La transizione energetica in corso, necessaria per mantenere il riscaldamento globale al di sotto dei 2°C, è anche una transizione digitale, che espone il settore a nuove minacce dal cyberspazio. Il settore energetico è infatti un bersaglio molto attraente per gli attacchi cyber, e la sua rapida innovazione tecnologica ne amplia la potenziale superficie di vulnerabilità. Per aumentare la cybersecurity, il World Energy Council ha delineato l’importanza di creare un meccanismo di resilienza dinamico, basato sulla rigenerazione, la ripresa rapida e la certificazione dei fornitori: l’Italia si sta adattando a questa incalzante prerogativa con il recente regolamento in materia di perimetro nazionale di sicurezza cibernetica. Sarà abbastanza?
Transizione energetica: cosa è l’Internet dell’Energia (IoE) e quali sono i rischi per la sicurezza digitale
Raggiungere la neutralità climatica è uno degli obiettivi principali dell’Agenda Europea: un sistema energetico a basse emissioni di carbonio diventa quindi un imperativo per mantenere il riscaldamento medio globale al di sotto dei 2°C rispetto al periodo preindustriale, come stabilito dalla comunità internazionale nell’Accordo di Parigi. All’atto pratico, il raggiungimento di tale obiettivo richiede una transizione energetica: una parte considerevole del mercato energetico globale dovrà essere alimentata da fonti di energia rinnovabili.
Pannelli solari e turbine eoliche, tecnologie chiave nella decarbonizzazione dell’economia, richiedono una maggiore integrazione e connessione del sistema energetico al sistema tecnologico. Le reti elettriche, gli impianti di generazione da fonti rinnovabili, le infrastrutture di ricarica per i veicoli elettrici determineranno una decentralizzazione del sistema energetico, attraverso reti intelligenti (smart grid): maggiore il livello di digitalizzazione, migliori le performance, e maggiori anche i punti di accesso per un possibile attacco informatico.
Il legame tra settore energetico e digitalizzazione viene riassunto con il concetto di Internet dell’energia (IoE), ovvero l’automazione delle infrastrutture energetiche attraverso un’adozione progressiva dei dispositivi IoT (Internet of Things). Questa sinergia tra tecnologie ICT e settore energetico si traduce in una gestione razionale ed efficiente della distribuzione di energia capace di minimizzare i sovraccarichi, monitorare in tempo reale i consumi, aumentare la comunicazione e creare sistemi di accumulo energetico. Un sistema energetico digitalizzato ha molti punti di forza ma è anche molto vulnerabile: il rischio di interruzione in seguito ad un attacco cibernetico può influire su ogni operazione all’interno di una centrale elettrica, soprattutto con l’aumento dell’utilizzo di dispositivi industriali connessi e controlli automatizzati.
Per questo motivo la sicurezza informatica è un pilastro su cui fondare la resilienza del sistema energetico al fine di garantire un corretto approvvigionamento energetico. I danni a carico del settore energetico vanno al di là della mera perdita economica, in quanto possono causare seri danni fisici all’intera rete di diffusione energetica, compromettendo singoli consumatori e imprese.
Il settore energetico ha un particolare potenziale attrattivo per gli attacchi informatici: il rapporto annuale della Germania sulla sicurezza informatica dimostra un andamento crescente di “cyber attacchi rilevanti” alle infrastrutture critiche, 419 nel 2020 a fronte di 252 nel 2019. Gli attacchi registrati non includono minacce minori, ad esempio il phishing. Recentemente, anche la Siemens, uno dei maggiori fornitori al mondo di elettricità, ha redatto un paper di sensibilizzazione per gli operatori sui rischi cyber nella transizione energetica.
Tra i vari episodi di attacchi informatici a sistemi energetici, il più famoso sabotaggio hacker, conosciuto come Black Energy, è avvenuto nel dicembre 2015 ai danni dell’intera rete di distribuzione elettrica di tre compagnie ucraine ed ha causato la totale interruzione dei servizi. Tra gli altri esempi: il trojan Havex, che ha colpito circa 2.000 apparati dotati di ICS, anche nel settore energetico, tra Stati Uniti e Europa; il virus Shamoon 1 and 2, atti di cyber-sabotaggio avvenuti in Arabia Saudita nel 2012 e nel 2016 che hanno distrutto più di 30.000 computer della Saudi Aramco; il recente hackeraggio nel 2019 della rete elettrica di tre Stati statunitensi in seguito ad un attacco cibernetico ai sistemi SCADA. Senza dimenticare un esempio di effetto a cascata avvenuto negli Stati Uniti nel 2018: sette gestori di gasdotti sono stati colpiti da un attacco informatico che ha avuto ripercussioni anche sui sistemi di comunicazione elettronica di terze parti e sulla capacità di emettere fatture tempestive ai clienti.
Transizione energetica e cybersecurity: le raccomandazioni del World Energy Council e dell’Unione Europea
Il report del World Energy Council “Cyber challenges to the energy transition” ha delineato l’importanza di creare un sistema di resilienza dinamico basato su un meccanismo di risposta che si focalizzi sulla rigenerazione, la ripresa rapida e la certificazione dei fornitori. Propone cinque criteri di attuazione: capacità nella consapevolezza della situazione, agilità e rapidità di risposta, flessibilità, capacità rigenerativa e preventiva, strumenti di riserva tra cui test cadenzati sui piani di risposta agli incidenti e reti collaborative tra i vari stakeholders. La resilienza dinamica adotta una posizione di apprendimento continuo, piuttosto che il tradizionale approccio basato sul rischio. L’accento è posto sull’anticipare, riconoscere e fronteggiare i cambiamenti dirompenti, caratterizzati da novità e incertezza, così da innescare sperimentazioni e accelerare risposte interattive e collaborative.
Nel 2017 a livello europeo è stato commissionato uno studio sulla valutazione di rischi e incidenti cibernetici nel settore energetico e i relativi costi, da cui sono state tratte le seguenti raccomandazioni: sviluppare capacità per le esigenze che operino in tempo reale; migliorare la prevenzione verso gli effetti a cascata; attuare misure per armonizzare i sistemi di sicurezza delle tecnologie già esistenti con quelli di tecnologie all’avanguardia. Inoltre, vengono incoraggiati i gestori ad attuare le più recenti raccomandazioni in materia di sicurezza e di affiancarle alle misure di sicurezza fisica, per le tecnologie già esistenti.
Transizione energetica e cybersecurity: come l’Italia sta affrontando le minacce?
Nel panorama italiano si nota una crescente attenzione alla cybersecurity legata all’energia, anche se gli sforzi di adattamento sembrano procedere lentamente. L’Italia prevede di far crescere la quota delle rinnovabili nel settore elettrico al 55% entro il 2030, un obiettivo imponente che porterà gran parte degli operatori energetici a digitalizzarsi. Il report “Energy Cybersecurity”, redatto dall’Energy&Strategy Group della School of Management del Politecnico di Milano, delinea un sistema energetico italiano scarsamente consapevole delle reali aggressioni di natura cyber conseguenti dalla crescente digitalizzazione del settore, specialmente tra i piccoli operatori.
La SEN- Strategia Energetica Nazionale e il DPCM 17 febbraio 2017, cosiddetto Decreto Gentiloni, costituiscono il punto di partenza nella regolamentazione della sicurezza nel settore energetico. La SEN ha un capitolo dedicato alla cybersecurity, dove vengono elencate le varie esercitazioni di cybersecurity a cui è soggetto il settore energetico italiano: a livello nazionale infatti vengono eseguite esercitazioni con cadenza annuale nei settori dell’energia al fine di “testare scenari ipotetici di attacchi informatici con impatto su vasta scala, procedure e scambi di informazioni tra le strutture pubbliche competenti e il settore privato”; a livello europeo ogni due anni avvengono le esercitazioni Cyber Europe, nelle quali vengono simulati attacchi cyber ispirati da eventi realmente accaduti; infine si eseguono le esercitazioni NATO “Crisis Management Exercise”, coordinate dalla Presidenza del Consiglio dei Ministri alla quale partecipa il CERT. Tra le linee d’azione per la cybersecurity, la SEN si focalizza sull’importanza di ricerca e sviluppo: in particolare, viene sottolineato come il programma di ricerca energetico (RSE) debba sviluppare una guida per la valutazione del rischio informatico.
Nel decreto Gentiloni viene ribadita la necessità di costituire un CVCN – Centro di Valutazione e Certificazione Nazionale, gestito dal Ministero dello Sviluppo Economico, cha avrà il compito di assicurare l’affidabilità dei sistemi ICT adottati dalle infrastrutture critiche. La creazione del CVCN è stata una delle azioni qualificanti per la costruzione dell’architettura nazionale sulla sicurezza cibernetica. In seguito, il decreto legge del 18 maggio 2018 n. 65, cioè l’attuazione nazionale della direttiva NIS – Network and Information Security, ha identificato gli operatori nel settore energetico come fornitori di servizi essenziali, e quindi come tali, con l’obbligo di adempimento all’art.14 e di notifica degli eventuali attacchi cibernetici subiti al CSIRT -Computer Security Incident Response Team nazionale.
Il 5 novembre 2020 infine è entrato in vigore il DPCM del 30 luglio 2020 n. 131, “Regolamento in materia di perimetro di sicurezza nazionale cibernetica”. Istituito nel 2019 dalla legge n. 133/2019, il perimetro nazionale definisce i criteri che individuano le infrastrutture critiche su tutto il territorio: infrastrutture che assicurano un servizio essenziale e la cui manomissione/ interruzione è fonte di danni per la sicurezza nazionale. L’art 3 riconosce il settore energetico, di competenza del Ministero dello Sviluppo Economico, come soggetto critico per il perimetro nazionale. Inoltre, viene ridotto il tempo di comunicazione al CSIRT di eventuali attacchi cibernetici: dalle 24 ore stabilite dalla direttiva NIS a 6 ore. Infine, viene rafforzato il ruolo del CVCN, il quale dovrà effettuare verifiche preliminari, test hardware e software con un approccio crescente nella verifica della sicurezza, ed elaborare le misure di sicurezza ritenute adatte.
Ci troviamo davanti ad uno scenario in continua evoluzione, con crescenti variabili ignote intensificate dalla recente pandemia. Il sistema di perimetro nazionale non diventerà operativo prima della primavera del 2021, per gli adeguamenti da effettuare in termini di personale competente e di ulteriori aspetti normativi che regolino le misure di sicurezza che gli operatori dovranno adottare. Il DPCM 131 è stato un passo importante nell’attuazione della messa in sicurezza degli operatori del settore energetico: per una sicurezza maggiore, sarebbe consigliabile adottare approcci settoriali specifici, come per esempio creare un osservatorio specifico di cybersecurity in ambito energetico. In ogni caso, rimane fondamentale sensibilizzare l’opinione pubblica in materia di cybersecurity e investire nella ricerca e nella formazione di figure professionali: passi necessari per far fronte alla crescente digitalizzazione del settore energetico.
