Cyber Security Energia Paper 13/2017
Cyber Security Energia
Energia Media Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in programmi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility. Tutte le immagini e fotografia presenti in questo Paper sono state regolarmente acquistate su banche dati. Nel caso in cui l’autore ritenga che siano state violate le regole di copyright, è pregato di segnalarlo al seguente indirizzo: comunicazione@energiamedia.it ©Energia Media - marzo 2017
i
Cyber Security Energia Paper 13/2017
Cyber Security Energia 2
Il presente Paper è un aggiornamento di quanto emerso durante la 3ª Conferenza Nazionale Cyber Security Energia CSE, svoltasi a Roma il 25 ottobre 2016, presso il Centro Studi Americani. Energia Media in collaborazione con WEC Italia (Comitato Nazionale Italiano del Consiglio Mondiale dell’Energia), Utilitalia e con il sostegno del MInistero dello Sviluppo economico e dell’ISCOM, ha avviato un percorso di approfondimento Cyber Security Energia, costituito da Workshop, Convegni, Tavoli di lavoro e Conferenze, dove istituzioni, aziende, imprese tecnologiche, energy company e utility possono condividere informazioni, approfondimenti e opinioni relativi alla sicurezza informatica di un comparto di primaria importanza come quello energetico.
3
Interventi RIFLESSIONI INTRODUTTIVE Marco MARGHERI Presidente, WEC Italia Giordano COLARULLO Direttore Generale, Utilitalia CYBER RISK NEL SETTORE ENERGETICO HIGH LEVEL DIALOGUE E SICUREZZA DEL SISTEMA ELETTRICO EUROPEO Gianluca FULLI Deputy Head of Unit, European Commission - Joint Research Center Didier SIRE Senior Advisor to the Secretary General of WEC Francesco MORELLI Responsabile Sicurezza Fisica e gestione Emergenza, Terna CYBER RISK MANAGEMENT: CASI DI SUCCESSO ED ESPERIENZE APPLICATIVE Angelo PERNIOLA Advisory Consultant Advanced Cyber Defence, EMEA at RSA Security Giovanni BENDISTINTO CEO, NMi Italia Yuri RASSEGA CISO Enel Group CYBER RISK TRA POLITICA E REGOLAZIONE. HIGH LEVEL DIALOGUE ITALY Andrea PÈRUZY Presidente e Amministratore Delegato Acquirente Unico Alberto BIANCARDI Componente dell’Autorità per l’Energia Elettrica, il Gas e il Servizio Idrico (AEEGSI) LA CYBER SECURITY DELLE UTILITIES Mattia SICA Direttore Area reti dell’energia, Utilitalia Lorenzo RUSSO Partner Intellium Deloitte Carlo DEL BO International Security Advisor Claudio IACOVELLI Sales Technical Support, Cyber Security & ICT Solutions - Leonardo PROGETTI EUROPEI DEDICATI E CYBER SECURITY Andrea GUARINO Responsabile Security, Privacy & Compliance, Gruppo Acea Giovanna DONDOSSOLA RSE Ricerca sul Sistema Energetico ed Energy Expert Cyber Security Platform (EECSP) Enzo Maria TIEGHI CEO, ServiTecno - GE Digital Partner
4
Paper n. 13/2017 - Cyber Security Energia
Riflessioni introduttive Marco MARGHERI
WEC Italia
Le reti sono il palinsesto, l’infrastruttura sul quale si basa il sistema energetico. Un sistema sofisticato e complesso, quello italiano, nel quale la sicurezza informatica non dovrebbe essere semplicemente un meccanismo difensivo, ma una policy a cui ciascuno di noi ha il dovere di attenersi. Negli ultimi anni, la velocità con la quale si sono sviluppate e diffuse tecnologie innovative e più sostenibili attraverso la convergenza tra energia e ICT è stata frutto di una duplice spinta: bottom up da parte di aziende e società civile che hanno fatto della sostenibilità un obiettivo prioritario, e top down sotto l’influenza delle politiche governative derivanti dall’applicazione del Protocollo di Kyoto e successivi accordi internazionali. La combinazione di queste due spinte ha favorito la diffusione di sistemi energetici più sostenibili ma al contempo esposti a nuovi rischi, tra cui quello informatico. In pochi anni, questi trend hanno modificato il sistema mondiale di produzione, distribuzione e consumo dell’energia aprendo le porte delle nostre centrali, dei nostri impianti e delle nostre case alla digitalizzazione. Considerando questi elementi è dunque indispensabile ripensare investimenti e piani per il futuro al fine di identificare le nuove priorità di investimento tenuto conto di un contesto che richiederà una sempre maggiore resilienza dei sistemi energetici a rischi che siano eventi naturali estremi, stress idrico e ancora attacchi informatici. Se al contrario ci rifiuteremo di farlo rischieremo di perdere il passo con l’evoluzione dei sistemi energetici internazionali perdendo anche le opportunità date da una maggiore integrazione con essi.
Giordano COLARULLO
Utilitalia
Per Utilitalia e le aziende che ne fanno parte, il tema della cyber security è molto cogente. La sicurezza informatica delle reti è un aspetto che può sembrare lontano dalla gestione quotidiana, tuttavia al contrario si interseca con diversi ambiti della vita e del lavoro di ciascuna delle nostre associate. Le aziende che fanno parte della federazione operano sulle infrastrutture delle nostre città, che si stanno evolvendo sempre più velocemente verso il modello di città intelligente. La capacità di fornire servizi integrati e l’ampliamento delle infrastrutture implica la moltiplicazione di punti sensibili ad attacchi e intrusioni nelle reti. Accanto al concetto di sicurezza e di difesa, si sta facendo sempre più strada la consapevolezza del fatto che hackeraggi delle reti sono inevitabili, per questa ragione è sempre più importante sviluppare abilità, sistemi e tecnologie volte al rapido ripristino dello stato del sistema e al contenimento dei danni causati dall’intrusione. All’interno di uno scenario complesso, composto da molteplici attori, il ruolo di Utilitalia è quello di proporsi come punto di incontro tra le esigenze delle differenti realtà, affinché queste possano cooperare e trovare nel modo migliore possibile e nel più breve tempo possibile le soluzioni più adeguate ai propri bisogni di protezione. In considerazione di quanto fin qui esaminato è stata attivata da tempo una proficua collaborazione con il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia di Stato (C.N.A.I.P.I.C.), all’interno del quale sono presenti gruppi di studio e condivisione delle best practices per la sicurezza informatica.
Cyber Risk nel settore energetico high level dialogue e sicurezza del sistema elettrico europeo
Evoluzione e sicurezza del sistema elettrico Gianluca FULLI
Il Joint Research Centre (JRC) della Commissione europea sta dedicando
Joint Research Center
crescente attenzione alle sfide relative all'evoluzione del sistema elettrico europeo, analizzandone aspetti tecnologici, economici e sociali. Il JRC esegue nei suoi laboratori svariate attività di osservazione, test, simulazione e valutazione dei sistemi elettrici del futuro, al fine di supportare correlate politiche energetiche nazionali e comunitarie. Il sistema elettrico, sovente considerato la macchina più complessa che l'uomo abbia mai realizzato, è chiamato ad assolvere una missione: fornire energia ai suoi utenti. Questo compito va eseguito con un certo grado di sicurezza, di modo che il consumatore abbia la ragionevole certezza di poter utilizzare l'elettricità in quantità e tempistiche che rispondono alle sue esigenze. Quali e di che tipo sono i rischi che minacciano la sicurezza di fornitura dell'elettricità? Le minacce alla sicurezza - che, qualora si materializzino in eventi avversi, possano causare danni di diversa magnitudine - sono dell'origine più varia: naturali (ad es. cataclismi), accidentali (ad es. causate da errore umano
Energia Media
8
Paper n. 13/2017 - Cyber Security Energia
o da guasto di componenti), intenzionali (ad es. azioni terroristiche o attacchi cyber), cosi come collegate alla transizione verso un sistema cosiddetto low-carbon. Le minacce alla sicurezza del sistema elettrico possono essere inoltre caratterizzate in termini di area d'impatto, durata e provenienza. Prima di giungere all'utente finale, il bene o servizio elettricità può essere considerato attraversare diverse dimensioni concentriche (vedi figura sotto): la più vicina all'utente è quella delle infrastrutture elettriche, a sua volta composta dai sottosistemi di distribuzione/uso finale, trasmissione e generazione; a monte si trova il sistema energetico delle risorse primarie (fossili, rinnovabili, ecc), che vengono convertite in elettricità negli impianti di produzione; ancora più a monte si colloca la dimensione regolatoria e di mercato, che detta le regole del gioco per il funzionamento dell'intero sistema elettrico; infine, ad inglobare tutte le precedenti, c'è la dimensione geopolitica: in questo ambito si decidono strategie per modificare gli scambi energetici attraverso paesi (ad es. l'interruzione del flusso in un gasdotto transfrontaliero o la costruzione di nuove linee elettriche di interconnessione)
9
o si definiscono nuove politiche energetiche (ad es. di riforma del mercato elettrico o di sostegno all'autoconsumo di elettricità). Non solo le minacce alla sicurezza si possono materializzare in una o più delle sopra descritte dimensioni, ma possono presentarsi in lassi temporali che vanno dai microsecondi agli anni, con risposte del sistema elettrico e necessità di azioni di mitigazione del rischio completamente differenti. Per questi motivi, il sistema elettrico deve possedere diverse proprietà - sicurezza dinamica (o d'esercizio), flessibilità, resilienza, adeguatezza e robustezza - che in prima approssimazione si possono associare alla durata temporale degli eventi che impattano sul sistema elettrico e alla provenienza delle minacce (vedi figura sotto).
Il sistema elettrico europeo, che ha storicamente mostrato livelli di affidabilità e sicurezza soddisfacenti, è da alcuni anni chiamato a cambiare drasticamente le sue caratteristiche fondanti - anche in risposta ad ambiziosi obiettivi di politica energetica e di lotta al cambiamento climatico. I Paesi membri dell'Unione Europea stanno infatti lavorando all'implementazione di una strategia energetica comunitaria - Energy Union - nei seguenti cinque domini: sicurezza e solidarietà energetica; creazione di un mercato interno dell’energia; moderazione della domanda; decarbonizzazione; innovazione e competitività. Inoltre, al fine di portare il consumatore al centro del cambiamento energetico, i Paesi UE hanno
Energia Media
10
Paper n. 13/2017 - Cyber Security Energia
proposto un “new deal for the consumer”. Questo nuovo approccio prevede: la riforma del mercato energetico sia al dettaglio che all’ingrosso, una migliore accessibilità alle informazioni energetiche (imprescindibile per operare scelte autonome ma regolamentate) e l’ampliamento della possibilità di interazione con altri soggetti (come i distributori e gli aggregatori). Le iniziative sopra descritte sono volte a perseguire i tre grandi obiettivi di politica energetica comunitaria: sicurezza, sostenibilità e competitività, con un immediato impatto sul sistema elettrico ed i consumatori ivi connessi. Il sistema elettrico, con una massiccia integrazione di energie rinnovabili, risorse energetiche distribuite (generatori di piccola taglia, veicoli elettrici, batterie, ecc) ed information and communication technology, sta attraversando una fase di cambiamento verso un sistema digitalizzato più intelligente una smart grid - con una proliferazione ed un cambiamento di ruolo per molti degli attori coinvolti. Per analizzare le sfide per la sicurezza e l’efficienza delle smart grid, prima di una loro piena diffusione nel mercato ed industriale, è indispensabile studiare le loro caratteristiche in progetti sperimentali in scala ridotta. Per questa ragione molte organizzazioni distributori, utility, centri di ricerca, università etc - hanno scelto di investire su progetti di ricerca, sviluppo e dimostrazione sui sistemi elettrici intelligenti. Tra le attività del Joint Research Centre della Commissione Europea vi è quella di monitoraggio dei progetti sulle smart grid. Nell’ultimo decennio in Europa sono stati destinati più di 5 miliardi di euro per lo sviluppo delle smart grid (escludendo gli investimenti in smart meter, in quanto tecnologia già matura). Attualmente in Europa sono stati realizzati un migliaio di progetti sulle smart grid, con progetti di ricerca e sviluppo in numero elevato ma non molto costosi (meno del 40% del budget), e progetti dimostrativi meno numerosi ma più costosi (oltre il 60% del budget). Entrambe le categorie di progetti coinvolgono in modo significativo la parte dell’ICT, in quest’ottica va dunque considerato il ruolo importante che assume la cyber security nella sicurezza energetica. L’importanza del connubio di information and communication technology con sistemi elettrici evoluti è confermata dal fatto che gli Stati membri dell’Unione stanno investendo prevalentemente in progetti nel campo dello smart network management e del demande side management. Rispetto a questo tema l’Italia, considerando la globalità degli investimenti, è tra le prime in Europa. La classifica però cambia se si scorporano gli investimenti sugli smart meter: i paesi che più hanno puntato sulle reti intelligenti, utilizzando la metà dei fondi analizzati, sono stati: Germania, Regno Unito e Francia (vedi figura sotto). Normalizzando invece gli investimenti pro capite o in base al consumo energetico, Slovenia e Danimarca risultano in testa alla classifica degli in-
11
vestimenti su smart grid. La rete danese è una sorta di living lab per progetti di sistemi elettrici intelligenti, alcuni dei quali centrati anche sul tema della cyber security. Volgendo lo sguardo agli Stati Uniti, si osserva come oltreoceano le applicazioni di demand response siano maggiormente integrate nel sistema e mercato elettrico. Diversamente in Europa, Italia compresa, questo aspetto viene studiato ancora prevalentemente in progetti pilota. Degno di nota è però l'interesse di soggetti non istituzionali al tema, tra i quali municipalità o associazioni che tendono a proporre soluzioni di aggregazione delle risorse distribuite per lo sviluppo delle smart grid. A stimolare investimenti e ricerca sulle reti intelligenti e sicure sono principalmente fondi privati, fondi nazionali e finanziamenti comunitari. Ulteriori attività del JRC sui sistemi elettrici intelligenti riguardano la simulazione ed il test in laboratorio di nuove soluzioni per le smart grid, al fine di identificare deficit e necessità
Energia Media
12
Paper n. 13/2017 - Cyber Security Energia
nel processo di standardizzazione. La definizione di standard condivisi è cruciale per sviluppare ed integrare (anche) la sicurezza informatica nelle future reti intelligenti. Anche se molti standard per la sicurezza nelle smart grid sono in corso di definizione, il processo non può considerarsi completo, anche a causa del bisogno di incorporare sempre nuovi elementi: tecnologie, architetture, casi d'uso, politiche, migliori pratiche o altre forme di analisi della sicurezza. Per questa ragione il JRC lavora con le organizzazioni di standardizzazione sui processi e le soluzioni per le smart grid e la loro sicurezza. Le organizzazioni di standardizzazione hanno proposto una metodologia di gestione del rischio per la sicurezza nelle smart grid che copre non solo gli aspetti tecnologici ma anche quelli di processo e comportamentali. Il monitoraggio e la gestione di una grande quantità di dati apre la strada a questioni legate alla privacy, per il possibile uso indesiderato di funzionalità remote e di dati confidenziali collegati alle smart grid. Per studiare al meglio l’evoluzione del sistema elettrico e degli attori (produttori, consumatori, fornitori di servizi, etc) ad esso collegato, è importante introdurre il concetto di interoperabilità. Con interoperabilità viene indicata la capacità di componenti, applicazioni e comportamenti di interagire di modo che il sistema funzioni in maniera sicura ed affidabile. Perché abbiamo bisogno dell'interoperabilità? Perché gli standard possono presentare requisiti e opzioni che si sovrappongono e/o hanno bisogno di interfacciarsi; perché alcune tecnologie ed alcune funzioni possono presentare incompatibilità o incontrare ostacoli regolatori nella loro implementazione. Ad oggi pochi standard sono stati testati con riferimento alla loro interoperabilità. Nell’ottica di esplorare quest’aspetto, anche sotto il profilo della sicurezza dei sistemi elettrici, il JRC ha attivato una collaborazione con l’americano Argonne National Lab, che ha portato alla realizzazione di due laboratori gemelli in Europa e America sull'interoperabilità del veicolo elettrico e delle smart grid. Il laboratorio del JRC supporta il processo di innovazione e di sviluppo di politiche comunitarie testando l'interoperabilità di apparati e sistemi sulla base degli standard applicabili e con riferimento ad architetture e casi d'uso rilevanti. Più in dettaglio, il laboratorio si occupa di analizzare l'interoperabilità tra veicoli elettrici e stazioni di ricarica, coprendo sia aspetti infrastrutturali (impatto in termini di congestioni di rete e variazioni della qualità del servizio) che informatici (con analisi dei protocolli di scambio delle informazioni per il processo di ricarica). Maggiori informazioni sulle attività del JRC di mappatura, studio e analisi delle architetture delle smart grid sono disponibili su: http://ses.jrc.ec.europa.eu/
13
14
Paper n. 13/2017 - Cyber Security Energia
Didier SIRE
WEC
The topic of resilience of energy infrastructure facing the cyber risk is one of the most important issues for the energy sector today. In 2014, the World Energy Council launched the study “The road to resilience. Financing Resilient Energy Infrastructure�, in partnership with Swiss Re Corporate Solutions and the US company Marsh & McLennan. Today, the energy sector is experiencing a radical transition, or better, a real revolution, mainly due to the increasing energy demand, to the emergence of new technologies, to some markets transformations and to the rise of new risks, challenging the resilience of infrastructures. In the energy infrastructure field, the term resilience refers to its robustness and its ability to recover operations to minimize interruptions to service. This is a matter of individual assets and it concerns the energy system as a whole; it implies the ability to withstand extraordinary events, to secure the safety of equipment and people, and ensure continued and reliable energy production. The World Energy Council has conducted an annual survey directed to 1200 CEOs, ministers and experts from all over the world in order to highlight the critical uncertainties facing the sector. The Survey responses confirm that Cyber threats are among energy leaders’ top uncertainty issues in Europe and North America. On the other hand, this topic appears more marginal in other regions like Africa and Latin America. The study pointed out several important findings. To start with, the sophistication and frequency of cyber attacks has dramatically increased and this trend is worrying; in a survey on Critical Infrastructure organization of 2015, made by the Aspen institute and Intel Security in the United State and in some European countries, 48% of respondents expressed the possibility that a cyber attack took down critical infrastructure with a potential loss of lives (http://aspensecurityforum.org/aspen-institute-intel-security-cyber-re port/). Nowadays, energy companies must get used to the fact that cyber risk is comparable to a flood or a fire threat. The second finding underlines that the energy sector is experiencing an increasing interconnection and digitization (including the development of smart grids, smart devices and the growing of the Internet of Things).
15
However, the critical role in the functioning of a modern economy makes it a high attractive target for cyber attacks. If digitization increases operational efficiency in industry, it also dramatically increases the ability of cyber attacks; the growing interconnection also raises the complexity of cyber management. Moreover, cyber attacks on energy infrastructure have the potential to cross from the cyber realm to the physical world. To give one example, it can be mentioned the hacker attack on a Ukrainian electricity power distribution company on 23rd December 2015. Hackers have entered the computers and SCADA system causing a 3 hours outage for 80.000 customers. This was the first publicly acknowledged Cyber event impacting a country power supply; even if the consequences were quite limited, it is still a very worrying risk, assuming for instance a large-scale attack, such as on a nuclear power plant. Another specificity of the energy sector is the potential “domino effect� damage that an attack could cause not only to an asset, or to the energy field but to the whole economic infrastructure of the country. Furthermore, technology vendors can play a critical role in furthering, or hindering, the resilience of energy infrastructures. These firms must ensure that they deliver technologies that have security standards built into the products they are delivering. Otherwise, industrial control system and the SCADA can compound cyber risk and increase vulnerability of energy operations to attacks. The human component plays a fundamental role in Cyber Security; very often the success of cyber-attacks depends on the human failure due to insufficient awareness of people on cyber risks at all levels of the organization. As a consequence, employees awareness of cyber vulnerabilities must be included as part of an effective cyber-security strategy. In countries with high infrastructure maturity, energy leaders are increasingly recognizing the importance of viewing cyber-attacks as a core threat to business continuity. It is necessary to create an organization wide, far beyond IT departments, investing more and more founds. By 2018, the oil and gas industries alone could be spending US $1.87 billion each year on cyber security. Although companies are increasingly recognizing cyber as a core risk, there is limited information sharing amongst industry members and across sectors on cyber experiences. The study pointed out that improved information sharing would enable greater comprehension of the impact of cyber risks in energy companies and in the energy sector as a whole. Last, but not least, the question of insurance. Cyber insurance is one mechanism to help offset some of the potential financial losses from a cyber- attack. However, cyber is still an emerging and evolving risk and the limited historical data related to it currently restricts the maturity of the cyber insurance market. So the insurance in-
Energia Media
16
Paper n. 13/2017 - Cyber Security Energia
dustry must continue to develop instruments to adverse the complexity of cyber risks and the potentially associated catastrophe. The process of applying for cyber insurance in itself often proves to be beneficial for companies, as it obliges them to assess their own cyber practices. Based on these key findings, the Council makes some recommendations. The companies must not consider the cyber risk as a purely IT risk but as an enterprise-wide concern; cyber risk has become a key operational risk that requires effective and comprehensive risk management, including governance and oversight from the highest management levels including the board of directors and executive team. Moreover, the energy sector must take a systemic approach and assess cyber risks across the entire energy supply chain, to improve the protection of energy systems and limit any possible “domino effects� that might be caused by a failure in one area of the value chain. That is not easy because that requires supply chain compliance and cross border cooperation. Another important recommendation is that companies must move from a technology approach to an organization wide one. Cyber risks are going to grow in frequency, sophistication and damage; as a consequence, energy companies need to adopt a continuous proactive attitude to cyber resilience, implementing measure of prevention, detection and response to cyber threats. The most implementing cyber strategy should include both technical measures of resilience (such as security measure for software and hardware; measures governing physical structures, such as limiting the access to data centers; clear instructions and rules for using external devices like USB, hard drives...) and human preparedness. It is essential to develop a robust cyber awareness culture, within and beyond organizations and to implement it at all levels of an organization and between organizations. Working across sectors and collaborating with governmental and private sector institutions can help gain a better understanding of the nature of cyber risk impacts. International cooperation must be enhanced to strengthen the cyber security and resilience of energy systems, disseminating information about incidents, sharing best practices and introducing international cyber security standards. All stakeholders have to work together. Energy companies must consider Cyber risk as a core business risk, they must effectively assess and understand company- specific cyber risks and build strong technical and human resilience strategies. It is fundamental to work on increasing awareness among other energy stakeholders to ensure that the broader energy community is included in resilience measures. Industry associations must also support and stimulate information sharing and the adoption of best practices, conduct peer evaluations, and help the sector develop a robust and active cyber-aware culture. Governments have also a key role to play. The Council's recommendations are to support strong responses from companies to cyber risks by stimulating the introduction 17
18
Paper n. 13/2017 - Cyber Security Energia
of standards or imposing dedicated regulations, and to encourage information sharing across countries, sectors and within the industry and improve international cooperation on cyber security frameworks. At the same time, the insurance and financial sectors must adapt coverage to meet the ongoing evolution of cyber risk. They must monitor cyber risks covered within existing insurance products, adapt where necessary and focus on managing newly arising and changing accumulation risks. It is important for them to work with the industry to improve awareness of cyber insurance products, supporting the energy industry in determining and collating critical cyber risk data and further develop the cyber insurance market. They must respond to evolving cyber regulation needs. To conclude, increasing resilience of energy infrastructure is no longer an option; it is a must.
Francesco MORELLI TERNA
Il tema della Cyber Security per grandi realtà come Terna, che con 72.000 km di reti fornisce energia a tutta l’Italia, è particolarmente delicato. Si crede che il miglior modo di garantire un alto livello di sicurezza delle proprie strutture sia non parlarne affatto, da qui il concetto di Security by obscurity, tuttavia la complessità delle reti e il moltiplicarsi dei punti di accesso per il gran numero di oggetti connessi rende indispensabile il confronto tra diversi soggetti. I casi di attacchi informatici degli ultimi anni testimoniano chiaramente l’importanza di diffondere una cultura relativa alla sicurezza informatica e di condividere pratiche per la protezione dei dati, senza mai sottovalutare il fattore umano. Tra i casi più recenti ed eclatanti di Hacking, si ricorda nell’ottobre 2016 l’oscuramento per diverse ore di alcuni siti americani e la conseguente impossibilità degli utenti dell’East Coast di connettersi in rete. In questo caso l’attacco di Denial of Service ebbe origine da webcam di produzione cinese e router domestici per un totale di 400.000 apparecchi coinvolti. Altro episodio eclatante in tema di Hacking risale al 2014 quando fu compromesso l’account mail personale del direttore della CIA John O. Brennan. Rimane dunque ancora valida l’idea dei romani che è sì importante proteggere il cuore dell’Impero, ma ancor più fondamentale è proteggerne i confini. All’interno di grosse realtà come quelle dei gestori di energia, il primo passo fondamentale per proteggere i confini è di identificare il cuore del sistema e poi, partendo da lì, costruire intorno un sistema
19
di sicurezza efficace, standardizzato e condiviso. In Terna sono presenti strutture deputate specificatamente alla sicurezza, tra queste il SOC, Security Operations Center, che svolge attività di monitoraggio di sicurezza degli asset aziendali materiali e immateriali, oltre che scouting delle tecnologie di Cyber Defense più adatte (ad esempio sistemi di sicurezza perimetrale). Affinché la sicurezza sia globale, le differenti strutture aziendali devono collaborare tra loro, per questo il SOC è legato al lavoro svolto dall’area che si occupa di Information Security, che ha il compito di fornire linee guida, identificare corretti comportamenti e strategie e simulare possibili intrusioni. In questo momento per Terna è fondamentale proteggere il cuore del proprio sistema, cioè la gestione del sistema elettrico interconnesso all’esterno e con grandi energivori come acciaierie, cementifici e molto altro. Per garantire la sicurezza di sistemi così ampi e articolati è di primaria importanza stabilire protocolli e procedure, diffondendo nel contempo le così dette buone pratiche nel quotidiano di ogni persona che lavora o collabora all’interno dell’azienda. Una corretta difesa ha diversi gradi di profondità e si costituisce di pratiche stratificate: per questo viene chiamata Defense in Depth. Le tecniche che possono essere applicate sono diverse, tra queste l’analisi dei protocolli industriali, firewall adeguati o sistemi di Intrusion Prevention. Per quanto riguarda Terna, ogni giorno vengono bloccate URL di navigazione Internet malevole ed e-mail pericolose indirizzate agli utenti, che costituiscono l’anello più debole della catena. Da qui l’importanza di adottare un approccio multidisciplinare che integri la sicurezza fisica al controllo degli accessi, proteggendo computer e account dei lavoratori; nessuna piattaforma potrà mai proteggere da una chiavetta infetta inserita in un terminale non protetto lasciato incustodito. In quest’ottica l’azienda sta lavorando a un Sistema Evoluto di Tutela Aziendale (SETA) in grado di analizzare quasi in tempo reale tutte le informazioni relative ai log, dando informazioni, ad es., su quante persone sono presenti in un edificio o su quanti warm sono stati bloccati dai sistemi di sicurezza. Benché, come già ricordato, il modo più sicuro per difendersi sia non parlare con nessuno dei propri punti deboli o delle proprie criticità, per stabilire standard e adottare soluzioni efficaci è necessario confrontarsi. Da qui la decisione di superare la diffidenza e guardare al panorama europeo e extraeuropeo, aprendo un dialogo con ENTSOE (European Network of Transmission System Operators for Electricity). In ENTSOE, attraverso la raccolta di dati in forma anonima, si sta creando una baseline europea dalla quale partire e progettare un piano decennale per il perfezionamento degli aspetti più critici della sicurezza, avvicinando differenti realtà europee. Tra gli altri soggetti con i quali sono state avviate collaborazioni in tal senso, si ricordano il CERT Nazionale, il CERT Europeo, il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche all’interno della Polizia Postale) e infine il tavolo di lavoro del G7 Energy. Il compito che stiamo svolgendo è complesso, per la varietà di soggetti coinvolti e la delicatezza di ogni specifica realtà, ma la cooperazione resta l’unica via percorribile. Energia Media
20
Cyber risk management: casi di successo ed esperienze applicative
Angelo PERNIOLA
RSA
Il punto di partenza per il corretto sviluppo di una strategia difensiva di un sistema deve comprendere la definizione di un adeguato Threat Model. Tale definizione consente, infatti, di individuare le misure di Incident Detection & Response da implementare in maniera proporzionata e rilevante rispetto alle minacce. In questo modo si riduce al minimo il rischio di adottare soluzioni tecnologiche e organizzative “generiche” nella speranza che siano adatte al nostro ecosistema informativo e alle relative minacce. Ciò vale ancor di più quando si ha a che fare con ambienti in cui convivono Information Technology (IT) e Operation Technology (OT) in quanto le due tecnologie hanno caratteristiche distintive che ne determinano differenti Threat Model. A titolo di esempio, possiamo considerare il caso di una multinazionale del settore Oil & Gas supportata nel corso del 2016 dal team RSA Advanced Cyber Defense per la realizzazione del proprio Security Operation Center (SOC) per i propri sistemi IT. Una volta completata la realizzazione del SOC, l’obiettivo per il CISO è diventato quello di massimizzare la struttura esistente per svolgere Incident Detection & Response anche sui sistemi OT. Per farlo è stato necessario adottare i seguenti accorgimenti per la fase di Detection: • Adattare le sorgenti dati per il SIEM in funzione delle caratteristiche e peculiarità del nuovo ambiente.
Per esempio, privilegiare la componente
network (via deep packet inspection e flow collection) rispetto alla componente log (endpoint) • Sviluppo di Use Case mirati in funzione delle minacce specifiche del mondo OT e delle sorgenti dati disponibili. Per quanto concerne la fase di Containment, l’adattamento principale è stato la creazione di un’interfaccia dedicate tra gli analisti del SOC e il team di ICS Engineering in aggiunta a quella già esistente tra SOC e IT Operations. Per la gestione della fase di Analysis, la differenza principale è stata riscontrata nella aver eseguito, per la quasi totalità degli incidenti, attività di analisi forense. Ciò non è analogamente attuabile, anche in considerazione del maggior numero di incidenti gestiti, nel corso della gestione di inciden-
Energia Media
22
Paper n. 13/2017 - Cyber Security Energia
ti sui sistemi IT in cui l’analisi forense è limitata solo a determinati e specifici casi. Le considerazioni di cui sopra sono state fondamentali per la costruzione di un SOC modellato sulle minacce OT a partire dal già consolidato SOC IT. Dal punto di vista tecnologico, lo sviluppo di Use Case mirati è efficace solo se sono opportunamente considerati gli elementi che caratterizzano il mondo OT differenziandolo da quello IT. A titolo esemplificativo si riportano in figura 1 alcune declinazioni pratiche di tali elementi relativi alle capacità di realizzare baseline di riferimento e alla disponibilità di sorgenti dati sia a livello di host sia di rete. La costruzione di baseline nel mondo OT, sebbene non semplice, è comunque implementabile con sforzi minori rispetto al mondo IT in cui la dinamicità dei servizi e l’eterogeneità dei sistemi rendono questa attività spesso impossibile.Quando parliamo di log e endpoint telemetry, nel mondo IT il limite nella realizzazione di Use Case è spesso la fantasia del Content Developer più che la disponibilità dei dati. Situazione differente nel mondo OT, a causa di limiti nella disponibilità e completezza dei device log. Tale limite può in parte essere superato grazie alla disponibilità di un maggiore “controllo” sul traffico di rete grazie alla disponibilità di un maggior numero di punti di controllo (chokepoints) e di baseline di riferimento di cui abbiamo parlato in precedenza.
23
Pensare che un SOC costruito per la difesa del perimetro IT abbia lo stesso livello di efficacia ed efficienza anche quando il campo di azione si allarga al perimetro OT è pura illusione. Allo stesso tempo, però, non è necessario ripartire da zero: gli investimenti e le lezioni del passato possono, infatti, essere sfruttate attraverso adattamenti derivanti da differenti minacce e contromisure difensive.
Giovanni BENDISTINTO
NMi Italia
NMi, in quanto ente certificatore specializzato in metrologia, ha potuto osservare attentamente i cambiamenti tecnologici verificatisi sul mercato negli ultimi anni. Particolarmente degno di nota è stato il meccanismo che ha portato diversi produttori di meter per gas, acqua o elettricità a desiderare non solo una certificazione sull’adeguatezza degli strumenti proposti, ma anche sulla capacità di questi di comunicare tra loro all’interno di gruppi omologhi. La sfida tecnologica si è fatta ancora più interessante quando sul mercato si è affacciata la richiesta che contatori di gruppi non omologhi (ad esempio gas e acqua) fossero in grado di interagire. La portata dei due fenomeni ha fatto si che si facessero strada i concetti di interoperabilità e di intercambiabilità. Il primo indica la capacità che i sistemi hanno di dialogare tra loro, il secondo invece prevede che all’interno di un sistema ogni componente possa essere gestito in totale libertà, senza che sostituzioni di parti, accensioni o spegnimenti ne compromettano le funzionalità (esempio di tecnologie intercambiabili sono i telefoni cellulari che funzionano tutti allo stesso modo in qualsiasi luogo del mondo vengano costruiti o acquistati). Benché ad oggi il concetto di intercambiabilità nel mondo delle utilities appaia ancora futuristico la prossima frontiera sarà proprio questa. Nel mondo del gas il tema dell’intercambiabilità è già stato affrontato, esistono infatti diversi test che è possibile fare per verificare la caratteristiche degli smart meter. Ma come essere sicuri che tutti i produttori che affermano che i propri smart meter siano intercambiabili stiano dicendo il vero? A sciogliere ogni dubbio sulle reali caratteristiche di un prodotto dovrebbe essere una normativa chiara e puntuale.
Energia Media
24
Paper n. 13/2017 - Cyber Security Energia
Quest’ultima infatti non solo velocizzerebbe l’avanzamento tecnologico ma garantirebbe anche che tutti gli smart meter abbiano lo stesso (alto) livello di sicurezza, proteggendo così i punti di accesso alla rete. Il tema della sicurezza informatica delle reti e della standardizzazione dei processi di sicurezza è per Enel all’ordine del giorno. La società con una capacità di generazione netta installata di circa 90 GW, con 1,9 milioni di km di reti è presente in 4 continenti, serve 61,2 milioni di utenti e gestisce i consumi attraverso 38,5 milioni di smart meter.
Yuri RASSEGA
Enel Group
L’enorme quantità di dati elaborati ogni giorno richiede necessariamente una ferrea organizzazione e un’estrema chiarezza dei flussi di lavoro anche e soprattutto sotto il profilo della cyber security. Il Gruppo per tutelare le reti e gli strumenti ad esse connessi ha scelto negli anni di adottare per le proprie reti dati un’architettura opportunamente segregata e monitorata. La velocità dell’evoluzione tecnologica e le crescenti esigenze degli utenti hanno portato Enel a evolvere le proprie strategie utilizzando Big Data e IoT per generare opportunità in tre aree: •
asset: ovvero digital power plants, smart grids e smart cities
•
servizi ai clienti quali piattaforme e dedicate, analisi dei consumatori e
nuovi servizi (Smart Home, e- mobility, strumenti connessi) •
digitalizzazione dei processi aziendali sotto il profilo organizzativo, nella
diffusione di buone pratiche e di una cultura digitale e adattamento dei luoghi lavorativi alle nuove esigenze. Affinché le opportunità di sviluppo si concretizzino è necessario gestire al meglio le risorse, cioè macchinari e persone all’interno di tutta la catena. Sotto il profilo della cyber security ogni persona che lavora o collabora all’interno del gruppo deve conoscere le corrette pratiche di gestione. Per questo Enel ha attivato diverse campagne di sensibilizzazione sul tema della sicurezza, a tutti i livelli coinvolgendo top management e operatori specializzati utilizzando linguaggi e temi comprensibili alle varie divisioni. Sotto il profilo operativo sono state coinvolte professionalità specifiche il cui compito è quello di monitorare e mappare quotidianamente all’interno
25
delle attività quali siano i rischi possibili o esistenti, affinché potenziali criticità vengano depotenziate e risolte immediatamente. Questa procedura consente ai tecnici di circoscrivere le minacce, riducendone le conseguenze nel caso in cui non sia possibile neutralizzarle totalmente. Infine parte del lavoro sulla cyber security riguarda l’ottimizzazione delle soluzioni relative al mondo Information Technology e a quelle per il mondo Operation Technology, due ambiti la cui evoluzione e le cui tecnologie procedono intersecandosi frequentemente ma mantenendo consistenti specificità e differenti priorità. L’armonizzazione di IT e OT è dunque fondamentale al fine di poter raggiungere un alto grado di sicurezza.
Energia Media
26
Cyber Risk tra politica e regolazione. High level dialogue Italy
Andrea PÈRUZY
Acquirente Unico
Ogni anno gli attacchi informatici hanno un costo di 400 miliardi circa, cifra che supera il PIL prodotto da 160 del 196 Paesi che compongono il mondo. Si prevede che il settore della cyber security nel 2020 toccherà i 175 miliardi di dollari, contro i 3,5 miliardi del 2000. Le ragioni della rapida crescita del settore della cyber security e di conseguenza della necessità di proteggere le infrastrutture possono essere facilmente identificate a partire dagli episodi di attacchi informatici occorsi nell’ultimo lustro. Citando solo i casi più clamorosi si ricorda che il 15 agosto 2012 un gruppo di hacker che assaltò i sistemi della Saudi Aramco, la più grande azienda petrolifera del mondo (con un capitale di 2 trilioni di dollari, tre volte superiore a quello della Apple e sette volte quello della Exxon Mobile). Per debellare il virus, noto come Shamoon, che si è diffuso in modo fulmineo all’interno dei computer aziendali dislocati in tutto il mondo, sono stati necessari 15 giorni di lavoro e una task force tra USA, Russia e Israele ed è costato la sostituzione di 30.000 computer. Considerato che la compagnia costituisce circa il 90% delle entrate saudite, che le aggressioni arrivarono quasi a distruggere il sistema di produzione mettendo in crisi gli impianti di trivellazione e che il virus è entrato nel sistema attraverso una chiavetta usb infilata in un computer, è possibile affermare che la sicurezza informatica sia un tema molto sensibile al quale va attribuito un giusto peso. Nell’aprile del 2013 invece alcuni hacker penetrarono l’account Twitter della Associated Press, una tra le più grandi agenzie di informazione al mondo, diffondendo la notizia falsa di due esplosioni alla Casa Bianca e del ferimento di Obama. La notizia fu data all’1.02 e i riflessi sull’economia non si fecero attendere. Tra l’1.08 e l’1.10 infatti la Borsa di New York perse 150 punti, svalutando il mercato di 136 milioni di dollari. In quel caso fortunatamente i danni furono contenuti in breve tempo. Infine nell’ottobre 2016 ha reso inaccessibili centinaia di siti web statunitensi. A fronte di queste evidenze non possiamo che considerare il fatto che non c’è nulla che in rete non possa essere violato. Qualsiasi sia l’oggetto in questione automobili, attrezzature agricole, orologi, frigoriferi, sistemi di allarme, contatori
Energia Media
28
Paper n. 13/2017 - Cyber Security Energia
domestici, router casalinghi o apparecchi elettromedicali (ad esempio i pacemaker) questo è passibile di attacco o violazione. Nei prossimi anni l’aumento degli oggetti connessi alla rete non sarà dovuto solamente all’avanzamento tecnologico, ma anche all’impatto positivo che queste tecnologie interconnesse avranno sulle nostre economie. Secondo quanto previsto da un rapporto McKinsey, che prende in esame il potenziale di risparmio sui costi operativi grazie a strumenti connessi in rete, entro il 2015 il riflesso economico delle applicazioni IoT oscillerà tra i 900 miliardi e i 2,3 trilioni di dollari all’anno solo nel settore manifatturiero. Lo studio ha inoltre evidenziato come tecnologie avanzate possano essere applicate anche da pubbliche amministrazioni nella gestione di servizi idrici, di riscaldamento o dei rifiuti, portando una riduzione degli sprechi tra il 10 e il 20% all’anno. Le potenzialità offerte dall’Internet of Things sono davvero molto attraenti, sia sotto il profilo dei risparmi economici sia per il miglioramento sensibile della qualità del lavoro e della vita. Ma siamo sicuri di essere pronti a proteggere adeguatamente ciascuno di questi varchi? I governi di tutti Paesi sono preparati a difendere le loro infrastrutture critiche e la privacy dei cittadini? Nel 21esimo secolo gli attacchi informatici possono essere considerati la nuova frontiera dei conflitti, una nuova modalità più rapida e sottile di mettere in difficoltà economie e popolazioni. Anche Acquirente Unico, società pubblica interamente partecipata dal Gestore dei Servizi Energetici, ha considerato con estrema attenzione il tema della sicurezza informatica. In particolare la gestione della banca dati dei punti di prelievo per la rete elettrica e del gas viene gestita attraverso il SII - Sistema Informativo Integrato. Lo stesso sistema amministra l’anagrafica relativa a tutti i clienti, i relativi consumi e i flussi informativi. La mole dei dati è significativa, si tratta di 60 milioni di clienti, 250 imprese di distribuzione e oltre 500 venditori, per un totale di 2.000 operatori. Fondamentale nel processo di gestione dei dati sopra citati è la tracciabilità delle operazioni e delle informazioni, unitamente alla garanzia della privacy e della riservatezza. Ciascuna azione o dato viene custodito e conservato al fine di garantire la trasparenza di tutte le azioni intraprese. La sfida alla quale gli operatori del settore energetico sono chiamati in questo momento è la condivisione di flussi e standard di sicurezza; soltanto così potrà essere garantita una sicurezza diffusa e unificata. In tal senso è di particolare rilevanza l’approvazione della direttiva europea NIS - Network Information Security - il primo in-
29
30
Paper n. 13/2017 - Cyber Security Energia
sieme di norme sulla sicurezza informatica. Tutti i governi sono chiamati in questo momento a garantire due valori fondamentali: libertà e sicurezza. E la sfida è tutt’altro che semplice. La libertà senza sicurezza è fragile, ma la sicurezza senza libertà è oppressiva.
Alberto BIANCARDI
AEEGSI
L’osservazione del fenomeno in rapida crescita della diffusione di tecnologie interconnesse, ha portato anche l’Autorità per l’energia elettrica il gas e il sistema idrico a considerare da vicino e nel dettaglio le problematiche legate a questa evoluzione. Le azioni intraprese in tal senso riguardano la costituzione di gruppi e tavoli di lavoro focalizzati sul tema, in particolare presso il CERT. L’attenzione dell’Autorità è concentrata specialmente sugli aspetti riguardanti le smart grid e le smart technologies, osservando specificatamente i tempi di reazione dei differenti devices, con particolare riguardo alla diffusione delle informazioni all’interno delle reti di trasmissione e di distribuzione dell’energia elettrica. La velocità alla quale vengono resi disponibili i dati raccolti da un certo strumento, sono elementi importanti per stabilire il grado di criticità dello strumento stesso: infatti, maggiore è la frequenza con la quale i dati vengono trasmessi, più alta è la criticità di quel punto della rete. Studi e gruppi di lavoro si sono concentrati sulle reti di distribuzione dell’energia elettrica, in particolar modo sugli strumenti di misurazione, snodi fondamentali per la gestione e il monitoraggio delle stesse. Per osservare comportamenti e dinamiche all’interno delle reti, sono stati attivati svariati progetti pilota, utili anche per prevenire bisogni dei cittadini e tendenze tecnologiche, specialmente nell’ottica dell’interoperabilità tra strumenti diversi. In rapporto dunque al contesto e allo scenario attuali sono tre i punti cardine sui quali l’Autorità e i gruppi di lavoro creatisi stanno discutendo. Il primo riguarda lo sviluppo di apparecchi di misura in grado di dialogare tra loro all’interno di una rete; il secondo è l’attenzione dedicata alla Cyber Security, che dev’essere sempre alta ma comunque diversificata a seconda della tipologia dell’oggetto da proteggere (è facile intuire, infatti, che
31
la protezione di un un rooter domestico necessita di strumenti ed energie differenti di quelle necessarie per proteggere un acquedotto); il terzo, infine, è il riferimento a REMIT - Regulation on Wholsale Energy Market Integrity and Transparency ossia il regolamento per gli Stati membri UE sull’integrità e la trasparenza dei mercati energetici all’ingrosso. Al suo interno, infatti, è possibile rinvenire un invito ad una sempre maggiore collaborazione tra l’Agenzia per la cooperazione fra i regolatori nazionali dell’energia (ACER) e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) oltre che specifiche disposizioni e deroghe “per garantire il funzionamento normale e in condizioni di sicurezza del sistema”.
Energia Media
32
Cyber Security delle Utilities
Mattia SICA
Utilitalia
Per Utilitalia, Federazione che riunisce le Aziende operanti nei servizi pubblici dell'acqua, dell'ambiente, dell'energia elettrica e del gas, il tema delle reti e della loro protezione informatica è fondamentale. In particolar modo, gli aspetti legati alla protezione dal cyber crime dei sistemi informativi che regolano l’esercizio delle reti e dei data base dei clienti, pur essendo temi di introduzione relativamente recente, vengono affrontati quotidianamente. La sicurezza informatica, infatti, non è solo rilevante dal punto di vista dell’esercizio delle reti, ma anche per i riflessi che potrebbero verificarsi dal punto di vista economico e patrimoniale per Gruppi industriali di rilievo nazionale. Il fattore di maggior attenzione delle Aziende che fanno parte della Federazione è quello di avere strumenti e protocolli adeguati affinché, anche in caso di attacco informatico, il servizio venga garantito con continuità e che la rete e i sistemi gestionali restino il più possibile integri. Per raggiungere lo scopo di assicurare la massima resilienza informatica alle reti di distribuzione è necessario utilizzare il giusto mix di tecnologie di telecontrollo e telegestione e di applicativi dei sistemi SCADA. Gli aspetti della sicurezza coinvolgono anche i sistemi di contabilizzazione e controllo dei consumi con gli smart meter. Sia il settore elettrico che quello gas sono interessati da forti investimenti per la sostituzione dei contatori e l’intero comparto dovrà garantire la massima affidabilità e riservatezza di dati sensibili e commercialmente rilevanti. Nella ricerca e applicazione di sistemi informatici sicuri i Distributori si confrontano con l’attività dell’Acquirente Unico che gestisce il Sistema Informativo Integrato (SII). I Distributori di energia elettrica e gas sono tenuti a trasferire al SII informazioni oggetto di privacy (quali anagrafica dei clienti, dati di misura o richieste di prestazioni commerciali). In tale quadro, per la salvaguardia e la custodia dei dati il SII ha attivato sistemi di protezione avanzati, che però necessitano di essere ulteriormente sviluppati anche con l’aiuto e la partecipazione delle Imprese che si interfacciano con il Gestore del Sistema. Nel prossimo futuro le reti di distribuzione saranno sempre più flessibili e interconnesse e richiederanno la collaborazione tra gli Operatori coin-
Energia Media
34
35
volti per garantire il più alto livello di sicurezza possibile mentre, parallelamente, sarà necessaria un’operazione di revisione e riscrittura della normativa, affinché nessuna parte del processo resti priva di direttive e obblighi chiari. Considerati gli elementi di cui sopra, Utilitalia sta operando per raccogliere istanze, segnalazioni e richieste dei Gestori Associati, poiché solamente attraverso un lavoro coordinato e condiviso sarà possibile identificare un processo univoco ed efficace di gestione delle criticità.
Lorenzo RUSSO
Intellium Deloitte
Il 4 Febbraio 2016 è stato pubblicato il Cyber Security Framework nazionale italiano da parte del Laboratorio Nazionale di Cyber Security e il Consorzio Interuniversitario Nazionale per l’Informatica - patrocinati dal Dipartimento delle Informazioni per la Sicurezza - con la collaborazione di esperti del settore privato. Il Framework nazionale si basa sul lavoro realizzato dal National Institute of Standard Technologies (NIST) per la protezione e difesa dalle minacce Cyber delle infrastrutture critiche statunitensi, sulla base di esplicita richiesta del Presidente Obama. Il Framework, strutturato in 5 Function: identify, protect, detect, response e recovery, prevede 22 categorie e 98 sottocategorie, che rappresentano buone pratiche in grado di indirizzare in maniera completa la sicurezza delle informazioni e dei sistemi (IT come Industriali), mantenendo comunque quel opportuno livello di astrazione necessario a garantire autonomia nella applicazione. L’obiettivi che si prefigge è quello di permettere una autovalutazione delle capacità di Cyber Security da parte di aziende ed organizzazioni italiane necessaria ad innalzare il livello di sicurezza complessivo. Analogamente definisce un linguaggio semplice e chiaro che possa portare la Cyber Security e i rischi derivanti all’attenzione dei Vertici Aziendali. Il Framework italiano presenta degli elementi di novità se confrontato con quello statunitense, dovuti principalmente ai destinatari dello stesso: grandi aziende ma anche per l’Italia piccole e medie imprese. Osservando di fatti la composizione dell’economia italiana, si nota che il tessuto nevralgico industriale è costituito da circa 450.000 piccole e medie aziende sparse su tutto il territorio nazionale.
Energia Media
36
Paper n. 13/2017 - Cyber Security Energia
Questa significativa porzione di aziende, diversamente dalle grandi, ha una limitata conoscenza del tema e non ha messo in campo controlli di sicurezza (nemmeno quelli più elementari come il controllo degli accessi del personale) per difendere i propri asset. Le grandi aziende e le infrastrutture critiche hanno invece - con differenti livelli di maturità - avviato negli anni programmi per incrementare la difesa e protezione delle informazioni e delle infrastrutture, dettate da vincoli legati alla difesa infrastrutture in primis e di Business in secondo luogo, ma la strada da percorrere è ancora lunga per una piena maturità. In ambito industriale poi, e più specificatamente per quello che riguarda le utility, le iniziative e i programmi di sicurezza devono tenere conto della coesistenza di sistemi industriali Industrial Control Systems e di Information & Communication Technology, ambiti che richiedono approcci e competenze differenti e specifiche. All’interno di queste realtà è fondamentale identificare una figura di riferimento, il CISO (i.e. Corporate Information Security Officer), responsabile per l’implementazione dei controlli di sicurezza e di realizzare quel dialogo costante con i vertici aziendali per presentare il rischio cyber, alla stessa stregua degli altri rischi aziendali. Nell’evoluzione e nella diffusione di una cultura di sicurezza informatica nel settore energetico, un ruolo primario sarà rivestito dalle associazioni e dagli enti regolatori, che avranno il compito di monitorare, guidare, e stimolare le aziende nello sviluppo dei processi di sicurezza.
Carlo DEL BO
Il concetto di sicurezza informatica, apparentemente lontano dalla vita di
International
ciascuno di noi, in realtà ci riguarda piuttosto da vicino, considerando i ri-
Security Advisor
flessi che la sicurezza ha sul quotidiano di ogni cittadino. Nel corso degli anni la sicurezza informatica è entrata a far parte delle mie esperienze di studio e lavorative, pertanto ne ho potuto seguire l’evoluzione. Nel 1988 discussi negli Stati Uniti una tesi sul tema del Cyber Crime e sin da allora, nei tempi in cui ero studente, scorsi nei crimini informatici l’evoluzione delle potenzialità e delle capacità negative dell’essere umano.
37
38
Paper n. 13/2017 - Cyber Security Energia
Sotto il profilo criminologico, il cyber crime non è altro che un crimine “classico” perpetrato con strumenti nuovi. Ma quando viene commesso un crimine? Perché un’azione lesiva venga considerata un crimine devono verificarsi tre elementi contemporaneamente. Il primo è rappresentato dalla presenza di un offender, cioè colui che vuole arrecare danno ad altri in funzione di un arricchimento subdolo e illecito. La seconda condizione è la presenza di un bersaglio, o target, che subisce l’azione criminosa, il terzo dato infine è la presenza di un guardian ovvero di un soggetto che veglia su quanto accade e che cerca di impedire la realizzazione del crimine. La presenza contestuale di questi tre elementi è valida e necessaria per definire qualsiasi tipo di crimine, dal furto di una biciletta allo spionaggio industriale. Nel caso specifico della sicurezza informatica, il quadro è reso molto più complesso dalla presenza sovrapposta di risorse umane, tecnologie e normative che regolano i rapporti tra queste due sfere. Se è vero che il concetto di cyber security può contenere al suo interno applicazioni tecnologiche e casistiche molto varie, si dovrebbe tenere alta la guardia per evitare una generalizzazione o un abuso del termine. Nell’immaginario comune i pericoli provengono dall’esterno, in realtà l’attenzione va più che altro rivolta al proprio interno. Un attacco Cyber per le conseguenze – anche letali - che può avere, viene considerato alla stregua di un importante evento naturale. La differenza tra un fenomeno naturale e un attacco cyber è la capacità che abbiamo di prevederlo e di gestirlo. Ogni giorno infatti vengono immessi in rete circa 3.500 malware, che dovrebbero essere tenuti sotto controllo dai nostri firewall, tuttavia questo non sempre avviene, perché i firewall bloccano solamente ciò che conoscono e ovviamente una percentuale di malware è sconosciuta, quindi non riconoscibile e dagli effetti imprevedibili. Osservando la velocità dell’evoluzione tecnologica si può ipotizzare che nel 2020 sul nostro pianeta ci saranno circa 5 miliardi di macchine che dialogheranno tra loro senza l’ausilio umano oltre a 20-25 miliardi di devices collegati in rete. Sorge dunque spontanea la domanda su quale sarà la specie dominante. Il 2020 potrebbe essere il momento in cui il numero degli esseri umani, per allora circa 8 miliardi, sarà quasi equiparato al numero delle macchine (5 miliardi). Considerando i dati e le proiezioni future, è facile concludere che la quantità di punti di accesso e di vulnerabilità è esponenziale. Ma quali sono gli elementi più sensibili e più interessanti per i criminali informatici? Molto sicuramente è determinato dalle intenzioni di chi compie l’attacco, ma va sottolineato che non solamente aziende energetiche, snodi di informazione e reti dei trasporti costituiscono obiettivi interessanti. A titolo esemplificativo si ricorda una attacco verificatosi nel 2014 a dei frigoriferi intelligenti. Gli elettrodome-
39
stici, appena il latte terminava, mandavano un messaggio al fornitore che recapitava a casa le nuove confezioni; a causa di un virus nel sistema però i litri di latte ordinati erano aumentati esponenzialmente e gli utenti si videro recapitare trai 500 e i 1000 bricchi di latte. A beneficiarne in quel caso furono i produttori di latte, ma il fastidio per i consumatori fu significativo. Secondo studi recenti gli obiettivi più sensibili sono quelli maggiormente redditizi che investono una gran quantità di persone. Tra questi si inseriscono anche istituti sanitari, ospedali, case di cura, cliniche specializzate, non tanto perché siano punti interessanti di per sé, ma perché violare i database di queste strutture permetterebbe ai malintenzionati di avere accesso alla cartelle sanitarie, ai dati anamnestici e alle carte di credito. Da qui la possibilità di perpetrare crimini ai danni delle assicurazioni sanitarie, delle banche e permetterebbe anche furti d’identità e scambi di persona. È dunque ragionevole ipotizzare che all’interno della criminalità organizzata ci siano anche soggetti esperti di cyber security. In ambito industriale, non c’è settore che sia esente da possibili attacchi, con percentuali di rischio e impatti differenti. In Europa e in America, la sensibilità al tema del cyber crime è cresciuta negli ultimi anni e si è prestata molta attenzione allo sviluppo e all’uso di tecnologie e sistemi di monitoraggio che proteggessero il più possibile dagli attacchi. Tuttavia non va dimenticata l’enorme e fondamentale importanza del ruolo giocato dagli esseri umani, autori di ogni intrusione. Per questa ragione STE, di concerto con l’Istituto San Raffaele ha intrapreso uno studio per identificare all’interno di realtà aziendali e industriali, quali fossero i “tipi umani” potenzialmente pericolosi e ipotetici fautori di un cyber crime. Dallo studio è emerso che i potenziali criminali sono persone che stanno attraversando fasi delicate della propria vita, spesso con problemi economici o dedite al gioco. Se le grandi aziende americane ed europee hanno compreso a fondo la criticità, l’Italia non pare aver fatto altrettanto. Infatti le piccole e medie imprese italiane stentano a credere che il pericolo possa essere interno, vivendo forse dello stereotipo dell’hacker asiatico o mediorientale. Idea che ha poco a che fare con la realtà considerato che, secondo alcuni studi, gli hacker più pericolosi risiedono in Svizzera. Ad accrescere la confusione italiana, o meglio la disinformazione, ci sono anche giornalisti non specializzati in cyber security che talvolta creano allarmismi poco graditi alle istituzioni senza però informare a dovere.
Energia Media
40
Paper n. 13/2017 - Cyber Security Energia
Claudio IACOVELLI
Leonardo
Il Framework Nazionale sulla cyber security del 2016 è stato un importante stimolo alla riflessione sui pericoli nel e dal Cyberspace, ed ha costituito un driver importante per incoraggiare, in modo coordinato, la ricerca e l’evoluzione dei sistemi di sicurezza, tenendo viva l’attenzione sul tema. All’interno di Leonardo, azienda globale impegnata nella progettazione e nello sviluppo di prodotti ad elevata tecnologia nei settori Aerospaziali Difesa e Sicurezza, le direttrici fondamentali sono state accolte come uno strumento a sussidio delle azioni di prevenzione e protezione già intraprese, dedicando particolare attenzione al settore privato. Più specificatamente Leonardo, avendo già definito e adottato internamente processi e architetture di sicurezza, ha seguito le direttive internazionali e nazionali e impiegato il Framework per individuare le possibili situazioni a rischio all’interno delle proprie piattaforme informatiche, allo scopo di garantire l’affidabilità e la sicurezza del networking e dei sistemi informatici. L’analisi di sicurezza ha esaminato anche i fattori di rischio delle relazioni telematiche con le diverse terze parti più importanti (internazionali e non), cioè fornitori e partner tecnologici. Il processo di messa in sicurezza delle reti di fornitura ha rappresentato un ulteriore strumento di protezione e controllo, considerato che erano già state implementate varie misure di sicurezza, in conformità con i requisiti e le specifiche richieste dalle forze armate di importanti Paesi. Alzando lo sguardo oltre le frontiere nazionali e osservando, in particolare, gli Stati Uniti, si nota che lì c’è una forte preoccupazione riguardo ai risultati dei delle attività di vulnerability assessment e penetration test, a causa della individuazione di vulnerabilità particolarmente critiche. Le vulnerabilità riguardano specialmente sistemi complessi, nei quali le tecnologie commerciali hanno assunto uno spazio maggiore. Per queste ragioni negli USA e nel resto del mondo è necessario stabilire, attraverso un framework, un processo permanente che identifichi nelle organizzazioni i sistemi e le tecnologie impiegate, ed i relativi fattori di rischio. Il framework può rappresentare un modello di analisi fondato su un approccio coordinato e, soprattutto, condiviso. Per quanto concerne il sistema elettrico, questo si compone essenzialmente di due anime: da un lato la parte legacy, cioè le infrastrutture di controllo e supervisione delle
41
reti elettriche che operano grazie a tecnologie progettate in un momento in cui ancora la sicurezza informatica non era ancora un requisito primario così stringente; dall’altro lato, invece, ci sono tecnologie di ultima generazione che presentano caratteristiche operative differenti, per alcuni aspetti più performanti, unitamente a sfide significative di interoperabilità. L’integrazione di tecnologie e sistemi differenti porterà in un futuro prossimo a un ripensamento profondo dei sistemi di supervisione e, quindi, di sicurezza. Alcuni Paesi stanno già andando in questa direzione, ad esempio negli Stati Uniti si sta procedendo ad un ripensamento della regolamentazione tecnica, con l’obiettivo di dare alle utility indicazioni chiare per lo sviluppo e la verifica di sistemi di sicurezza integrata. Operazione particolarmente rilevante se si pensa che, nel luglio 2016, il NIST (National Institute of Standard Technologies) ha identificato circa 59.000 vulnerabilità all’interno di sistemi e applicazioni utilizzati a livello mondiale. Dati che hanno confermato, e rafforzato, quanto già segnalato dal United States of Homeland Security che, tra il 2011 e il 2012, aveva indicato circa 35 tipi di vulnerabilità all’interno dei sistemi di comunicazione e controllo delle reti elettriche. Il crescente interesse sui temi di cyber security ha portato i progettisti di Leonardo a fissare un obiettivo sfidante sul medio periodo, cioè quello di integrare i principi della cosiddetta difesa in profondità (Defense in Depth) con vari meccanismi di resilienza. La difesa in profondità fa leva su numerose capacità simultanee di difesa di reti, applicazioni e server, è quindi una forma di difesa di per sé completa che, però, non immunizza completamente un sistema tecnologico, funzionando di fatto come un deterrente. Se si considera che diverse capacità di protezione agiscono in modo isolato e statico, ci si può rendere conto della necessità di ricorrere ad una difesa dinamica attuata in profondità. Il primo passo è quello di identificare le possibili minacce e prevederne, statisticamente, l’incidenza e le conseguenze. Queste tecniche andrebbero combinate ed integrate con sistemi di resilienza, ovvero l’insieme di strategie e tecniche di recupero e ripristino dei sistemi ove questi siano stati attaccati, degradati e danneggiati. Ogni volta che si progetta un sistema, dunque, bisogna tenere conto anche di predisporlo affinché possa ripristinarsi e ristabilirsi in caso di attacco. Infine, un buon sistema dovrebbe non solo disporre di queste caratteristiche di cyber security e cyber resilience, ma anche essere in grado di evolvere in funzione degli accadimenti: un sistema di difesa immutabile, ossia sempre uguale a sé stesso, è destinato ad essere vulnerabile perché smascherabile e superabile.
Energia Media
42
Progetti europei dedicati e Cyber Security
Andrea GUARINO
Gruppo Acea
È sotto gli occhi di chiunque che la società contemporanea è ormai totalmente permeata dalla tecnologia, e consequenzialmente è sempre più importante, anzi necessario, difendersi efficacemente dagli attacchi cyber che arrivano dai fronti più disparati. Altro dato indiscusso è la consapevolezza che coloro oggetto di attacco, si trovano in posizione di svantaggio rispetto ai defector (gli attaccanti secondo Bruce Schneier, cfr. capitolo 1, “Outliers and liars”): se a quest’ultimi è infatti sufficiente profittare anche di una sola vulnerabilità per avere successo ed entrare in un sistema informatico, sul versante opposto il piano di difesa deve tenere conto di uno spettro vastissimo di debolezze che possono essere illecitamente sfruttate da terzi. Di conseguenza, l’approccio stesso alla difesa non può che essere mutato: si è passati dal concetto metaforico di “perimetro”, tipico del castello medievale e delle guerre c.d. “di posizione”, ad una “guerriglia” asimmetrica senza quartiere in cui gli sfidanti si trovano sul campo (aperto) cibernetico, ove l’attaccante potrebbe possedere un’arma sconosciuta ai difensori o aver piazzato una bomba telecomandata nelle retrovie. Soprattutto nel mondo delle utility, che hanno asset dispersi sul territorio, questo problema è molto sentito e difficilmente risolvibile. Non è infatti concretamente realizzabile un sistema per potersi difendere sempre e ovunque da qualsiasi minaccia, considerata anche l’esistenza di molte vulnerabilità che non sono note pubblicamente (ad es. gli zero day utilizzati per anni dal noto Stuxnet). Si è capita la prepotente necessità di pensare a una difesa che non abbia come obiettivo primario evitare l’ingresso dell'attaccante tout court, bensì l’accompagnarlo ove il danno da questi cagionabile non possa provocare effetti rilevanti sul servizio. In particolare, si devono gestire efficacemente gli attacchi di tipo APT (Advanced Persistent Threat) che sono quelli per le utility più pericolosi: l’attaccante che si infiltra nell’infrastruttura non la distrugge o la danneggia subito in modo evidente, ma cerca subdolamente di prenderne il controllo e di sfruttarla quanto più possibile per i propri scopi, tra i quali ad esempio l’attacco ad aziende terze. Spesso non si combatte un solo nemico ma una pletora di possibili avversari che si alleano e che,
Energia Media
44
Paper n. 13/2017 - Cyber Security Energia
uniti, potrebbero essere estremamente potenti in termini politici ed economici, oltre che tecnicamente competenti (ad es. la probabile cooperazione tra USA e Israele per l’operazione “Olympic Games”, ovvero la creazione di Stuxnet). Considerato il contesto anzidetto, il gruppo Acea ha deciso di partecipare a un progetto europeo FP7 (7th Framework Programme), il PANOPTESEC (www.panoptesec.eu), in collaborazione con diversi soggetti tra cui l’Università “La Sapienza” di Roma e il gruppo del prof. Roberto Baldoni; in quella sede si è proposto di creare un sistema che riuscisse a gestire in modo dinamico il rischio cyber, rendendo evidente lo stato attuale del rischio stesso, e non quello normalmente calcolato, una o due volte l’anno, tramite i consueti assessment periodici. Questo comporta un controllo continuo sul terreno di battaglia digitale, quindi sugli asset e sulle reti Acea utilizzate. Occorrono infatti risposte rapide e precise per impostare strategie volte a mitigare le minacce legate a vulnerabilità non immediatamente eliminabili (ad es. relative agli smart meter installati in case private che - per essere aggiornati - potrebbero richiedere operazioni costose, complesse, di lunga durata e l’accesso fisico agli stessi). Lo scopo primario è bloccare l’attacco prima che esso diventi realmente dannoso, o rilevarlo per poi guidarlo verso asset “sacrificabili”. Questo implica una grande competenza e rapidità di risposta perché l’attaccante, se scoperto, potrebbe accelerare la propria azione e distruggere l’intera infrastruttura come rappresaglia. PANOPTESEC è partito nell’ottobre del 2013 ed è un progetto triennale; il suo valore è di circa 7 milioni e mezzo di euro, di cui 5.600.000 finanziati. L’architettura è molto complessa, perché deve tener conto di tutte le possibili fonti dati che intervengono nel calcolo degli indicatori di rischio per il contesto analizzato. PANOPTESEC ragiona quindi in modo sistemico: alcuni asset non critici potrebbero essere sacrificati affinché la missione aziendale continui, con la possibilità di fuorviare l’attaccante e di coinvolgere contemporaneamente le Forze dell’Ordine per i provvedimenti del caso. La vista proattiva, di livello strategico, può trasformarsi in reattiva, con funzione tattica, in caso di attacco: è il PANOPTESEC a proporre in entrambi i casi le migliori azioni per ridurre il rischio residuo fornendo quindi valutazioni e scenari di azione personalizzati in base al contesto.
45
46
Paper n. 13/2017 - Cyber Security Energia
Giovanna DONDOSSOLA
RSE
Secondo quanto osservato da RSE (Ricerca sul Sistema Energetico), società controllata dal Gestore dei Servizi Energetici con sede a Milano, la rete elettrica nazionale ha un’estensione molto significativa. Dal punto di vista topologico presenta connessioni di generazione distribuite su tutti i livelli gerarchici. Da questa ragione la necessità di adottare sistemi di controllo evoluti, caratterizzati da due cicli di controllo, un primo più esterno che monitora l’energia elettrica e un secondo più interno che verifica le infrastrutture ICT, garantendo al sistema complessivo robustezza e resilienza da minacce di tipo intenzionale o accidentale. Ai sistemi di controllo della rete sopra citati si aggiungono molteplici tecnologie applicate nel dominio delle utenze private e sistemi di controllo della rete a livello sovranazionale ed europeo. Il grandissimo numero di attori in gioco e la molteplicità di tecnologie applicate rende imprescindibile l’utilizzo di procedure condivise per la prevenzione e la gestione del rischio, come quelle suggerite dal framework NIST (National Institute of Standard Technologies). Per affrontare correttamente le minacce è importante conoscere l’infrastruttura ICT in questione, specialmente considerando i protocolli applicati, le interconnessioni e le misure di sicurezza già in essere. Tutti gli elementi sopra citati sono oggetto di studio dell’RSE, che in maniera preventiva analizza scenari specifici e critici, strategie di controllo dell’infrastruttura, misure di sicurezza e azioni difensive. I risultati delle analisi si propongono non solo di tracciare un quadro dettagliato della situazione complessiva, ma anche di sostenere ed indirizzare le istituzioni deputate all’emanazione di normative in merito alla sicurezza informatica. In quest’ottica si rivelano fondamentali le collaborazioni con enti internazionali come l’International Electrothecnical Committee, che si occupa di sviluppare su scala internazionale standard applicabili ai protocolli specifici del settore elettrico per le comunicazioni delle smart grid. Sul fronte istituzionale, invece, RSE partecipa ai tavoli di lavoro del G7 Energia per gli aspetti di strategia di cyber security nazionale e internazionale.Tra i progetti Europei partecipati da RSE, ve ne sono due in particolare focalizzati sui temi della sicurezza informatica: FP7-ICT SmartC2Net (Smart Control of Energy Distribution Grids over Heterogeneous Communication Networks)e EPCIP SoES (Security of Energy Sy-
47
stem). I due progetti rappresentano un campione interessante, il primo infatti prende in considerazione lo studio l’evoluzione delle reti di distribuzione europee, il secondo invece, di dimensioni più contenute, coinvolge soprattutto attori italiani e venditori di sistemi SCADA portoghesi. Scopo del progetto SmartC2Net è il rafforzamento delle infrastrutture smart grid con sistemi di controllo eterogenei, il monitoraggio della variabilità di prestazioni della rete di comunicazione e la gestione delle minacce alla sicurezza. Nel progetto FP7 i ricercatori si sono concentrati sugli aspetti del doppio ciclo di controllo delle infrastrutture per le smart grid. Il processo ha portato alla definizione di scenari di controllo resilienti, nei quali si verifica l’utilizzo di misure di cyber security unitamente a strategie di controllo adattivo. Nel corso del progetto SmartC2Net sono stati realizzati in laboratorio alcuni possibili scenari, tra i quali il controllo di tensione in presenza di 4 generatori distribuiti connessi alla rete in media tensione. In situazioni normali, cioè in assenza di disturbi accidentali o attacchi alle comunicazioni, il sistema di monitoraggio ICT controlla la qualità del servizio di comunicazione su reti eterogenee tra la cabina primaria (primary substation) e i generatori distribuiti. In condizioni simili, i tempi di trasmissione dei dati tra le due fonti (generatori e stazione ove avviene il controllo di tensione) si mantengono al di sotto dei 100 millisecondi consentendo al controllore di tensione di intervenire durante il picco di generazione regolando la potenza reattiva ai 4 generatori (scenario1). In presenza di una situazione di attacco alla rete mobile che connette 3 dei 4 generatori il sistema di monitoraggio ICT evidenzia un degrado significativo delle performance di comunicazione. In conseguenza dell’effetto dell’attacco durante un picco di generazione, il controllore di tensione adatta la strategia di controllo agendo sulla potenza reattiva dell’unico generatore con comunicazioni funzionanti e sulla posizione del tap changer del trasformatore in cabina primaria (scenario 2). Il comportamento ottimale si ottiene però innescando un processo di detection dell’anomalia che tiene conto degli indicatori delle prestazioni, e applicando un’azione automatica correttiva che neutralizza l’effetto dell’attacco (scenario 3). Tornando al progetto EPCIP (European Programme for Critical Infrastructure Protection), gli obiettivi di SoES erano la prevenzione, la preparazione alla gestione dei rischi cyber nei sistemi per l’energia e la sensibilizzazione al tema, a cui si aggiungevano azioni di diffusione e coinvolgimento destinate ai portatori di interesse. Aspetti che, seppur in dimensione contenuta, rientrano nel programma EPCIP volto alla lotta al terrorismo e al cyber crime. Nel caso di SoES, al progetto è stata data un’impostazione bottom up, ovvero si è scelto di specificare diversi casi applicativi e da lì procedere con l’analisi architetturale delle infrastrutture,
Energia Media
48
49
degli standard e delle misure di sicurezza adeguate al caso. Per l’impostazione del lavoro e per i risultati conseguiti, SoES è stato decretato vincitore del premio WSIS (World Summit on the Information Society) per la categoria C5 – Building confidence and security in the use of ICTs - nel corso della manifestazione tenutasi a Ginevra nel 2015. Per concludere, i risultati delle attività di ricerca in ambito Europeo costituiscono un bagaglio di competenze riconosciute anche dalla partecipazione di RSE al gruppo di lavoro Energy Expert Cyber Security Platform costituito a Dicembre 2015 dalla Commissione Europea allo scopo di definire una strategia di Cyber Security Energia comune a livello Europeo.
Enzo Maria TIEGHI
ServiTecno
ServiTecno è un’azienda italiana che fornisce soluzioni per la cyber security specificamente pensate per il mondo dell’OT, Operational Technology ed ICS Industrial Control System. ServiTecno è distributore italiano di GE Digital per le soluzioni di software industriale e si occupa anche della distribuzione e supporto dei prodotti di Wurldtech Technologies, specializzata in strumenti per la protezione di reti e sistemi di controllo e telecontrollo che, dal 2015, è diventata parte del gruppo GE. Come sappiamo il mondo industriale e delle infrastrutture si sta avviando verso una connettività estesa: basti pensare a quanti dispositivi e impianti distribuiti nel mondo, l’industrial internet permette di collegare tra loro. Tuttavia, dobbiamo capire se siamo davvero pronti per questa iper-connessione. Ultimamente il tema dell’Industria 4.0 è sempre più dibattuto ed è intuibile quanto sia saldamente unito a quello della cyber security: infatti, la connettività necessaria deve essere gestita in modo protetto. Però dobbiamo rimarcare che ci sono delle differenze sostanziali tra i criteri di protezione della sicurezza IT e quella OT: infatti sono diverse le tipologie di rischio. Nel mondo IT si tende a difendere il dato mentre per l’OT l’attenzione è rivolta all’asset critico, il cui funzionamento deve essere sempre garantito. Nel mondo OT inoltre è intuibile che ci siano delle influenze provenienti dall’esterno che possano generare eventi catastrofici. In realtà nelle fabbriche e/o nelle utility, il rischio è endemico nell’impianto
Energia Media
50
Paper n. 13/2017 - Cyber Security Energia
stesso; inoltre, è molto probabile che un eventuale danno che ne consegue possa risultare molto grave e non risolvibile in brevi periodi. A titolo esemplificativo si citano due casi di eventi disruptive su impianti in funzione la cui gestione richiede tempi e modi differenti a seconda del tipo di disfunzione. In un primo caso per gestire la contaminazione di virus su pc potrà essere necessaria qualche settimana di lavoro. Nel secondo caso, come può essere ad esempio lo scoppio di una caldaia con problemi in una raffineria, i temi di gestione dell’emergenza possono essere molto diversi. L’incidente può arrivare da qualsiasi fronte, anche dal singolo operatore che non è stato adeguatamente formato e che utilizza una chiavetta USB infetta o che collega il suo telefono attraverso al PC per la ricarica della batteria, infettandolo. Wurldtech propone una soluzione il cui focus rimane sull’asset critico, invece che sul singolo computer; si proteggono i Control Systems per proteggere i Critical Asset. Si parte da una analisi con un’ispezione sulla rete e sull’infrastruttura per poi validare le regole, i protocolli e i comandi. Da questi elementi poi si arriva alla protezione della rete, nel rispetto di quanto deciso in fase di validazione, affinché si possa difendere in modo proattivo il sistema. Il risultato è la protezione dell’infrastruttura e dell’impianto, in quanto tale. Si vede quindi la differenza con l’IT che, di solito, si occupa della protezione dei dati e le sue priorità sono nell’ordine: riservatezza, integrità e disponibilità del dato. Nel caso OT invece, le priorità sono diverse ed invertite nell’ordine: in primo luogo, si pone la disponibilità del sistema di controllo e dell’impianto, seguita poi dall’integrità e infine la confidentiality/riservatezza. Statistiche e studi anche recenti ci dicono che più del 50% degli incidenti informatici ai sistemi di gestione degli impianti sono provocati dall’interno, e questo nonostante vi sia una grande preoccupazione riguardo ad attacchi dall'esterno, da hacker o activist. La protezione dell’infrastruttura dall’interno è, quindi, uno dei temi su cui vale la pena di concentrare le proprie risorse soprattutto facendo in modo che si intercetti un eventuale problema prima che questo arrivi al PLC, al controllore che governa e gestisce la macchina e l’impianto. E questo si può fare con l’ “Anomaly Detection” ovvero con una nuova serie di dispositivi denominati “Industrial Next Generation Firewall”, come quelli proposti da WurldTech.
51
PAPER CYBER SECURITY ENERGIA - 13/2017
Energia Media Milano / Roma comunicazione@energiamedia.it www.energiamedia.it
62