Nonostante le crescenti minacce, solo le grandi imprese del comparto si stanno attrezzando

Energy Cybersecurity

Il settore energetico, e in particolare la filiera elettrica, sta vivendo trasformazioni digitali importanti che moltiplicano il rischio di attacchi di natura informatica: fonti rinnovabili, generazione distribuita, smart grid. Più in generale, la crescente diffusione delle tecnologie digitali a tutti gli stadi della filiera. Da qui la necessità di un Osservatorio specifico sulla cybersecurity in ambito energetico focalizzato sulla sicurezza industriale, cioè sui dati e sugli asset fisici utilizzati nell’ambito delle operations. I risultati dell’attività di studio, contenuti nel primo Report italiano sull’Energy Cybersecurity redatto dall’Energy & Strategy Group della School of Management del Politecnico di Milano, sono stati illustrati oggi nel corso di un convegno ad hoc.

La potenza installata da fonti rinnovabili ha infatti raggiunto nel 2017 in Italia i 53 GW, contribuendo a coprire il 36,2% della produzione annua (103,4 TWh), ma in base alle previsioni contenute nel documento che illustra la Strategia Elettrica Nazionale, la percentuale dovrebbe salire al 60% entro il 2030 (184 TWh). Questo aumento comporterà un vertiginoso incremento del numero di impianti di generazione, come parchi fotovoltaici o eolici, con il conseguente ingresso nel settore di operatori che in genere hanno scarsa esperienza e ridotta conoscenza dei rischi di natura cyber. Tutti aspetti che certamente contribuiranno ad accrescerne l’instabilità.

“Quello che emerge dall’analisi – commenta Paolo Maccarrone, responsabile scientifico dell’Osservatorio – è uno scenario in evoluzione, caratterizzato da notevoli differenze: se i grandi operatori sembrano essere molto più strutturati e spesso direttamente coinvolti nei vari gruppi di lavoro nazionali e internazionali, i piccoli dimostrano invece una sensibilità piuttosto limitata, così come vi è ancora scarsa consapevolezza dei rischi da parte degli end-user industriali, sia in veste di puri consumatori che in qualità di prosumer. Ciò desta qualche preoccupazione, soprattutto alla luce degli sviluppi disegnati dalla SEN, che prevede un ulteriore incremento del peso delle fonti rinnovabili e una transizione sempre più marcata verso la generazione distribuita, nonché una crescente diffusione delle tecnologie digitali a tutti gli stadi della filiera.”

La digitalizzazione della filiera, la cosiddetta digital energy, coinvolge infatti tutti gli attori e costituisce un potente abilitatore di nuove funzionalità e servizi: si pensi alle smart grid, le reti intelligenti fondamentali nel passaggio al modello di generazione distribuita tipico delle rinnovabili, ma anche alla possibilità di introdurre strumenti di ottimizzazione della produzione di energia e di manutenzione preventiva grazie a funzionalità di telemonitoraggio e telecontrollo; infine, alla possibilità per gli end-user di contenere i consumi e di ottimizzare gli investimenti.

Tutte queste nuove potenzialità implicano una crescente interconnessione e integrazione nelle reti ICT delle centrali, degli impianti e degli apparati utilizzati ai vari stadi della filiera, il che li espone a minacce simili a quelle dirette ai sistemi informativi e alle reti aziendali. Con la differenza non irrilevante che nel caso di attacchi cyber ad asset industriali i rischi possono essere ben più elevati, in quanto si può giungere alla temporanea indisponibilità o al danneggiamento di una delle infrastrutture critiche del Paese. Prova ne sia il crescente numero di aggressioni di natura cyber cui sono soggetti tali asset. Tra questi, i più famosi sono quelli ad opera del trojan Havex, che ha infettato finora più di 2.000 apparati dotati di ICS (in vari settori, tra cui quello energetico) tra Europa e USA, e quello che ha bloccato l’intera rete di distribuzione dell’energia elettrica della compagnia ucraina Kyivoblenergo nel dicembre 2015.

È quindi necessario che le imprese adottino opportune contromisure di natura tecnologica e organizzativa, insieme a un adeguato sistema di governance della cybersecurity in ambito industriale. In più, considerata l’importanza strategica del comparto, le istituzioni possono non solo imporre misure o standard di sicurezza, ma anche prevedere opportuni meccanismi di coordinamento e cooperazione a livello nazionale e internazionale.

Lo studio dell’E&S Group ha realizzato anche delle simulazioni per verificare il rischio di sistema, ovvero la possibilità di mettere in crisi la stabilità della rete elettrica nazionale o comunque di costringere a sostenere extra-costi significativi per il ribilanciamento tra domanda e offerta. In particolare gli approfondimenti hanno riguardato i costi derivanti da attacchi ripetuti e distribuiti tali da compromettere temporaneamente il funzionamento degli impianti, con conseguente necessità da parte di Terna di ribilanciare la rete facendo ricorso al Mercato dei Servizi di Dispacciamento, e il rischio di black-out per l’improvviso mancato apporto di energia da impianti a fonte rinnovabile a causa di un incidente di natura cyber in un momento di picco di domanda, nelle ore di punta di un giorno feriale estivo con alte temperature.

I risultati delle simulazioni evidenziano che gli extra-costi generati dal ricorso più frequente al MSD sono tutto sommato abbastanza contenuti nei vari scenari ipotizzati. Nel caso di attacchi che portino a una riduzione del 50% della potenza erogata per il 10% delle ore medie annue di funzionamento, tali costi sono stati stimati in circa 264 milioni di euro. Similmente, assumendo come riferimento le 12 del 21 Luglio 2017 (un giorno di picco massimo di domanda di energia, lo scorso anno), per ottenere una riduzione improvvisa della potenza pari almeno a 3 GW (soglia oltre la quale aumenta notevolmente il rischio di instabilità della rete) sarebbe dovuta venir meno il 12,7% della potenza generata dagli impianti eolici e fotovoltaici. Una percentuale piuttosto significativa, ma non così elevata, soprattutto tenendo presente che la percentuale di energia fornita da fonti rinnovabili è destinata a crescere e così la superficie d’attacco, con conseguente aumento del rischio di instabilità del sistema, qualora non si investa sufficientemente in sicurezza.

L’ultima parte del report si è focalizzata sugli end-user industriali ed era mirata a valutare il livello di consapevolezza sui rischi OT (cioè legati all’operation technology) derivanti dalla crescente digitalizzazione. Il tessuto industriale italiano ha consapevolezza di questi rischi? Se ne preoccupa? Stando all’indagine empirica svolta Osservatorio, sembrerebbe proprio di no.

La survey è stata somministrata a un campione di circa 700 imprese di varie dimensioni e di diversi settori. Le risposte sono state 93, un numero già di per sé significativo, con una prevalenza di imprese operanti nel settore della ceramica e vetro (26%), dell’automotive, della chimica e petrolchimica (entrambe al 13%).

“Tutti i rispondenti dichiarano che il tema è già molto sentito, o che la sua rilevanza crescerà notevolmente in futuro – spiega Paolo Maccarrone – ma in realtà appena la metà di essi svolge attività di risk analysis in modo sistematico. Ancor più significativo il dato sugli investimenti: solo il 23% dei rispondenti dichiara di avere investito nella cybersecurity OT.”

Infine, si è voluto valutare la sensibilità nei confronti dei rischi di natura cyber delle imprese del campione classificabili come prosumer, e che quindi ricoprono il duplice ruolo di generatori e consumatori di energia. Più di metà dei rispondenti è anche produttore: il 45% ha installato cogeneratori o trigeneratori, mentre il 33% possiede un impianto fotovoltaico. Ebbene, solo il 6% di essi ritiene che l’operatività di questi impianti possa essere compromessa da attacchi cibernetici, mentre il 35% pensa che gli strumenti di sicurezza inseriti dai fornitori siano sufficienti a garantirne la copertura. Tale percezione, unita al numero ancora ridotto di casi di attacchi volti a boicottare l’operatività degli impianti di generazione distribuita (almeno stando ai dati pubblici), fa sì che le aziende per ora orientino le scelte di investimento in altre direzioni.