Cyber Security Energia Paper 3/2015
ECS Energy Cyber Security
Rischio sottovalutato o inutile preoccupazione?
Energia Media Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in programmi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility. Tutte le immagini e fotografia presenti in questo Paper sono state regolarmente acquistate su banche dati. Nel caso in cui l’autore ritenga che siano state violate le regole di copyright, è pregato di segnalarlo al seguente indirizzo: comunicazione@energiamedia.it ©Energia Media - aprile 2015
i
ECS Energy Cyber Security
Rischio sottovalutato o inutile preoccupazione?
La sicurezza informatica elemento irrinunciabile nelle decisioni strategiche di Governi e imprese In un mondo sempre connesso alla rete, il flusso di dati e lo scambio di informazioni sono ormai inarrestabili. Le aziende del settore energy e utility sono fra i bersagli preferiti degli attacchi informatici proprio in considerazione della loro importanza economica, politica e strategica. Oggi piÚ che mai Governi e imprese devono considerare la sicurezza informatica come uno degli elementi irrinunciabili nelle loro decisioni strategiche. Lo sviluppo e la pervasività di Internet caratterizzano la vita odierna di Stati e cittadini: dall’erogazione e
3
acquisto di beni e servizi online, sino alla gestione di infrastrutture critiche e strategiche nazionali. La rivoluzione dell’ICT ha infatti interessato i settori più rilevanti di una nazione a partire dalla difesa e funzionamento della macchina amministrativa pubblica, sino ai settori industriali inclusa la produzione, trasmissione, distribuzione e utilizzo dell’energia. La pubblicazione della Strategia Nazionale Cyber Security elaborata dal CISR (Comitato Interministeriale per la Sicurezza della Repubblica) ha delineato l’architettura istituzionale per la sicurezza cibernetica identificando gli organi competenti a vari livelli (politico/strategico, supporto operativo, tattico di gestione della crisi) per il monitoraggio e la gestione della sicurezza cibernetica. La strategia ha anche stabilito presso il Ministero dello Sviluppo Economico il centro nazionale operativo di risposta alle emergenze informatiche CERT (Computer Emergency Response Team). In Italia, dunque, esiste oggi una governance della cybersecurity e un centro operativo nazionale con cui le aziende possono condividere informazioni ed eventi verificatisi durante la loro operatività. Nell’era dell’informazione, le tecnologie ICT accrescono le capacità di ogni organizzazione conferendo loro un elevato grado di efficienza ma, nel contempo, esse costituiscono un forte elemento di vulnerabilità, basti considerare quali e quante attività sono dipendenti da queste tecnologie.
4
ECS (Energy Cyber Security: rischio sottovalutato o inutile preoccupazione? Nonostante il grave deteriorarsi della situazione geopolitica in Est Europa, Medio Oriente e Africa che trova nel Mediterraneo – come già è – un possibile obiettivo sia fisico che simbolico di scontri militari e azioni simboliche, appare molto sottostimato, per non dire ignorato, il rischio connesso a possibili attacchi informatici alle infrastrutture energetiche che vedono il nostro Paese particolarmente esposto.
5
Paper n. 3/ 2015 - Cyber Security Energia
La bassa percezione del rischio e la sottovalutazione dei necessari impegni decisori, regolatori e di investimento è tanto più stupefacente quanto è nota la capacità di molti degli attori in campo di gestire direttamente sistemi complessi di Information and Communication Technology e/o finanziare soggetti attivi a livello internazionale in grado di farlo. Parallelamente prosegue, a livello mondiale ma con particolare impegno in Europa ed in Italia, la transizione energetica da pochi punti di produzione alla generazione diffusa dell’energia elettrica e termica associata, resa possibile dall’utilizzo pervasivo delle stesse tecnologie ICT, che però – se non ben progettati e gestiti – diventano veicolo potenziale di ingresso per attacchi malevoli. Ai grandi sistemi infrastrutturali, quali quelli relativi ai sistemi petroliferi e del gas, con i loro oleodotti, gasdotti e porti, alle grandi centrali di produzione elettrica con le loro reti di connessione e distribuzione, si affiancano ora e in prospettiva si sostituiranno, sistemi evoluti di Smart Production, Smart Grid, Smart City, Smart Mobility, Smart Home, Smart Meter. Sistemi capaci sì di auto sostenersi e lavorare in “isola” ma che resteranno necessariamente e prevalentemente connessi e collegati tra loro, non solo per problemi di back up, ma soprattutto per il coordinamento necessario al dispacciamento e alla regolazione dei picchi. L’Italia ha faticosamente varato e si trova ora ad avviare l’attuazione di due ambiziose Strategie nazionali, sulla Crescita digitale e sulla Banda ultralarga, che se da un lato rappresentano la più importante sfida di sviluppo
6
tecnologico dei prossimi anni, dall’altra, se non ben valutate e rese compatibili con le esigenze di Cyber Security del settore energetico, rischiano di aumentare le debolezze del sistema. Paradossalmente, l’essere l’Italia all’avanguardia nella realizzazione del “nuovo paradigma energetico” avviato da Enel con l’introduzione dei contatori elettronici più di 15 anni fa – che ha illuminato il ruolo dell’infrastruttura e delle reti di controllo – può diventare fattore di ritardo e/ o futura dipendenza tecnologica dall’estero se non si affronta la questione con il dovuto impegno. Energia Media, in vista della 2ª Conferenza Nazionale Cyber Security Energia del prossimo 25 giugno 2015, che si svolgerà anche quest’anno a Roma, presso il CASD, ha organizzato negli scorsi mesi una serie di incontri con i soggetti interessati del settore, sia dal lato dell’offerta sia da quello della domanda di sicurezza informatica, ponendo come base di discussione le conclusioni della 1ª Conferenza (leggi Report). Tra le considerazioni salienti emerse da questi incontri, spicca l’idea che la sicurezza informatica delle infrastrutture energetiche sia un tema scarsamente percepito dal top level delle aziende e non fa ancora parte dell’analisi dei rischi aziendali, nemmeno in ambito di consigli di amministrazione. Al contrario, è fortissima l’attenzione su questo tema da parte dei manager industriali e delle amministrazioni pubbliche negli Stati Uniti e in Gran Bretagna, oltre che nelle società assicuratrici.
7
Paper n. 3/ 2015 - Cyber Security Energia
Tra i vari settori energy quello al momento più alfabetizzato sulla ECS è l’elettrico; gli operatori del settore gas non sembrano affatto consapevoli dei cambiamenti richiesti nell’operatività dei propri asset conseguenti alle ultime disposizioni normative, come ad esempio l’introduzione dei sistemi di “smart meter gas”, tantomeno sulle loro vulnerabilità informatiche. Tra i problemi che sembrano contribuire a sottovalutare la sicurezza informatica, è la necessità dell’interazione aziendale tra soggetti che parlano linguaggi ed hanno approcci diversi. Nel concreto la divisione IT (Information Technology) deve interfacciarsi con la divisione Operations e si trova di fronte l’esigenza di dover far capire i vantaggi dell’applicazione di soluzioni di sicurezza informatica sull’operatività degli asset. C’è una oggettiva difficoltà culturale in azienda nell’identificare e quantificare il rischio informatico, mentre manca una specifica normativa/ compliance che imponga almeno di porsi il problema della necessità o meno di adottare soluzioni di sicurezza informatica per le infrastrutture energetiche. Nel settore energetico la ECS deve avere l’obiettivo di tutelare i consumatori, fruitori di un servizio essenziale, difficilmente sostituibile, prima che l’integrità o l’interesse economico aziendale, e per questo – almeno per quanto attiene all’attività in monopolio tecnico delle reti – c’è da supporre la copertura dei nuovi costi al pari degli altri investimenti.
8
9
Paper n. 3/ 2015 - Cyber Security Energia
L’approccio a questo tema si sviluppa ancora dal basso attraverso il dialogo tra singole divisioni di aziende, mentre la trasversalità del tema dovrebbe invece portare le aziende a trattarlo con un approccio olistico dall’alto ed in coordinamento con le istituzioni preposte alla sicurezza nazionale. Per portare all’attenzione del top management (CEO e CSO) il tema della sicurezza informatica c’è bisogno in primis della definizione di una metodologia di identificazione/quantificazione del rischio informatico da dare al board of management come strumento per capire l’impatto che l’insicurezza informatica può avere sulla continuità/operatività del business. C’è ampia condivisione tra i soggetti interpellati sul perché la consapevolezza del rischio informatico non arriva ai livelli alti aziendali, mentre c’è una certa consapevolezza a livello accademico: oltre alla mancanza di normative e compliance, pesano l’incapacità di spiegare in che modo le soluzioni di cyber security facciano aumentare i guadagni e l’incapacità a identificare le possibili perdite. Non secondaria anche la difficile valutazione degli impatti reputazionali di eventuali défaillance, che porta in ogni caso ad adottare strategie di minimizzazione e sottovalutazione del danno, fino a nasconderlo. Al contrario è opportuno chiedersi se il pubblico, anche il più vasto, non sia ormai maturo e conscio delle problematiche di sicurezza informatica. Si veda al proposito la strategia di informazione generalizzata adottata in Gran Bretagna.
10
Nella percezione degli operatori, come già emerso nella 1ª Conferenza del 2014, un altro aspetto particolarmente grave è la mancanza di scambi informativi, soprattutto da parte delle utility. D’altro canto deve essere soprattutto il cliente finale a chiedere più sicurezza; ma già questo fatto è vissuto come una ammissione di debolezza. Invece, oggi, si discute di Scada Security e di Security delle tecnologie di telecontrollo come prassi consolidata. Questa difficoltà allo scambio di dati e informazioni non è solo italiano, e quindi è stata segnalata l’opportunità di dedicare attenzione e fare riferimento a quei Paesi che appaiono più avanzati. È il caso degli Stati Uniti, dove è stato lo stesso presidente Obama a prendere in mano la situazione, promuovendo con forza una maggiore interazione tra pubblico e privato e la condivisione delle informazioni. Lo scorso 13 febbraio 2015, Obama, nel corso di un vertice sulla Cybersecurity e Tutela dei Consumatori con i manager delle utility e delle principali aziende americane, presso la californiana Stanford University di Palo Alto - in piena Silicon Valley - ha auspicato una più stretta cooperazione nella difesa contro gli hacker perché “Il governo non può farlo da solo. Ma il fatto è che anche il settore privato non può farlo da solo, perché è il governo che ha spesso le ultime informazioni sulle nuove minacce". Coerentemente l’amministrazione americana ha deciso di accentrare le competenze cyber rispetto all’organizzazione delle numerose agenzie di
11
12
sicurezza nazionale e il potenziamento della cooperazione con i Paesi alleati. Sono queste le basi su cui è stato pensato ed entrerà in funzione il Cyber Threat Intelligence Integration Center, nuova unità dedicata ad affrontare la minaccia cyber negli Stati Uniti, nata sotto l’egida della Casa Bianca e del Department of Homeland Security e inserita nell’Office of the Director of National Intelligence. È evidente che l’Italia dovrà presto seguire un percorso analogo, lavorando sul processo di difesa complessivo del Paese con investimenti più forti e urgenti sull’intelligence. È chiaro che la Cyber Security, lo spionaggio e la minaccia terrorista ormai si sovrappongono. La risposta al rischio non può che essere un approccio integrato con fonti di intelligence e informazioni che guardino anche alla sicurezza fisica, come ad esempio nei flussi video in prossimità di infrastrutture critiche e nelle città. In conclusione resta fondamentale quanto già detto nella relazione: “La sicurezza informatica: ciò che un decisore deve sapere”, sempre presso il Centro Alti Studi della Difesa, nel recente convegno del 25 marzo 2015 dalla professoressa Elisabetta Zuanelli nell’ambito dell’incontro incentrato sulle Sfide Globali, che si adatta perfettamente e che anzi dovrebbe trovare proprio nel settore energetico la primaria applicazione. Il documento presentato richiama tre ambiti problematici di riferimento concettuale in sicurezza informatica per la decisione istituzionale e dei manager di impresa:
13
Paper n. 3/ 2015 - Cyber Security Energia
nozioni e definizioni, come: cyber spazio, la sicurezza informatica, la criminalitĂ informatica, il cyber crimine ware, etc. l'assunto condiviso delle conoscenze: indagine / analisi, le applicazioni, la difesa, la resilienza; le strategie condivise: collaborazione pubblico-privato, le strategie nazionali e internazionali di sicurezza informatica. Le ipotesi alla base di tali aree concettuali dovranno essere nuovamente esaminate dal punto di vista esterno che preme per una collaborazione piĂš veloce e soluzioni concrete a livello globale. Per fare questo la riflessione si concentra sul rapporto tra sicurezza e reati informatici, chi sono i giocatori / attori, quali sono le implicazioni, quali le soluzioni.
14
Cyber Security Energia Percorso 2015
Un tavolo di lavoro tra operatori per alzare il livello di attenzione
15
Cyber Security Energia Approfondire il tema della sicurezza informatica con soggetti qualificati Creare gruppi di lavoro Confrontarsi con i decisori Energia Media si è proposta di mettere in network le varie componenti della filiera energetica e dell’ICT insieme con le istituzioni che sono deputate alla governance della sicurezza cibernetica, al fine di favorire un efficace coordinamento tra i vari
“Sicurezza informatica, tema strategico irrinunciabile”
soggetti che dovranno accompagnare il processo di integrazione dei sistemi energetici senza pregiudicarne la sicurezza. L’obiettivo principale è un dialogo tra soggetti che devono necessariamente comunicare l’uno con l’altro, con sempre più continuità: il mondo delle Istituzioni e delle Energy Company, che portano servizi e tecnologie all’attenzione del settore. L’idea è approfondire il tema della cyber security non in termini generali ma in un settore evidentemente fra i più strategici, quello dell’energia. Per calarsi nell’operatività, nella concretezza per aiutare il decisore di alto livello a implementare una catena anche normativa.
16
Il sito CyberSecurityEnergia.it Gli incontri,la Conferenza Nazionale Gli approfondimenti, le idee Il network e le relazioni CyberSecurity Energia.it
www.cybersecurityenergia.it è un luogo privilegiato in cui trovare infor-
Eventi
Workshop, Convegni, Tavoli di lavoro: sono i momenti di incontro e
mazioni, approfondimenti e opinioni relativi alla sicurezza informatica in un comparto di primaria importanza come quello energetico. Il primo sito web italiano dedicato alla sicurezza informatica in ambito energy e utility.
confronto organizzati fra le diverse componenti interessate al tema della sicurezza informatica. Energia Media ha già organizzato tre incontri sul tema: due Workshop preparatori (Roma, 10 dicembre 2013 e Milano, 19 febbraio 2015) e la Iª Conferenza Nazionale presso il Centro Alti Studi della Difesa (Roma, 3 luglio 2014) a cui hanno partecipato i principali soggetti coinvolti: Istituzioni, imprese e utility.
Idee
. Approfondimento e analisi: Working Paper, Position Paper e Report sono gli strumenti utilizzati per mettere in circolo le idee e per porle all’attenzione dei decisori (Report 1ª Conferenza Nazionale).
Network
Imprese, istituzioni, associazioni e ricerca. Il percorso dà l’opportunità di incontrare i target di riferimento, stabilire relazioni, creare un gruppo di lavoro in ottica precompetiva
17
La 2ª Conferenza Nazionale Cyber Security Energia
Eventi
dettaglio
Cyber Security Energia è anche un momento di incontro tra Istituzioni, aziende ed esperti per dibattere e confrontarsi su tecnologie, quadro normativo, governance e scenari internazionali nell’ambito della sicurezza informatica.
Tavolo lavoro programmatico Cyber Security Energia Strategie di comunicazione, azioni nei confronti di imprese e decisori istituzionali, agenda 2ª Conferenza Nazionale Cyber Security Energia
Milano / 24 giugno 2ª Conferenza Nazionale Cyber Security Energia Roma / 24 settembre (CASD Centro Alti Studi della Difesa) Workshop Cyber Security Energia Presentazione Position Paper, incontri con Energy Company e Utility, presentazione programma 2016
Bologna / novembre In collaborazione con For sustainable energy.
18
Report
dettaglio
Ogni incontro è seguito dalla pubblicazione di un Report digitale che fissa le idee, i temi e le proposte emerse durante gli incontri. Il Report racchiude gli interventi dei principali soggetti coinvolti sul tema della sicurezza informatica, ponendosi come un utile strumento sul quale porre le basi del dibattito sulla Cyber Security. Ogni documento avrà ampia diffusione e sarà presentato alle Istituzioni e ai decisori politici. (Report Cyber Security Energia)
Web site
Il sito web www.cybersecurityenergia.it è a disposizione di operatori e soggetti coinvolti o interessati al tema della sicurezza informatica in ambito energy. Invia alla nostra Redazione comunicazioni e news che riguardano la tua impresa: tecnologie, case study, idee.
Contattaci: comunicazione@energiamedia.it 19
PAPER 3/2015 - CYBER SECURITY ENERGIA
20
Energia Media Milano / Roma comunicazione@energiamedia.it www.energiamedia.it
21