamento ad hoc per l’azione del DIS, a dover riallocare una parte del budget per questo intervento. Per quanto riguarda il futuro a breve termine, è il settore privato quello su cui si sta facendo maggiormente leva. Il Laboratorio Nazionale sulla Cyber Security ha predisposto un documento sulle le sfide per il sistema Italia nei prossimi cinque anni. Un lavoro a supporto di un progetto più importante quale l'introduzione nell'impresa italiana di un framework di autovalutazione sul modello statunitense del NIST Framework per Cyber Security. Le imprese necessitano infatti di un quadro di riferimento il più possibile logico, essenziale, flessibile, comune, in grado di essere condiviso dai diversi settori; certamente non dovrà essere solo un insieme di standard tecnici. È opportuno spingere perché ci sia un approccio libero e responsabile di ciascun "operatore impresa" rispetto al settore, alla propria posizione e ai propri interessi di investimento per avere un quadro complessivo affidabile.
26
Su questo fronte, il laboratorio ha lavorato in stretto coordinamento con il National Institute of Standards and Technology (NIST), un'agenzia del governo degli Stati Uniti d'America che si occupa della gestione delle tecnologie. Considerando il settore energetico, strategico per il Paese, l’attenzione aumenta. Una soluzione potrebbe essere quella di pensare a un CERT di settore, come da best practice internazionale, con l’evoluzione da un CERT puramente operativo a uno più complesso, come accade con iniziative quali ISAC - Information Sharing and Analysis Center. È importante che si sviluppino momenti e luoghi di scambio intersettoriali e cross sector, che permettano il rapporto con i diversi mondi pubblici. Al giorno d’oggi, infatti, è di grande rilevanza tanto il problema della comunicazione tra competitors quanto il rapporto tra questi soggetti e il pubblico. È necessario, operare sempre di più e sempre meglio, riflettendo con particolare attenzione sui modelli di rapporto pubblico-privato per poi passare a modelli ancora più avanzati, legati al mondo della società civile.
27
Luigi RAMPONI Centro Studi Difesa e Sicurezza (CESTUDIS) l DPCM del gennaio 2013 ha definito le linee guida, i compiti, gli enti di riferimento e gli interlocutori nel mondo della cyber security. Il sistema agisce sotto il controllo e l'ispirazione del DIS, che a sua volta recepisce il dettato del Consiglio interministeriale e del Presidente del Consiglio. Tre sono i punti fondamentali del sistema: il NUCLEO per la sicurezza cibernetica, il CERT nazionale e il CERT della pubblica amministrazione ll NUCLEO per la Sicurezza Cibernetica Nazionale, collocato presso l'Ufficio del consigliere militare del Presidente del Consiglio, ha numerosi compiti: • la programmazione e la pianificazione operativa; • la preparazione della risposta a situazioni di crisi, tramite un'unità di allertamento; • la definizione delle procedure di condivisione e di interscambio delle informazioni; • fare comunicazione; • fare promozione e coordinare le esercitazioni; • essere il punto di riferimento per l'estero. Il NUCLEO di Sicurezza Cibernetica, si confronta con diversi interlocutori: il CERT Nazionale, il CERT della Pubblica Amministrazione, il CERT della Difesa per i rapporti con la NATO e con il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) che si occupa dell’impiego della polizia giudiziaria nei confronti di chi opera attacchi di carattere cibernetico. Nell'ambito del NUCLEO di sicurezza cibernetica è garantita un’operatività h/24; sono state definite le procedure per lo scambio delle informazioni e si sono promosse attività addestrative nazionali ed internazionali. Inoltre, è stato mantenuto il collegamento con l'ONU, con la NATO, con l'Ue ed altre organizzazioni internazionali. Le esigenze da affrontare nel futuro sono diverse. Innanzitutto bisogna potenziare le capacità di reazione delle singole amministrazioni, poi è opportuno adeguare e consolidare gli standard e infine rafforzare la cultura dalla condivisione. Anche se con alcuni punti di poca chiarezza, l'attività tecnico-operativa italiana trova la sua origine e la sua soluzione nell'ambito del CERT nazionale, che è il responsabile diretto della risposta a emergenze di grande portata. Inoltre, si occupa di coordinare le risposte dei diversi CERT pubblici e privati; sia il NUCLEO per la Sicurezza Cibernetica sia il NIS si servono del suo operato. Dal 2013 ad oggi, si è riusciti a perfezionare un nucleo che garantisse, senza interruzioni, la capacità di infosharing; si sono avviate alcune con28
venzioni con strutture critiche per concretizzare un rapporto con il settore privato, che servissero anche a segnalare delle problematiche di carattere cibernetico. Nella constituency del CERT nazionale sono presenti: • la componente della Pubblica Amministrazione (attraverso il CERT della PA); • la componente di strutture sensibili private o di grande rilievo e strategiche, attraverso convenzioni; • le aziende private e i cittadini. Il CERT nazionale sviluppa la sua attività sia in campo interno - controllando e coordinando lo scambio di indicatori di compromissione con soggetti privati e con soggetti pubblici - sia esterno, diffondendo informazioni sulla vulnerabilità dei sistemi e guidando la cooperazione nella risposta di incidenti. In ambito internazionale, c’è uno scambio di informazioni inerenti sia vulnerabilità e indicatori di compromissione, sia lo scambio di dati di traffico anomalo generato da IP italiani verso gli esteri e viceversa, oltre che informazioni sulla risposta agli incidenti. Il CERT della pubblica amministrazione è il collaboratore diretto del CERT nazionale; dà informazioni in merito a tutti i livelli della stessa. Alla fine del 2013, dopo l’emanazione del DPCM, il già esistente CERT SPC è stato trasformato nel CERT della Pubblica Ammi-
29
nistrazione e ha avviato la fase pilota con un insieme ristretto di amministrazioni. A febbraio del 2014 è iniziata l'erogazione di servizi incident response nonché l'emissione di bollettini e di avvisi di sicurezza. È stato costituito un presidio allertabile che, diversamente rispetto a quello operante nell'ambito ricerca nazionale, ha una presenza effettiva di otto ore per cinque giorni anche se, on call, è capace di intervenire in caso di necessità. A giugno si è conclusa la fase pilota e oggi vi è già una prima rete che include sette amministrazioni centrali, tre enti pubblici, quattro regioni e tre città metropolitane. Per quanto riguarda il supporto del coordinamento, è stata definita la procedura di gestione degli incidenti mentre, nell'aprile del 2015, è entrata in esercizio una piattaforma di infosharing con un sistema di posta elettronica dedicato e il suo sito ufficiale per il coordinamento tecnico tra le strutture di sicurezza esistenti. Infine, per quanto riguarda la gestione dell'escalation delle informazioni verso il CERT nazionale, è stata disposta una convenzione per lo scambio di informazioni e la conoscenza di quanto accade nella pubblica amministrazione; nel corso di due anni si è strutturato un sistema che costituirà una base di partenza per procedere in futuro. Nonostante questo, moltissimo resta da fare, soprattutto in confronto all'organizzazione esistente in quegli Stati con i quali si collabora in ambito europeo e mondiale. Inoltre, è necessario avere un testo unico che contenga tutti diversi decreti, avente come base il DPCM, per un’esigenza di chiarezza e per evitare di favorire personalismi ed egoismi che intralciano l'operato. Auspico la preparazione di un testo unitario che possa dare una guida legislativa nel mondo cyber. Il Governo deve riuscire a destinare adeguate risorse in questo settore Sono almeno quattro le minacce che incombono sul nostro Paese: quella convenzionale, quella nucleare, quella terroristica e quella cibernetica. Quella convenzionale è molto attenuata; l'arsenale dell'Unione Europea, senza contare la NATO, è tre volte quello della Russia e la stragrande maggioranza delle risorse è speso in questo settore. Al settore terroristico, invece, dedichiamo troppe poche risorse. Per quanto concerne la minaccia cyber, la situazione è ancora più grave perché si lesinano delle risorse, magari per destinarle ad altri settori non così importanti. I Paesi con i quali l’Italia si confronta, come Francia e Regno Unito, sono più avanti sia dai diversi punti di vista. Il nostro Paese ha uno dei più alti i bilanci di spesa del mondo (l’ottavo mondiale) e, dunque, le risorse possono essere trovate. Infine, bisognerebbe sollecitare tutti i rappresentanti delle aree critiche nazionali a creare un network lavorando per realizzare un framework condiviso, sotto l'egida del DIS e con l’aiuto delle università e della ricerca. 30
31
Cyber Risk: modelli e tendenze per le infrastrutture energetiche
Stefano BUSCHI Deloitte Per l'attuazione del piano nazionale di sicurezza cyber è fondamentale il ruolo degli attori privati. In questo contesto, nonostante le diverse disponibilità di budget, i modelli di gestione del rischio devono essere innovati in relazione ai rischi emergenti. Un’azienda si preoccupa della sua sicurezza informatica per ragioni diverse ma, in primo luogo, per l’aumento dei rischi in numero e in complessità che comporta effetti significativi sui sistemi, non solo legacy ma anche SCADA. Si nota, inoltre, una crescente sofisticazione degli attacchi, spesso portati in modo mirato. Da una recente analisi su sessanta corporation internazionali, si evince che l'attacco medio per anno vale circa 11 milioni di dollari. Sia nella vita privata che all'interno delle aziende, si verifica un aumento della digitalizzazione delle operation. Questo comporta la possibilità che qualsiasi attacco perpetrato su un sistema possa diffondersi in modo vasto, aumentando conseguentemente l'impact. Il tema delle competenze e delle capacità è essenziale. Purtroppo, ci sono Paesi che hanno una conoscenza dei rischi e una capacità di reagire che non cresce di pari passo con l’aumento delle competenze di coloro che muovono gli attacchi cibernetici. Di conseguenza, si crea un gap in termini di competenze cyber tra coloro che si devono proteggere e la sofisticazione sempre crescente degli attaccanti, sia in termini di modalità che di capability. In futuro, il settore dell’energia sarà sempre più regolato essendo una delle infrastrutture critiche. Al giorno d’oggi, esistono delle realtà molto più regolamentate, ad esempio quella finanziaria, che da anni impone dazi e penali. Tipicamente, il rischio cyber viene relegato solamente all’ambito operativo. Tuttavia, la situazione è molto più complessa poiché non coinvolge solo il settore IT. I rischi cyber impattano fortemente la capacità di un'organizzazione di raggiungere i suoi obiettivi strategici. Nel caso di attacchi informatici, uno dei problemi principali è l’inadeguatezza dei controlli e delle modalità che vengono implementate. Queste vulnerabilità vengono sfruttate per muovere gli attacchi, rimanendo nell’area dell’operational risk. Gli impatti posso32
no essere di tipo reputazionale nel caso in cui vi siano elementi sensibili, tra cui i dati di consumo degli utenti, la modalità di interconnessione e la capacità di rispondere alle chiamate della rete nazionale. Una conseguenza è la perdita del vantaggio competitivo; nel momento in cui le informazioni riservate diventano pubbliche, l'operatore può avere problemi seri a rimanere nel suo settore di business. Gli effetti che si sono avuti in un caso specifico, verificatosi un paio di anni fa in Medioriente, sono importanti. I sistemi sono stati fortemente compromessi, i sistemi legacy sono stati fermi per diversi mesi con forti ricadute reputazionali. Inoltre, ci sono state conseguenze anche dal punto di vista strategico. In quel periodo vi era la rinegoziazione dei contratti del gas e questa società, che lavora in quel mondo, non ha potuto correttamente effettuarle con ingenti perdite economiche; i dati non erano integri e le valutazioni di analisi e di pricing non erano più leggibili in modo corretto. Infine, bisogna considerare la parte di ricostituzione degli apparati ICT. I rischi cyber sono asimmetrici. Chi muove un attacco è generalmente molto motivato e ha un alto potenziale perché riesce ad aggregare fonti differenti più facilmente rispetto alle aziende che si devono difendere. Nonostante queste ultime abbiano delle barriere difensive e una capacità di fare squadra a livello nazionale e di cooperazione pubblico-
33
privato, chi attacca riesce a essere molto più fluido ed efficace rispetto alle difese messe in campo. Da uno studio recentemente eseguito da Oxford Metrica su un campione di più di cinquecento aziende si percepisce come, a fronte di un evento cyber, si possano generare due effetti completamente differenti. Nel primo caso le aziende non riescono a reagire nei tempi richiesti e ad adeguarsi alla situazione; le perdite e l'impatto di questo evento si accumulano e le aziende sono obbligate a rivedere completamente il proprio business. Il secondo caso, chiamato Resiliency Recovery Path, è più virtuoso. È il percorso preparato dall'azienda per riuscire ad anticipare e, soprattutto, gestire adeguatamente eventi inattesi, garantendo la capacità di riprendere le normali attività con impatto quasi nullo. La “cyber resilience” è capacità di far cooperare quattro grandi aree di competenze, già presente nelle aziende, che spesso si interfacciano poco una con l'altra. La prima è il risk management, ossia la capacità di identificare le minacce e le vulnerabilità, dar loro una priorità e individuare le metodologie migliori per affrontarle. La seconda è la Security come elemento preventivo; si tratta, una volta identificata la minaccia da aggredire, di mettere in campo le azioni che limitino la possibilità che questa si concretizzi. La terza è la business continuity, quindi la capacità di reagire una volta che l'evento si è verificato. In modo complementare rispetto alla prevenzione, fornisce la capacità di limitare gli impatti potenziali sull'azienda. Infatti, se si riesce ad agire in breve tempo, gli effetti sono definiti e controllabili. L’ultimo aspetto è la capacità di gestire le crisi in modo efficace. Questo comprende non solo le competenze tecniche aziendali ma anche il board of directors e i top manager perché devono essere coinvolti e abili nel gestire le crisi una volta che si presentano, creando una catena di comando e controllo efficace. Quando queste quattro unità lavorano assieme si ha una capacità di mitigazione degli eventi cyber molto superiore perché si implementano nuove soluzioni di sicurezza. In sintesi: • il Cyber Risk non è solo un tema IT ma è strategico per le aziende; • i rischi sono asimmetrici, difficili da prevedere e necessitano di misure nuove di prevenzione; • i tipici sistemi di risk management possono non riuscire garantire, all'atto pratico, adeguate misure di risposta quindi le capacità di prevenzione, di detection e di reazione devono essere gestite all'unisono. È necessaria un'innovazione all'interno del nostro modello di gestione del rischio.
34
35
La cyber security nella convergenza di reti e tecnologie
Raffaele TISCAR Presidenza del Consiglio dei Ministri Con l’adozione del Piano Strategico Italiano per la Banda Ultralarga per la prima volta un governo si assume la responsabilità di adottare una visione di lungo periodo dello sviluppo delle reti di telecomunicazioni. Un tema che dalla privatizzazione di Telecom Italia, avvenuta ormai qualche decina d'anni fa, non è stato quasi più toccato anche per ragioni economico-politiche. Oggi ci sono le condizioni per intervenire in vista di un futuro ormai prossimo inevitabilmente legato allo sviluppo e alla diffusione della fibra ottica. Questo significherà poter disporre di punti di approdo ad infrastrutture fisiche - non lontane fra loro - che garantiscano grandi capacità di trasporto di byte, incluso l'utilizzo sempre più massiccio di dispositivi mobili. Ciò implica la sostituzione della struttura esistente in rame con una in fibra ottica, un materiale che - per caratteristiche fisiche - ha capacità di trasporto migliaia di volte superiori rispetto al rame. Ma alla realizzazione di questo piano si frappone più di un ostacolo. Anni fa, quando si è proceduto alla privatizzazione delle reti di telecomunicazioni fu ceduta anche la proprietà della rete infrastrutturale (a differenza di quanto è stato adottato in altri settori come ad esempio l'energia e il gas, attraverso politiche di unbundling e di separazione della rete rispetto al servizio). Una scelta scellerata che purtroppo pesa sull'attualità, con un soggetto totalmente privato, solo nominalmente italiano, come interlocutore infrastrutturale. L'infrastruttura che costituisce la nervatura essenziale su cui viaggiano prevalentemente le informazioni - anche le più sensibili - è riconducibile quasi esclusivamente ad investitori esteri, nel caso francesi, in possesso della maggioranza delle azioni. In questo contesto il governo si trova ad operare per porre rimedio a un cronico deficit di dotazione infrastrutturale. Il documento della Strategia Italiana è dunque un tentativo di riportare l'infrastruttura italiana a una condizione paragonabile a quella che sta accadendo nel resto del mondo. Una situazione che necessita interventi rapidi se non vogliamo compromettere la competitività del sistema Paese. Se le nostre imprese non avranno l’opportunità di utilizzare delle infrastrutture sempre più performanti, il rischio di essere lasciate ai margini del mercato e dei grandi business è concreto. 36
È pertanto indispensabile garantire un punto di prossimità dell'infrastruttura fisica il più vicino possibile al suo utilizzatore. L'infrastruttura di cui si parla è quella di accesso, ovvero le ultime diramazioni rispetto al backbone che oggi è già in fibra ottica. L’Unione europea considera il settore delle telecomunicazioni come ormai privatizzato e quindi qualsiasi intervento dello Stato in questo comparto dovrà risultare compatibile con le regole del Trattato di non alterazione del mercato (aiuti di Stato). Questo complica ogni tentativo di politica industriale pubblica in questo settore. Da qui due riflessioni finali. La prima: altri Paesi hanno una infrastruttura per la TV via cavo che costituisce un'alternativa infrastrutturale importante al rame delle TLC, ma non in Italia ove si sono adottate politiche che non consentono un’altra via rispetto a quella segnata dall’infrastruttura esistente di rame. La seconda riguarda le privatizzazioni. Se osserviamo alcuni importanti Stati membri Ue a noi vicini, notiamo che il pubblico è rimasto azionista in settori strategici come quello delle infrastrutture di telecomunicazione. In Italia invece abbiamo preferito consegnare il destino dello sviluppo infrastrutturale al mercato e, nel caso specifico, ad operatori stranieri. Così oggi lo Stato italiano si ritrova in posizione subordinata rispetto alla volontà o meno da parte dell’incumbent “straniero” a investire risorse nel miglioramento della rete. Per queste ragioni quello che ha intrapreso il governo italiano è un passo importante, ma è solo l'inizio di un percorso lungo che già si preannuncia pieno di ostacoli.
37
Prevenzione e risposte agli attacchi cyber nel settore energy

39
Il CERT nazionale e il settore dell'energia: una collaborazione strategica per un futuro più sicuro
Rita FORSI ISCOM ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione) ha un rapporto stretto con l’European Network and Information Security Agency - ENISA, da cui ha preso le linee guida per i CERT; i due enti partecipano a diverse piattaforme, studiano la NIS e seguono l'evoluzione della direttiva che imporrà, sia per gli operatori di comunicazione elettronica che per tutti gli altri, obblighi in termini di sicurezza. Per il CERT nazionale, le partecipazioni internazionali sono fondamentali perché permettono di conoscere le strategie messe in atto nei diversi Paesi, le capacità di contrastare gli attacchi e i piani attuati per aumentare la consapevolezza riguardo alla sicurezza. Dal lato italiano, partecipiamo sia alle esercitazioni europee sia a quelle dell'ONU. È fondamentale tenere i contatti con tutti i CERT europei e mondiali in modo da avere modelli da cui prendere le buone pratiche; ad esempio il CERT EU - il CERT delle istituzioni europee - quelli di Israele, Russia, India, Canada e Stati Uniti d'America, quest’ultimo, ancora oggi, primo modello di riferimento. Il CERT nazionale non monitora la propria rete, a differenza di un CERT della Pubblica Amministrazione. Il CERT nazionale deve essere a supporto di chi ha le reti (ad esempio degli operatori di comunicazione elettronica) o dei cittadini, ovvero di soggetti che non hanno una protezione particolare. Definire delle procedure operative a livello di cyber strategy italiana è fondamentale; il DPCM 24 gennaio 2013, che ha delineato l’architettura istituzionale per la protezione cibernetica e la sicurezza informatica nazionale, ha affidato al CERT Nazionale la funzione di supporto al Tavolo NISP – Nucleo Interministeriale Situazione e Pianificazione, che agisce come “Tavolo interministeriale di Crisi Cibernetica”. Il ruolo e la missione del CERT è fare infosharing, è fornire informazioni tempestive su potenziali minacce informatiche che possano recare danno a imprese e cittadini; incrementare la consapevolezza e la cultura della sicurezza; cooperare con istituzioni analoghe, nazionali e internazionali, e con altri attori pubblici e privati coinvolti nella sicurezza
40
informatica promuovendo la loro interazione; facilitare la risposta ad incidenti informatici su larga scala e fornire supporto nel processo di soluzione di crisi cibernetica. Per quanto riguarda le imprese private, l’attenzione del CERT nazionale cade sulle PMI, componente importantissima nel tessuto economico nazionale. Un altro settore fondamentale è quello dei progetti europei perché permette di avere accesso a risultati tangibili, know how e a scambio di informazioni. Un progetto europeo, ad esempio, è il centro di Anti-Botnet, che ha lo scopo di informare gli utenti in tema di Botnet; promosso da ISCOM, presso il MISE, sta diventando una fonte di alimentazione del CERT Nazionale e, di conseguenza, una fonte di scambio con gli altri CERT. La sinergia e il confronto sono elementi indispensabili. È fondamentale intraprendere rapporti con il CERT della Pubblica Amministrazione e con quello della Difesa, le cui reti avranno un ruolo sempre più determinante nel futuro digitalizzato. In un panorama unitario e non frastagliato, non si può pensare a uno sviluppo delle reti senza una parallela crescita della consapevolezza. Facendo un’analisi delle segnalazioni entrati, riferite al mese di agosto 2015, ne emergono dati interessanti. Si confrontano i numeri di ticket (dove ogni ticket può contenere migliaia di segnalazioni e inviti) si evince che il trend è in progressiva e considerevole crescita. Per quanto riguarda le segnalazioni entranti, la maggior parte deriva da CERT europei e internazionali ma in futuro le aziende avranno un ruolo sempre più significativo. Per quanto riguarda le tipologie di segnalazioni, si evidenzia che le principali sono di malaware, di incidenti e di phishing. L'infosharing resta l’elemento cardine; il CERT non funzionerebbe senza uno scambio. il CERT-EU fornisce settimanalmente una lista di IOC (Indicator Of Compromise, all’interno del progetto CIMBL: CERT-EU Identified Malicious Black List) relativa alla presenza di malware riscontrata in rete; le informazioni vengono analizzate e fornite a possibili fruitori nazionali; vengono, infine, fornite in modalità infosharing mediamente circa 4.000 IOC al mese.
41
Report 12%
Altro 3%
Minaccia 8%
Richiesta informazioni 2%
Malware 41%
Phishing 15%
Notizia 2%
Incidente 17%
Tipo di segnalazioni entranti (agosto 2015) Minaccia Malware Incidente Notizia Phishing Richiesta informazioni Report Altro
Dati ISCOM-MiSE 42
Andreas MITRAKAS ENISA ENISA (European Union Agency for Network and Information Security) è un'agenzia regolamentativa del UE, nata nel 2004, con un mandato rinnovabile a tempo determinato. Lavora con le Istituzioni Europee, enti pubblici e, indirettamente, anche con il privato sia tramite le autorità nazionali degli Stati membri sia direttamente con contratti che seguono appalti pubblici. ENISA porta a livello nazionale, in modo pratico, le esigenze della politica e il suo scopo è condividere tutti gli aspetti della cyber security tra i vari soggetti a livello di privacy, energia, trasporti, industria ecc., evitando che si sprechino energie con l’obiettivo della sicurezza comune. L’agenzia ha un programma annuale guidato dai Stati Membri e la Commissione; al contempo, si occupa anche dei progetti formativi per i CERT e di richieste concrete delle pubbliche amministrazioni dei diversi stati membri. Inoltre sensibilizza e mobilita le varie comunità nei confronti della sicurezza delle reti e dell'informazione, analizza il landscape delle minacce, esterno all’area di risk management e annualmente, produce un rapporto che studia tra le 50/100 fonti quasi tutte pubbliche. Si presenta, poi, una previsione temporale che illustra le varie categorie di minacce che riguardano, ad esempio attacchi o spam; infine, si redige un rapporto qualitativo in merito alle possibili reazioni nelle diverse aree di applicazione. Il NIS (Network Information Security) gioca un ruolo molto importante poiché renderà obbligatorio lo sviluppo di alcune strategie di cyber security; ENISA si occupa di supportare i Paesi in questo processo. Ci sono nazioni che non hanno ancora sviluppato in modo compiuto le loro strategie e le loro pratiche, dunque, diventa fondamentale il sostegno soprattutto ai soggetti più deboli, come le PMI, che non sempre hanno la possibilità di difendersi autonomamente. Per quanto riguarda le infrastrutture critiche, bisogna evidenziare che ogni Paese ne dà un'interpretazione diversa. Una direttiva di sei anni fa definiva come settori più importanti e strategici l'energia e i trasporti. Il settore energetico è fondamentale e, se attaccato, le conseguenze potrebbero essere potenzialmente devastanti. L’agenzia ha dato molta importanza anche alla notifica degli incidenti che, da qualche anno, è obbligatoria per un determinato livello di operatori privati. In quest'area forte è l’impegno sia con le autorità che ricevono le notifiche sia con gli operatori privati che devono fornirle. Per quanto concerne gli incidenti, si raccolgono dati che sono forniti dagli stati membri e si fa un'analisi di alto livello anche se non è nell'interesse di molti en43
trare nei dettagli, per timore di critiche sulla gestione. Da queste indagini si coglie come i fattori scatenanti più significativi siano i fallimenti di sistema e l'errore umano. Un'altra area dove ENISA è intervenuta riguarda lo sviluppo dei CERT. Nel 2005, pochissimi Paesi avevano dei CERT pubblici mentre ora la situazione è diversa; da un punto di vista energetico, è importante riflettere sulla possibilità di avere un CERT che sia dedicato agli attacchi contro gli stakeholders del settore. L'anno scorso c'è stato del lavoro su ICS SCADA. Sono due gli aspetti emersi: il primo è l'ambiente di testing, che è parso nel complesso poco coordinato, con metodologie ad hoc; il secondo è la certificazione delle capacità professionali e la formazione del personale. I risultati hanno mostrato che è necessario lavorare ancora molto, soprattutto in Europa. In questo senso, ENISA si occupa anche di cyber exercices, un’iniziativa che si svolge ogni due anni, sotto l’impulso del G7, e che vede il coordinamento delle procedure e delle pratiche di circa 600 enti in tutta Europa.
44
Tavola rotonda L’attività dei grandi operatori dell’energia in Italia
Massimo ROCCA Enel Il gruppo Enel ha una dimensione multinazionale, è presente in oltre trenta Paesi ed è leader in un business che sta crescendo prevalentemente all’estero. Le infrastrutture sono presenti in territori che hanno normative locali sensibilmente diverse tra loro, sia nella gestione delle infrastrutture critiche che nel trattare le informazioni inerenti. Questi aspetti complicano molto la definizione delle strategie di Gruppo e l’applicazione omogenea di controlli o azioni di monitoraggio, soprattutto dal momento che ci si trova a fronteggiare una minaccia trasversale. È necessaria un'azione di massima cooperazione sia con le istituzioni ma anche con i fornitori, perché è molto importante che essi adottino standard tecnologici che permettano di implementare le soluzioni secure by design. Per questo è fondamentale essere presenti ai tavoli, collaborare con istituti di ricerca e interessarsi alle iniziative che hanno lo scopo di diffondere la cultura dell'analisi del rischio in tutti gli ambiti sia con le diverse utility, sia con istituzioni e con chi definisce le regole e il quadro normativo. Nell'ambito della distribuzione ci aspettano delle innovazioni che porteranno dei cambi epocali anche dal punto di vista dell'approccio alla cyber security; sarà necessario, quindi, essere pronti con degli strumenti che permettano di fronteggiare una mole di dati considerevole. Il nuovo assetto organizzativo di Enel riguarda anche le modalità di gestione delle emergenze; in questo campo sono state attivate diverse iniziative interne ed esterne, tra cui quella della commissione interministeriale tecnica di difesa civile per la simulazione di casistiche di possibili incidenti e, contemporaneamente, sono stati fatti degli approfondimenti in Azienda per identificare le interdipendenze e l'insieme di asset sensibili che possono subire ripercussioni in caso di attacchi cyber. A livello procedurale, ci si è attrezzati per identificare con maggiore agilità gli eventi anomali, che possono mettere in allerta in merito a una crisi in corso e, allo stesso tempo, consentono di lavorare con i partner pubblici affinché gli obiettivi sensibili siano protetti nel miglior modo possibile. 45
Andrea CHITTARO Snam Il settore energy è, al suo interno, composito; di conseguenza la minaccia cyber si dispiega in maniera molto diversa in relazione ai singoli business. Snam, rappresentando la parte del mercato regolato, ritiene fondamentale implementare misure adeguate e stimolare il dialogo con la parte pubblica in merito al tema della sicurezza cibernetica, obbligo che deriva sia dal business e dagli azionisti ma anche dal sistema Paese. In Italia, il rapporto tra pubblico e privato è sempre stato complesso, tuttavia è imprescindibile che in futuro questa relazione si faccia sempre più stretta, sfruttando al meglio e con più coraggio le ottime risorse che il nostro Paese mette a disposizione. Per coprire le varie esigenze di prevenction, reaction e di intelligence, Snam ha stipulato delle convenzioni con la parte pubblica: le collaborazioni con il CERT nazionale, con il DIS e con il CNAIPIC cominciano a dare dei segnali positivi. Sono attività che progressivamente prendono concretezza ma che per funzionare al meglio devono superare le rigidità degli schematismi e dei limiti imposti. L’obiettivo comune è la sicurezza integrata del Paese, di cui la cyber è una delle componenti; riuscire a sviluppare ulteriormente il dialogo darà modo alle aziende private di poter valutare ancor meglio il livello della minaccia che ci circonda. Creare le condizioni che permettano all'intelligence di intercettare preventivamente l'attacco ed evitare i danni è un aspetto essenziale soprattutto nell’ottica di orientamento degli investimenti, che permettano di gestire al meglio il budget che è destinato a tali scopi. Snam sta costituendo un modello di governo sulle minacce informatiche, dedicato specificamente a sistemi ICS SCADA perché all'interno delle aziende è opportuno che ruoli e scelte tecnologiche siano coerenti rispetto a un disegno complessivo.
Giancarlo CAROTI Terna Terna ha preso coscienza da tempo della difficoltà di affrontare da soli il panorama complesso del cyber risk e delle crescenti minacce che affliggono il proprio ecosistema ICT. In azienda, sono state lanciate da tempo, come primo livello d’azione, iniziative di tipo organizzativo per sostenere una situazione in evoluzione costante di information e network security e di processi di gestione del ciclo di vita delle tecnologie. Al giorno d’oggi, la fluidità delle diverse situazioni che caratterizzano questo “nuovo” livello di connessioni, relazioni e contatti dai confini aperti - una superficie così differente 46
dalle vecchie interfacce fisiche, molto più controllabili - sta imponendo di fare sistema, ricercando il supporto reciproco e punti di contatto e coordinamento con altre realtà, sia interne al sistema Italia che in Europa, che si trovano ad affrontare la medesima sfida. Sappiamo che in Italia l'operazione è partita nel 2013 con il gruppo di lavoro della dottoressa Forsi e Terna da subito ha cercato di dare il massimo contributo ai colleghi del CERT, cosciente dell’utilità della condivisione di esperienze e informazioni. In virtù di un protocollo di intesa del 2014, che ha attivato anche formalmente i rapporti, abbiamo ottenuto dei risultati attraverso lo scambio di segnalazioni i e talvolta l'attivazione di contromisure mirate che contribuiscono ad aumentare la prevenzione. Lo scopo è l’individuazione tempestiva di ogni mezzo di difesa contro cyber risks che si modificano velocemente, in maniera da porsi nelle migliori condizioni per prevenire un attacco. Conoscere ed ancor meglio capire in anticipo uno scenario che potrebbe impattare fortemente sulle proprie infrastrutture ma anche quelle degli altri attori principali è un ottimo punto di partenza per reagire di conseguenza, bloccando o limitando il danno. Il rapporto con il CERT nazionale è quindi utile ed efficace: sempre meno canale di scambi informativi monodirezionale e sempre più bidirezionale, con l’instaurazione delle migliori condizioni per lavorare in sinergia con gli altri CERT europei attraverso dati consistenti ed effettivi. Terna si muove attivamente per la cyber security anche sul piano europeo, collaborando strettamente con i colleghi di utility straniere (in primis gli operatori di trasmissione, TSO), occupandosi di in ambiti di task force di attività tipo-CERT; in questo contesto, l'approccio è simile a quello italiano. Il CERT “virtuale” che nasce dal legame di fiducia con gli altri TSO consente di facilitare l'infosharing, e talvolta può anticipare una minaccia, oltre che assistere chi ha reti della stessa natura e criticità. In questo quadro di rapporti crescenti la scelta di un “triage” omogeneo è fondamentale per avere una classificazione degli eventi condivisa che non sia a discrezione dei diversi soggetti, ma che abbia fasce di codifica comuni. Inoltre, è necessario focalizzare maggiormente l'attenzione sull'area della formazione collegiale. Le aziende principali del paese (infrastrutture critiche) non devono essere costrette ad auto-formarsi, con proprie regole e ritmi; è invece opportuno stimolare una formazione trasversale perché la professionalità e l’esperienza sono fondamentali in condizioni "di emergenza", ancor più in emergenza allargata. Nel settore elettrico, oppure energy o ancora, in una visione più allargata, nel mondo delle infrastrutture critiche, devono esserci matrici comuni per organizzare i singoli presidio di cyber security. Dovrebbe esserci una normativa che imponga un livello accettabi47
le di cyber security, renda chiari i compiti e le azioni da mettere in atto come prevenzione così come durante un cyber attacco. Come c’è un CERT nazionale, potrebbe trovare spazio al fianco dei CERT/SOC aziendali anche un osservatorio settoriale delle minacce, con un ruolo di collegamento e supporto a favore delle aziende del settore che hanno reti informatiche business-critical.
Gilberto DIALUCE Ministero dello Sviluppo Economico ll tema della Cyber Security è diventato sempre più importante e urgente anche a livello internazionale. Se ne è cominciato a parlare nell'ambito del G7 Energia del 2014 a Roma nel momento in cui sussistevano delle minacce fisiche al sistema europeo, durante la crisi ucraina. Il tema è diventato una parte dello statement del successivo G7 tedesco, ad Amburgo dove si poneva l’attenzione su quanto le minacce informatiche rivolte ai sistemi di erogazione di energia stanno diventando sempre più complesse e sofisticate, considerando che i sistemi energetici sono la spina dorsale dell’economia e sono costruiti su una rete di processi digitali che assicurano che l'energia sia prodotta, trasferita e distribuita attraverso dispositivi elettronici e di comunicazione a loro volta interconnessi e in grado di effettuare il monitoraggio e il controllo di infrastrutture di reti di servizi. Questi sistemi devono, dunque, essere interoperabili, interconnessi lungo tutta la catena del valore dell'energia in aumento, necessitando così il supporto dei quadri di riferimento digitale per la loro sicurezza. In Italia, la Direzione generale per la sicurezza dell'approvvigionamento e per le infrastrutture energetiche, lavora sempre più intensamente su questo ambito sia con un’interfaccia per la parte energetica - il CERT nazionale - sia con un approccio coordinato, affinché l'Italia abbia la sua posizione sul tema della sicurezza informatica. Nel prossimo G7, in Giappone, il tema della cyber security e della cooperazione tra nazioni riguarderà l'urgenza di far fronte a minacce che si fanno sempre più possibili e rischiose. Occorrerà stabilire dei termini di azione comuni e di cooperazione per i sistemi energetici dei Paesi più sviluppati. In Italia, per il settore energetico, si lavora, in modo specifico, con Snam per inserire nel piano d'emergenza gas anche un capitolo sull'analisi dei rischi preventivi e le possibili misure in caso di un cyber attack alla rete energetica gas; per la rete elettrica si opererà nello stesso modo.I temi che potrebbero essere svi48
luppati in ambito internazionale sono le best lines tecnologiche, le strutture organizzative aziendali amministrative e i possibili modelli di condivisione delle informazioni. Il percorso coinvolgerà i vari stakeholders per individuare, ad esempio, le eccellenze italiane da promuovere a livello internazionale come best practices. Diventa sempre piÚ importante condividere le informazioni su possibili minacce, sugli attacchi ricevuti e sulle contromisure adottate. Si procede, infatti, verso un sistema di smart grid e di smart city; sempre piÚ dati di interesse economico e di funzionamento del sistema viaggeranno sulle nostre reti, la cui protezione diventa l’obiettivo primario.
49
Domanda e offerta di cyber security
recepire i requisiti di cyber security e gli sviluppi tecnologici applicabili alle funzioni svolt 51
La piattaforma nazionale di ricerca e innovazione
Giovanna DONDOSSOLA RSE Indirizzare la cyber security dei sistemi energetici significa affrontare la sicurezza di architetture di controllo che interconnettono i sistemi ICT degli operatori di rete con quelli dei gestori di generatori da fonti rinnovabili e con utenti attivi industriali, commerciali, residenziali e domestici. Garantire la sicurezza di sistemi cyber-fisici di questa portata non può prescindere da un approccio di analisi del rischio in grado di dominarne la topologia, comprendere gli effetti di minacce sempre più insidiose sulle funzionalità del controllo e valutarne le conseguenze sull’erogazione del servizio e l’impatto in termini di perdite umane, economiche, riservatezza e reputazione aziendale. Conoscere il valore del rischio consente una valutazione oculata degli investimenti necessari per l’implementazione e la gestione delle misure di sicurezza. Nell’analisi del rischio cyber dei sistemi energetici è fondamentale disporre di metodi che consentano di sistematizzare e semplificare il calcolo del rischio stesso, per garantire di non trascurare elementi influenti senza perdersi in inutili esplorazioni esaustive. Grazie alle competenze maturate da RSE attraverso la partecipazione al gruppo di lavoro CEN/CENELEC/ETSI, incaricato del mandato europeo EU/490 sulla standardizzazione delle smart grid, e ai comitati IEC sullo sviluppo degli standard di sicurezza, nel progetto SoES RSE ha applicato a diversi casi smart grid una metodologia di analisi della sicurezza articolata nella definizione dell’architettura ICT, l’identificazione di livelli di rischio, la definizione di requisiti di sicurezza e delle contromisure integrabili in un disegno di architettura sicura per il caso d’uso in esame. La valutazione della sicurezza delle architetture ICT dei casi d’uso ha fornito indicazioni utili allo sviluppo di policy per il settore energia, in grado di recepire i requisiti di cyber security e gli sviluppi tecnologici applicabili alle funzioni svolte dai sistemi energetici. Un contributo importante allo sviluppo di un framework regolatorio. Nella Piattaforma Nazionale di Ricerca e Innovazione di RSE le attività di analisi dei rischi cyber si avvalgono dei risultati di valutazioni sperimentali svolte presso il Laboratorio Power Control Systems – Resilience Testing. 52
La piattaforma ICT del Laboratorio è finalizzata ad integrare in scenari di controllo realistici e basati su standard di comunicazione misure di sicurezza di tipo preventivo e correttivo, a bordo dei componenti di comunicazione e dei dispositivi preposti al controllo della rete e dei generatori distribuiti. L’attività sperimentale si caratterizza innanzitutto come un’attività di test della sicurezza in cui vengono valutate le funzionalità degli standard di sicurezza emergenti o in corso di sviluppo e, sulla base dei dati raccolti sessioni di test configurabili, vengono calcolati diversi indicatori QoS delle comunicazioni standard in presenza di cyber security e processi di attacco. Il Laboratorio sviluppa anche sessioni dimostrative in cui gli strumenti di monitoraggio della QoS e fault management integrati nella piattaforma svolgono un ruolo fondamentale nella gestione dei rischi residui e nella identificazione/applicazione di azioni di difesa. A cosa serve dunque una Cyber Security per il settore Energia? A contribuire a mantenere la luce verde sullo stato di sicurezza del sistema cyber fisico e a gestirne gli stati di allerta.
La cyber security per l’operatore della rete elettrica: modelli per il supporto alle decisioni Michele MINICHINO ENEA L'impredicibilità della generazione elettrica distribuita da fonte rinnovabile è tra i fattori di crescita di complessità della rete elettrica e può richiedere la stabilizzazione della rete anche mediante flussi elettrici, provenienti da altre reti (rete del gas e rete idrica). Ciò è sempre più possibile per la maggiore interdipendenza fisica tra le reti (come nel caso di co-generazione a gas e di microturbine ad acqua) e per la maggiore integrazione del loro monitoraggio e controllo, legata all'evoluzione dei sistemi SCADA verso l'internet of things. La nuova generazione di sistemi SCADA allarga i confini delle reti da proteggere, ben al di là dell'impianto singolo o aggregato con una visione mono operatore, verso sistemi con elevatissimo grado di capillarità, dispersi su larghe aree geografiche. Il contesto apre nuove sfide ed opportunità per il mondo scientifico ed industriale, in termini di sicurezza e consapevolezza situazionale, da condividere tra gli operatori di reti diverse. 53
Rafforzare la sicurezza e la consapevolezza degli operatori di rete a fronte di attacchi informatici, guasti, errori umani ed eventi naturali estremi è l’obiettivo al quale sta lavorando l’ENEA, insieme agli operatori di Infrastrutture Critiche - rete elettrica, del gas ed idrica - europee ed israeliane e con istituti di ricerca e università nazionali e straniere. Per l’Italia il partner industriale è la SELEX del Gruppo Finmeccanica. Il risultato ottenuto ad oggi è rendere disponibile ed industrializzare un DSS - Decision Support System, ovvero un sistema di monitoraggio continuo e di supporto alle decisioni per prevenire situazioni di crisi, dedicato ai gestori di Infrastrutture Critiche, ma anche alle amministrazioni locali ed alla Protezione Civile. Nello specifico, il Dipartimento Tecnologie Energetiche di ENEA sta realizzando un centro di simulazione geograficamente distribuito tra la Casaccia, Palermo e Bari dove sarà possibile rappresentare ed eseguire scenari di pianificazione e di esercizio di reti elettriche attive (con generazione distribuita e sistemi di accumulo), rete idrica e rete del gas in condizioni normali e di crisi. Le attività in questo settore sono iniziate diversi anni fa con il progetto europeo MICIE (www.micie.eu) e sono proseguite con il progetto CockpitCI incentrato sulla cyber security. L'obiettivo è il rilevamento precoce, l'analisi e la mitigazione di eventi avversi, inclusi gli attacchi informatici, al fine di migliorare l'efficienza, la resilienza e la QoS delle CI e di mitigare disastrosi effetti domino (www.cockpitci.eu). Le attività proseguono per la industrializzazione dei risultati della ricerca. Il modello sviluppato da ENEA è anche elemento fondante del progetto PON MIUR SINERGREEN che l’Agenzia sta conducendo in Sicilia, nell'ambito settoriale renewable energy & smart cities (http://sinergreen.cdc.unict.it/index.php/it/ ). L'infosharing resta l’elemento cardine; il CERT non funzionerebbe senza uno scambio. Per dare dei numeri, in media con il CERT EU vengono forniti circa 4000 IOC - indicator of compromise - al mese. Il sito web del CERT nazionale è uno strumento che ha un ruolo molto importante; vuole dare un segnale ai cittadini attraverso dei bollettini, documenti, linee guida e news. In collaborazione con Selex (Finmeccanica) e operatori europei e israeliani. Focus su attacchi informatici, guasti, errori umani ed eventi naturali estremi.
54
55
Tavola rotonda Threat Intelligence, Incident Management e Crisis Management. La prospettiva delle utility e le risposte dei fornitori di servizi
Alessandro CATTELINO Iren Iren è una multiutility che si occupa di idrico, raccolta differenziata, energia elettrica e gas. Spesso in ambito di sicurezza si tende a segmentare in relazione ai settori: sistemi che gestiscono le reti elettriche, reti di gas o sistemi gestionali, anche se l'attenzione si focalizza soprattutto sugli SCADA che, smettendo di essere una realtà a sé stante, devono sempre più essere integrati in logiche multi-business. L’attenzione alla sicurezza informatica non è sempre sullo stesso livello: maggiore per il trasporto di gas e elettricità, minore per il settore idrico. Infatti spesso accade che dove le informazioni viaggiano sulla rete vi è anche maggior attenzione ai temi di sicurezza informatica; a differenza di quanto accade per il settore idrico nel quale si fa uso di ponti radio e collegamenti satellitari. Una questione di estrema rilevanza riguarda gli incidenti. Spesso si focalizza l'attenzione sulla tecnologia mentre si sfiora solo il problema della sensibilizzazione del personale sul tema della cyber security non solo dell'ICT, ma dell’azienda nel suo complesso. Una realtà aziendale che si sta ristrutturando e vuole migliorare sul versante cyber security deve trovare un sostegno nella scelta delle migliori soluzioni anche negli operatori che della sicurezza informatica fanno il loro business . I vendor dovrebbero essere meno verticalisti possibili, ovvero troppo nettamente divisi fra coloro che portano tecnologie e altri che, invece, danno consulenza e analizzano il rischio. Coniugare i due aspetti è fondamentale per decidere la soluzione più adatta alle esigenze dell’impresa. Ci vorrebbe un system integrator della sicurezza che aiuti, dal basso, a trovare strumenti e metodi e, dall'alto, a sensibilizzare il management, cominciando a far passare il messaggio che non si tratta solo di un problema di sicurezza IT. Aumentare la consapevolezza sulla sicurezza informatica deve riguardare anche realtà dalle dimensioni più contenute, fino a giungere all’ambito domestico e del proprio personal computer. Infine, il tema dei test. Nel mettere in sicurezza un'infrastruttura esistente la difficoltà sta nell’avere la prova che gli impianti siano veramente in sicurezza, specialmente per quanto riguarda gli SCADA.
56
Andrea GUARINO Acea Acea è una multiutility operante nel settore idrico, dell’energia elettrica e dell’ambiente: questa diversificazione di attività induce l’azienda a porre particolare attenzione, in caso di crisi, al verificarsi di un possibile effetto c.d. “domino”: nello specifico, la mancanza di energia elettrica può provocare un’interruzione nella distribuzione della risorsa idrica e viceversa. È noto che Acea operi in modo pervasivo sull’area metropolitana romana: si tratta di un territorio con caratteristiche uniche e che ospita la Capitale, il Governo e lo Stato del Vaticano, quindi soggetti e servizi d’interesse strategico, per i quali la garanzia della continuità e della qualità del servizio è elemento della massima importanza. Per questa e altre ragioni non qui riassumibili, già prima del noto blackout del 2003 è stata decisa la creazione del centro di Disaster Recovery per il controllo del servizio di distribuzione dell’energia e benché l’evento anzidetto non fosse riconducibile ad attacchi informatici, è stato comunque da sprone all’acquisizione di specifici apparati per difendersi da quella tipologia di minacce. I concetti di sicurezza cibernetica e resilienza sono quindi ben integrati nel sistema dei valori aziendali, come dimostra anche la partecipazione di Acea al progetto europeo “Panoptesec” (www.panoptesec.eu), un’iniziativa voluta dalle Istituzioni comunitarie per aumentare il livello di sorveglianza rispetto alle minacce cyber e velocizzare, in modo significativo, i tempi di reazione in caso di necessità. Finanziato al 70% dalla Commissione Europea nell’ambito del Settimo Programma Quadro, Panoptesec ha un budget complessivo di 7,5 milioni di euro. In merito agli importanti temi dell’Incident Management e del Crisis Management, Acea – con la collaborazione dell’Università “La Sapienza” di Roma - ha avanzato due proposte nell’ambito del programma Horizon 2020 per aumentare sia la sicurezza degli smart meter, sia delle relative reti e migliorare la comunicazione delle informazioni durante gli stati di crisi. L'interdipendenza tra infrastrutture ci ha portato a una visione olistica dei problemi: considerando ad esempio la necessità di assicurare una stabile connettività tra i centri di controllo e le sedi periferiche o le sottostazioni, Acea ha disposto la creazione di connessioni dedicate in rame/fibra e ponti radio in modo da poter utilizzare vettori multipli di comunicazione ove necessario. Quanto precede ha inevitabilmente comportato un aumento della potenziale superficie d’attacco: la sfida per il futuro sarà quindi di riuscire a 57
rendere ugualmente affidabili e sicure sia le reti private, sia quelle pubbliche: in questo processo non potrà mancare il sostegno dello Stato perché, oltre al riconoscimento dei maggiori costi da sostenere, non si potranno prendere decisioni riguardanti infrastrutture critiche senza regole certe e condivise dalle relative comunità di riferimento. I tavoli di lavoro con altre società operanti nei medesimi settori sono quindi utili, e lo saranno sempre più, perché consentono di individuare le best practice per rendere le comunicazioni e i sistemi di protezione ancor più compatibili e omogenei. Il rischio concreto infatti è di non riuscire a dialogare correttamente tra le parti, non tanto per mancanza di volontà, ma in quanto, ove private di regole e precisi standard o riferimenti, le aziende potrebbero adottare sistemi di difesa e protocolli di comunicazione tra loro potenzialmente incompatibili (com’è peraltro già accaduto). In questo panorama, anche i system integrator che assistono le infrastrutture critiche informatizzate dovranno porre l'accento sulla sicurezza cibernetica, ora diventata elemento irrinunciabile, considerandola all’interno delle proposizioni progettuali già nelle fasi di studio.
Massimiliano MANDOLINI Selex ES I soggetti che erogano servizi di pubblica utilità si trovano spesso a dover considerare due elementi nel caso di attacco informatico: la protezione dei dati e la continuità del servizio. Una doppia urgenza che spesso conduce a estremizzare il concetto di “agire in fretta”, non appena si verifica un incidente informatico. Una modalità in contrasto con le buone pratiche di gestione del servizio che prevedono, invece, modifiche e interventi il più possibile governati da procedure preventivamente studiate. Il rischio, in questo caso, è che la risoluzione del problema informatico porti a un’interruzione del servizio. Dall’altra parte, la protezione del dato nella sua integrità è un punto nodale, anche per garantire un servizio efficiente. Si è discusso lungamente di critical infrastructures e, spesso, si immagina che queste siano associate ai sistemi SCADA. Questi ultimi, sebbene siano più aperti e lavorino su protocolli e con interfacce grafiche standard - e quindi più facilmente attaccabili - restano statisticamente e dal punto di vista economico molto costosi. A meno che non si tratti di grandi centrali, è difficile che soggetti di dimensioni minori possano investire importanti risorse per la protezione. L’attenzione riservata ai sistemi SCADA spesso fa dimenticare la centralità dei CRM: questi sistemi di gestione non solo sono più vulnerabili da parte di attacchi informatici rispetto ad altri, ma un’eventua-
58
le violazione può comunque generare danni consistenti, in grado di compromettere temporaneamente la continuità del servizio. Una cultura di protezione dell'IT è importantissima; infatti, se è fondamentale proteggere i sistemi SCADA, non bisogna tuttavia dimenticare l’importanza di mettere in atto le buone pratiche di sicurezza. Nel corso del 2015, la maggioranza degli incidenti segnalati si riferiva a furti di password, evitabili non solo grazie a sistemi tecnologici di difesa, ma anche a comportamenti e procedure corretti.
Nicola GATTA Certiquality Certiquality è un Organismo di Certificazione, accreditato Accredia, che garantisce la verifica imparziale della conformità delle organizzazioni pubbliche e private a standard cogenti e volontari. Una corretta gestione della sicurezza aziendale si ottiene mediante l’adozione di modelli organizzativi, standard, procedure che devono essere conosciute e rispettate a tutti i livelli. Il mondo della certificazione vede in Italia un numero predominante di aziende certificate ISO 9001 qualità (100mila circa), ma inizia a rivolgersi, anche
59
attraverso l’intervento normativo e di indirizzo del Governo, a standard settoriali volti ad assicurare la tutela di specifici aspetti critici per le aziende italiane. Gli standard ISO 27001, in materia di sicurezza delle informazioni ed ISO 22301, per la gestione della continuità operativa, rappresentano due esempi che offrono un valido modello organizzativo per fare fronte al tema specifico ed attuale della cyber sicurezza in ambito energetico. Il concetto di sicurezza sta entrando, lentamente, nella cultura aziendale e dei manager, consapevoli dell’impatto negativo che una mancata protezione può avere sul business in caso di attacco e violazione dei sistemi informatici. I vari standard e le diverse norme fanno parte della vita dell'azienda, di tutte le sue diverse componenti. Se il business - com’è giusto che sia - rimane al centro di tutto, il messaggio che deve passare è che un’organizzazione non può ragionare a compartimenti stagni, specialmente in tema di sicurezza, ma deve far sì che i modelli organizzativi siano il più possibile integrati. Il crescente interesse a tali temi emerge inoltre dalle nuove edizioni del 2015 degli standard ISO 9001, per la gestione della qualità, ed ISO 14001, per la gestione ambientale. L’attenzione è oggi posta da questi standard all’analisi del contesto in cui opera l’azienda e l’individuazione e gestione dei rischi che possono minare il business aziendale. Si tratta di un cambio di paradigma molto importante, che impatterà profondamente sulle aziende.
Antonio FORZIERI Symantec Symantec si trova spesso ad operare in situazioni dove la confidenzialità dell'informazione e l'integrità dei sistemi vengono violate. Nella stragrande maggioranza dei casi non si è trattato di un attacco mirato, ovvero portato da virus, APT o malaware specifici progettati per colpire un soggetto particolare, un determinato PLC o una precisa architettura dell'infrastruttura PLC. In molti casi gli incidenti capitano per incuria o scorretta messa in pratica delle procedure di sicurezza previste (come il reset delle password di default di tutti i dispositivi di rete o la dimenticanza di minime azioni di vulnerability management all'interno delle applicazioni). Bisognerebbe, innanzitutto fare uno passo indietro e seguire il motto inglese: “get the basics right”. Un altro aspetto è legato alle certificazioni e alle conoscenze del personale addetto. Oggi, purtroppo, non ci sono abbastanza skills. Partendo dal presupposto che gli incidenti capitano, molte situazioni critiche si potrebbero evitare o prevenire se le cosiddette operazioni “basics” fossero svolte in maniera corretta. 60
Antonio IERANÒ Huawei Huawei è un vendor di infrastruttura che fa prodotti di connettività, servers, storage e prodotti di sicurezza. Avendo lavorato principalmente in un settore estremamente critico, come quello delle TELCO, l’azienda ha capito come non sia possibile costruire nessun fondamento di security usando solo la tecnologia, solo il vendor o solo un'interfaccia. I risultati giungono solamente con un lavoro sinergico tra le diverse componenti. Deve esserci la collaborazione dei vendor, che devono fare la loro parte attraverso il security by design sui prodotti, con servizi di security assurance per la delivery del prodotto, dalla produzione fino al cliente nella maniera più sicura possibile. Tuttavia è necessario anche un processo e un'analisi dei rischi che sia congiunta tra vendor, system integrator e cliente. Nel settore delle telecomunicazioni - ma potrebbe essere trasferito anche al mondo energy - Huawei ha dato il via a tavoli di discussione e collaborazione fattiva con partner e clienti, laboratori di test congiunti, in maniera da aprirsi a discussioni sulla definizione di standard e da permettere l'interconnettività tra le diverse realtà. In un contesto futuro sempre più dominato dall’Internet of Things e dai dispositivi mobile la protezione dei sistemi SCADA non è più sufficiente. Bisogna curare sempre più anche altri servizi come, ad esempio, i CRM, vitali per la continuità dell’attività aziendale, affermazione ancora più vera se si pensa ad aziende di pubblica utilità che erogano servizi alla collettività. La security non è diversa da un buon disegno di processo, non esiste nessun processo che possa fare a meno di considerare la sicurezza come uno dei suoi elementi costitutivi e quindi qualsiasi processo che non preveda un buon livello di sicurezza va scartato. Nello specifico, nessun sistema SCADA, se estrapolato dalla definizione del processo produttivo può essere giudicato buono o cattivo. Per capire se si tratta di un sistema valido o meno per la sicurezza è necessario osservarlo all’interno di questo processo, nell’operatività dell’azienda. Si tratta di una questione delicata e comune anche ad altri settori che coinvolge gran parte del management aziendale ma, purtroppo, malamente gestita soprattutto nel caos odierno in cui esiste una rigida separazione budgetaria fra il mondo IT, la sicurezza - che è un sottoinsieme di un sottoinsieme del mondo IT - e il resto dell’organizzazione. Un approccio che funzioni prevede il coinvolgimento più ampio possibile dei soggetti interessati, coinvolgendo tutti gli stakeholders per comprendere realmente cosa serva e cosa sia possibile fare. 61
Domenico RAGUSEO IBM Relativamente alla sicurezza dei sistemi IT voglio focalizzarmi su alcuni temi fondamentali. Non è in discussione che l’argomento e’ sulle agende delle istituzioni e delle aziende. È però importante fare gli investimenti giusti dopo aver fatto una analisi dei rischi a cui si è esposti ed affidandosi a quelle tecnologie che possono garantire gli investimenti fatti nel tempo. Inoltre condividere le informazione diventa fondamentale in quanto il crimine nel mondo virtuale così come nel mondo reale è facilitato dall’omertà consapevole o inconsapevole delle persone coinvolte. Avere informazione di carattere geografico, tecnologico, quantitativo sulla diffusione di malware, attacchi, crimini in genere, aiuta a fare un analisi del rischio opportuno e focalizzare gli investimenti di conseguenza. IBM mette a disposizione dei prodotti del portafoglio sicurezza l’intelligenza che proviene da un gruppo di ricerca dedicato al tema di nome X-Force. X-Force è a disposizione del prodotti ma anche della comunità. Infatti viene prodotto un report ogni 3 mesi sul crimine informatico. Dal 2015 X-Force mette a disposizione un portale che può dare gratuitamente informazioni su tutte le informazioni che sono utili alla identificazione del rischio, dalla reputazione di un singolo IP, applicazione, sito web fino alle attività di scan , spam, etc. in corso a livello mondiale, istante per istante.
Angelo PERNIOLA RSA Dragonfly, Sandworm, MiniDuke, CosmicDuke, Careto, Shamoon, Wiper sono solo alcune delle campagne APT che hanno interessato industrie del settore energetico nel corso degli ultimi anni. Per essere più precisi, sono le campagne APT di cui si ha conoscenza pubblicamente. Se, come spesso accade, le notizie di dominio pubblico rappresentano soltanto la punta di un iceberg in un contesto di informazioni “sommerse”, si può facilmente immaginare quale sia la portata globale delle azioni offensive condotte ai danni di organizzazioni che operano in questo settore considerato, giustamente, altamente critico nello scacchiere delle infrastrutture di una nazione. Al fine di progettare e realizzare strategie difensive efficaci per individuare e rispondere ad azioni offensive è fondamentale comprenderne le cause. Quando si affronta il tema della cyber security in un settore critico come quello energetico, si fa
62
spesso menzione della dicotomia esistente tra due macrosistemi differenti e interagenti tra loro: Information Technology (IT) e Operational Technology (OT). Tale dicotomia aiuta, infatti, a individuare le peculiarità che un programma di sicurezza applicato al mondo OT deve possedere, poiché mette in luce le caratteristiche di sicurezza che rendono il mondo OT originale rispetto al più tradizionale e consolidato mondo IT. Per quanto riguarda efficaci azioni difensive, RSA considera le fasi di individuazione e risposta agli attacchi (c.d. Incident Detection e Incident Response) le chiavi di volta di una corretta strategia difensiva. I meccanismi di sicurezza preventiva (es. hardening dei sistemi, AV, endpoint protection, SIEM, Proxy, Firewall, IPS, etc.) sono importanti e rappresentano la base di partenza per un programma di sicurezza efficace, ma non sono sufficienti. Analizzando un report a scelta tra quelli periodicamente pubblicati da vendor o istituti di ricerca che illustrano lo stato della sicurezza a livello mondiale o nazionale in qualsivoglia settore industriale, la costante che si riscontra è la continua crescita del numero di attacchi nonostante un’analoga crescita presente nel campo degli investimenti in sicurezza preventiva. Risulta evidente, quindi, che la sola prevenzione sia attività necessaria ma assolutamente non sufficiente. Se partiamo, quindi, dall’assunto che i nostri sistemi (IT e OT) siano potenzialmente già stati compromessi perché le misure di sicurezza preventiva non sono in grado di assicurare protezione assoluta, l’unica alternativa percorribile è di sviluppare all’interno della nostra organizzazione capacità di individuazione e reazione ad incidenti di sicurezza. Perché questa alternativa possa trasformarsi in realtà e queste capacità possano svilupparsi, è necessario fare leva su tre elementi indispensabili e interagenti tra loro: persone, processi e tecnologie. Non soltanto è importante la presenza di questi tre elementi, ma lo è altrettanto, se non di più, la loro perfetta sinergia.
63
Conclusioni
Lo sviluppo del Cyber Security Framework Nazionale e i servizi emergenti
Roberto BALDONI Università “La Sapienza” Il Laboratorio nazionale di cyber security, nato circa due anni fa, si è messo a servizio dell'implementazione del piano strategico nazionale. Si tratta di un'entità legale con 35 università consorziate e 2 centri di ricerca molto rilevanti. Il Laboratorio si occupa di diverse attività progettuali e si impegna nello sviluppo di attività di sistema. I prossimi appuntamenti del Laboratorio prevedono: • un libro bianco sulla sicurezza cibernetica, che avrà come tema principale l’insieme delle sfide che l’Italia deve affrontare per rimanere nel gruppo dei Paesi avanzati; • un framework nazionale che permetta di migliorare le capacità del Paese in materia di Cyber Security. Il libro bianco è uno sforzo accademico con lo scopo di illustrare ai decisori politici che la situazione nell’ambito sicurezza cibernetica sta peggiorando. L'Italia deve affrontarla e impegnarsi attraverso il rindirizzamento di risorse che sono utilizzate in altri settori; la sfida per l'economia del prossimo futuro è sicuramente il cyberspace. Nell'ultimo periodo, c'è stato un cambiamento strutturale all'interno del mondo dell’economia, che è completamente dipendente dal cyberspace. Si provi a pensare a cosa potrebbe accadere se, improvvisamente, internet smettesse di funzionare; tutte le attività, non soltanto le infrastrutture critiche, si fermerebbero con effetti devastanti. La forza economica di un Paese e di un'azienda dipenderà dai sistemi di sicurezza che saranno resi disponibili. Questa necessità è stata percepita immediatamente da molte nazioni. Anche in Italia si è percepita, dunque, l’esigenza di creare un framework nazionale per la cyber security che ne illustri i vantaggi per il sistema Paese e come gestire il rischio cibernetico. Il framework nazionale ha diversi punti di contatto con il framework NIST (del febbraio del 2014), stilato per le infrastrutture critiche; si tratta di un framework generale, adattato ai diversi settori regolati, specializzato sulla realtà economico-produttiva italiana. Un'azienda dovrebbe adottare un framework per diverse ragioni. Si parte dal presupposto che nessuna conformità a un framework può assicurare rischio zero. Tuttavia, in pri65
mo luogo, quando si verifica un data breach - oltre ai danni operazionali, reputazionali e di IPR - l'azienda o l’organizzazione governativa rischia di poter essere soggetta a multe o a Class Action. Inoltre, istituire un'appropriata duty of care in questa materia è particolarmente rilevante perché permette di mitigare il rischio che deriva da un utilizzo senza precauzioni di internet o dei sistemi informativi; la presenza di una compliance a livello di framework nazionale può alleggerire questa posizione. Infine, si è deciso di costituire un framework nazionale perché si è capito che il problema cyber deve essere estrapolato dal contesto meramente tecnico. Nel prossimo futuro, la sfida sarà riuscire a far percepire la sua importanza all'interno dei board delle organizzazioni; in questo modo, si riusciranno a trovare le risorse necessarie per poter mettere in sicurezza il business dell'organizzazione stessa e successivamente, in scala più ampia, dare maggiore sicurezza al sistema Paese. Il framework è di tipo generale e potrà, dunque, essere esteso a tutti i settori regolati; si potrà avere una base comune di riferimento a cui seguiranno delle verbalizzazioni riferite ai diversi settori regolati. Bisogna individuare un modello che consenta alle aziende di raggiungere un livello di maturità cyber adeguata al loro business e, in seguito, capire qual è il percorso adatto a ogni singola società in funzione del suo specifico business; questo consentirà di aumentare le difese nonché la consapevolezza interna grazie alla sensibilizzazione del personale. Per arrivare al framework nazionale, si parte dalle best practices internazionali cercando di adattarle alla situazione italiana, dove si trovano poche grandi aziende e tantissime piccole e medie imprese. Questo lavoro si svolge in collaborazione con un gruppo di persone appartenenti a gruppi industriali che gestiscono le grandi infrastrutture critiche nazionali - come Eni e Enel - per arrivare a un miglioramento di sistema per il Paese rispetto a problematiche di attacchi che, inevitabilmente, esisteranno sempre. A livello italiano, il lavoro sulla cyber security permetterà di avere una “due diligence” nei confronti dei rapporti con le altre nazioni. Non si tratta, quindi, di un problema solo nazionale, bensì della modalità con la quale l’Italia si rapporta con altre nazioni: se viene generato un attacco, la probabilità che questo rimanga entro i nostri confini è pari a zero.
66
67
Energia Media srl Sede di Milano Via Soperga 16 - 20127 Milano Tel. 02.78622540 Fax. 02.84254632 Sede di Roma V.le Trastevere, 40 - 00153 Roma Tel. 06.5810501 Email
comunicazione@energiamedia.it www.industriaenergia.it www.smartcityitalia.net www.acquaoggi.it www.cybersecurityenergia.it