Infrastrutture elettriche 4.0 alla sfida cybersecurity.
Di questi giorni la notizia di un attacco cyber (denial of service) che ha causato blackout delle reti elettriche in California, Utah e Wyoming.
Il punto è che le reti di nuova generazione richiederanno un uso più spinto dell’ICT: e saranno pertanto potenzialmente più esposte a minacce cyber.
E’ necessario che la progettazione delle nuove reti elettriche faccia leva sulle best practice sviluppate in ambito internazionale per la protezione cibernetica dei sistemi ICT distribuiti, adattandole alle specificità del dominio applicativo.
A differenza delle reti elettriche attuali, sarà la sicurezza cibernetica a dover guidare la progettazione e lo sviluppo delle reti elettriche di nuova generazione. La condivisione di best practices contribuirà a una maggiore consapevolezza dell’impatto dei rischi cyber nelle aziende energetiche. Ecco l’analisi dello scenario attuale e le misure da mettere in campo.
Vogliamo qui focalizzare l’attenzione sulle specificità del settore energetico e più specificamente nelle infrastrutture, in particolare sulle problematiche di cybersecurity nelle infrastrutture elettriche 4.0.
I cyber physical systems (CPS) e industria 4.0
Sotto l’etichetta Industria 4.0 si indica la tendenza dell’automazione industriale a integrare alcune nuove tecnologie produttive per migliorare le condizioni di lavoro, creare nuovi modelli di business e aumentare la produttività e la qualità produttiva degli impianti; digitalizzazione spinta, grandi moli di dati, numero elevato e crescente di sensori e oggetti connessi, sono alcuni degli aspetti centrali.
La chiave di volta dell’industria 4.0 sono i sistemi ciberfisici (Cyber Physical System-CPS), ovvero sistemi fisici strettamente connessi con i sistemi informatici, che possono interagire e collaborare con altri sistemi CPS. Questo sta alla base della decentralizzazione e della collaborazione tra i sistemi, che è il cuore del concetto di industria 4.0.
Abilitatori fondamentali della trasformazione digitale dell’industria sono dati e connettività. L’attributo 4.0 non sempre è banale da declinare nei comparti industriali più innovativi o nei servizi o nelle infrastrutture.
Le infrastrutture elettriche critiche
L’energia elettrica è di fondamentale importanza per l’economia e la società, che dipendono dalla sua disponibilità; un’interruzione dell’alimentazione può avere un impatto sulla fornitura di altri servizi (trasporto, finanza, comunicazioni, approvvigionamento idrico, sanità, etc.) quando la potenza di backup non sia disponibile o il tempo di ripristino dell’alimentazione superi l’autonomia di backup.
Parliamo perciò di infrastrutture critiche.
Il recente esempio del blackout negli Stati Uniti e, poco prima, quello di Caracas con le sue ripercussioni sugli ospedali – dove sono morte molte persone a causa della interruzione nell’erogazione dell’energia elettrica – è un caso emblematico. Varie sono le infrastrutture critiche in ambito elettrico, tra cui possiamo citare:
- Grandi impianti classici di generazione termici ed idroelettrici
- Sistemi di generazione idroelettrica distribuita
- Generazione rinnovabile distribuita (eolica, fotovoltaica, etc.)
- Sistemi di trasmissione e distribuzione dell’energia (composti da centinaia di cabine primarie e decine di migliaia di cabine secondarie).
Perché aumenta il rischio con la decentralizzazione delle reti elettriche
L’uso crescente di risorse rinnovabili e la poligenerazione portano la rete elettrica (da qui in poi EPES – Electric Power and Energy System) a diventare sempre più decentralizzata. La presenza di soggetti (prosumers) che su piccola scala producono energia e la conferiscono in rete rende bidirezionale il flusso energetico. I dispositivi interconnessi – da quelli di una smarthome ai veicoli elettrici – sono sempre più numerosi e dotati di funzioni avanzate e richiedono una gestione sempre più articolata delle smart grids. Aumentano gli stakeholders coinvolti nel processo e aumentano i dispositivi intelligenti connessi alla rete. L’impatto della trasformazione digitale nel settore energetico riguarda l’intera filiera dell’energia: dagli approvvigionamenti, agli aggregatori, alla distribuzione e al trasporto, fino alla vendita e al rapporto con i clienti finali.
Ma tutto ciò non è ancora sufficiente a descrivere la complessità del sistema. L’ecosistema dell’elettricità è sempre stato complesso e fortemente interconnesso. Le organizzazioni, grandi e piccole, all’interno di questo ambiente si affidano l’una all’altra per componenti e servizi business-critical. L’introduzione delle tecnologie digitali ha amplificato il livello di interconnettività/interconnessione e introdotto un’ulteriore dimensione di rischio, che tutte le organizzazioni all’interno dell’ecosistema devono gestire insieme: il cyber risk.
La sicurezza dei sistemi elettrici cambia completamente perché essi passano da essere sistemi fisici sicuri ad essere cyberphisical secure system. La separazione fra IT (Information Technology) e OT (Operation Technology) era tradizionale nella rete elettrica e nella sua visione della sicurezza. L’approccio alla sicurezza dei sistemi legacy SCADA/ICS (Supervisory Control e Data Acquisition System/Industrial Control Systems) era basato sul paradigma del castello inespugnabile. Ed i limiti di tale approccio sono evidenti.
Rischi più alti con l’Internet of Things per le reti elettriche
I dati generati nei sistemi embedded, creati da dispositivi machine-to-machine e IoT (Internet of Things), sono in crescita esponenziale nel settore elettrico e la loro importanza è il cuore del sistema. Da qui la necessità di individuare una specifica strategia per la sicurezza. Le unità IoT installate globalmente dalle utilities sono cresciute mediamente del 23% l’anno. Con essi gli attacchi. E non solo nel loro numero, ma soprattutto in complessità.
Senza adeguate misure di cybersecurity, potrebbe essere violato l’accesso ai sistemi, si potrebbero subire interruzioni di alimentazione, con effetti a cascata ai sistemi interconnessi e ai servizi energetici: in ultima analisi danni irrimediabili a cose e a persone. Pertanto l’EPES deve affrontare un crescente numero di sfide, mediante lo sviluppo di soluzioni di cybersecurity che ottemperino alle esigenze della sicurezza insieme a quelle della elevata velocità di comunicazione e che garantiscano una facile scalabilità al numero di dispositivi in gioco.
Una novità nel nuovo ecosistema elettrico esteso e distribuito è quella dei cyber-rischi dal lato della domanda. I dispositivi IoT consumer sono difficili da controllare. Un esempio è il veicolo elettrico.
Secondo la rete europea di operatori per la trasmissione ENTSO-E il massimo squilibrio di potenza tollerabile del sistema energetico europeo continentale sincronizzato è di 3GW.
Al ritmo di crescita della capacità delle unità di ricarica (molte attualmente maggiori di 20kW) – in linea con i requisiti di crescente velocità di ricarica – è necessario manipolare un numero sempre minore di unità di ricarica al fine di causare uno squilibrio complessivo di almeno 3GW. Pertanto, quando si valuta e si assegna la priorità al rischio cibernetico nell’ecosistema dell’elettricità, devono essere considerati il potenziale impatto di attacchi informatici provenienti anche dal lato dei consumatori.
Ecco la mappa degli stakeholder
I sistemi telecontrollati e i sistemi distribuiti sono esposti a tutti i rischi correlati. Anche i grandi impianti non possono ormai essere operati in modo isolato: la sicurezza di sistemi, reti e protocolli è pertanto un elemento essenziale. Le possibili minacce possono essere subdolamente veicolate tramite mezzi di natura non connessa, come ad esempio media removibili o dispositivi ritornati dopo una manutenzione. La rete di telecontrollo delle reti di distribuzione rappresenta un ambito assai complesso per il gran numero di sistemi coinvolti; ancora più granulare è l’infrastruttura dei contatori digitali.
Le organizzazioni elettriche hanno relazioni interdipendenti con numerosi stakeholder che possono estendersi su più gradi di separazione dell’organizzazione; si basano su tali relazioni per fornire componenti business-critical e servizi (qualsiasi, da core operation assets e dispositivi intelligenti fino alla manutenzione in loco)
Una mappatura degli stakeholder inizia con il nucleo della catena del valore (vale a dire l’infrastruttura connessa) e si espande per includere il circostante “business ecosistem”, fatto di di fornitori, clienti e colleghi (peers). Il tutto è incapsulato da un “ecosistema esteso“, che comprende i responsabili politici, i legislatori, le forze dell’ordine, auditor, assicuratori e organismi di normalizzazione. Per garantire che la sicurezza informatica e la resilienza siano efficacemente incluse nella strategia aziendale, il top management deve comprendere l’ampiezza e la natura di questi connessioni. Le interazioni tra le parti interessate in questo ambiente si manifestano attraverso tre livelli principali: le connessioni fisiche, i collegamenti di rete e le relazioni strategiche.
Oltre al livello fisico vanno considerati quello di network e quello strategico.
Il livello di rete include tutti i sistemi informatici interagenti tra loro. La complessità di questo strato, con le sue interdipendenze, continua ad aumentare con la digitalizzazione dell’EPES. Questo strato può essere utilizzato come autostrada per propagare attacchi informatici che hanno effetto in cascata sull’ecosistema.
Il livello strategico si riferisce alle relazioni con le entità nell’ecosistema esteso (ad es. responsabili politici, regolatori). Queste relazioni sono particolarmente critiche.
Quando si parla di sicurezza (cyber e fisica) non è più sufficiente per un’organizzazione del settore elettrico limitarsi a rendere sicura la propria “casa”.
Le reti di nuova generazione, al fine di fornire servizi ai vari utenti/stakeholders e migliorare la QoS/reliability del sistema elettrico (bilanciamento della rete, ottimizzazione dei flussi, etc.), richiederanno un uso più spinto dell’ICT e saranno pertanto potenzialmente più esposte a minacce cyber. La progettazione delle nuove reti elettriche dovrà far leva sulle best practice sviluppate in ambito internazionale per la protezione cibernetica dei sistemi ICT distribuiti adattandole alle specificità del dominio applicativo. A differenza delle reti elettriche attuali, la sicurezza cibernetica dovrà guidare la progettazione e lo sviluppo delle reti elettriche di nuova generazione.
Non dobbiamo trascurare infine, per avere un quadro completo, che simultaneamente infrastrutture legacy con un tempo di servizio oltre 20 anni continuano a dover essere gestire perché ancora operanti.
L’integrazione tra sistemi IT e OT
Gli attacchi informatici nel settore elettrico non sono più circoscritti al mondo digitale. Ci sono stati vari incidenti in cui gli attacchi informatici hanno attraversato il confine dal mondo digitale al dominio fisico. Questi eventi evidenziano la necessità di estendere la robusta resilienza informatica governance dal mondo IT all’ambiente OT.
Nelle infrastrutture elettriche 4.0 scompare la tradizionale distinzione ed IO e OT che invece si compenetrano. Qui sta il punto di forza della gestione intelligente della rete elettrica del futuro e nel contempo il potenziale punto di debolezza. Istituire un’efficace governance della sicurezza che integri IT e OT infatti è più facile a dirsi che a farsi. Gli ambienti IT e OT sono fondamentalmente e funzionalmente diversi: hanno priorità diverse all’interno di attività commerciali, diversi requisiti funzionali, diverse culture lavorative, diversa propensione al rischio. Di conseguenza, spesso hanno anche requisiti di sicurezza diversi.
In sintesi la differenza fondamentale consiste nel fatto che nell’IT la priorità è la riservatezza, mentre nell’OT di solito si dà la priorità alla disponibilità. Questi due ambiti devono compenetrarsi ed essere affrontati insieme.
Strategico un approccio multidisciplinare
Gli standard internazionali di riferimento, Incidenti e Contromisure, si riferiscono a norme tecniche e linee guida relative alla sicurezza dei sistemi di generazione, trasmissione e distribuzione dell’energia. In Italia l’Osservatorio Nazionale per la Cybersecurity, Resilienza e Business Continuity delle Reti Elettriche ha effettuato un’analisi considerando i requisiti di Affidabilità, Integrità, Riservatezza e Non Ripudio, specificati nei vari regolamenti – del NIST (National Institute of Standards and Technologies), NERC (Natural Research Research Council), NIS (Network and Information Systems), NISTIR (National Institute of Standards and Technology Interagency Report), IEC (International Commissione elettrotecnica), ISO (International Organization for Standardization), CIP (Critical Infrastructure Protection).
Emerge l’importanza di considerare la sicurezza informatica in modo multidisciplinare. Nei settori dell’energia, e in particolare nel settore elettrico, sono state prese in considerazione le diverse aree della tecnologia dell’informazione, della rete, dell’automazione e del controllo di sistemi complessi (SCADA, IED, ICS, DCS, HMI, PLC, …). I risulti sono sintetizzati nel documento Principi Linee Guida e Good Practices per la gestione della Cyber Security, Resilienza e Business Continuity degli Operatori Elettrici.
Mentre ai sistemi IT si applicano i Critical Security Controls e il Framework NIST, i sistemi cibernetici (CPS) richiedono uno specifico set di controlli di sicurezza e il tipo di protezione è amplificato dalla natura critica dei sistemi stessi.
Pertanto, l‘analisi del rischio e le attività di valutazione non possono essere limitate al solo quadro NIST, ma – nei settori dell’energia – devono necessariamente includere anche altri quadri di sicurezza. Per nominare quelli più significativi, si ricordano NERC-CIP, ISA, IEC e – ovviamente – NIST per la protezione CPS. È necessaria una chiara integrazione del quadro NIST per garantire la sicurezza e la resilienza dei sistemi di controllo industriali e la disponibilità e la massima affidabilità dei sistemi e delle procedure di sicurezza.
La necessità di aumentare i livelli di sicurezza è anche dovuta alla progressiva introduzione di nuove tecnologie, sia nel settore dell’energia che in quello delle TIC (ad esempio il cloud computing, i sistemi di trasmissione wireless, l’IoT industriale).
Necessità di linee guida per la cyber security nelle reti elettriche
Un approccio proattivo è la security by design che prevede, sin dalle prime fasi del ciclo di vita di una soluzione, di garantire l’adozione dei principi di Cyber Security e di mantenerli durante l’intero ciclo di vita delle soluzioni IT/OT/IoT e delle infrastrutture.
Le aziende leader nel settore energetico sempre di più considerano gli attacchi cyber come un attacco alla continuità di servizio.
Nonostante ciò c’è ancora una limitata informazione condivisa fra gli stakeholder. Condividere ‘best practices’ contribuirebbe ad una maggiore consapevolezza dell’impatto dei rischi cyber nelle aziende energetiche e nel settore energetico nel suo insieme.
Il settore deve adottare un approccio sistemico e valutare il problema attraverso l’intera ‘supply chain’, per migliorare i sistemi di protezione e limitare qualsiasi possibile effetto domino che potrebbe essere causato dal un guasto in un’area della catena di valore.
Il quadro normativo in evoluzione e la mancanza di standard nazionali di settore determinano incertezza per gli operatori del mondo elettrico. E’ fondamentale dunque definire principi, Linee Guida e Best Practice per la gestione della cyber security e in conformità alle normative Europee e nazionali. L’obiettivo è creare una semplice linea guida per tutte le aziende nazionali del settore elettrico (di piccole, medie o grandi dimensioni) suggerendo obiettivi e metodiche per indirizzare le tematiche di cyber security, che inoltre si integri e allinei con il Framework Nazionale di Cyber Security, le linee guida e gli standard internazionali, assieme ai più importanti controlli di sicurezza da implementare in stretto accordo con la supply chain.
Le tecnologie digitali avanzate, intelligenti e distribuite svolgono un ruolo sempre più importante nell’EPES, contribuendo a ridurre il consumo di energia, consentendo l’integrazione di quote più elevate di rinnovabili e promuovendo un sistema più efficiente in termini di energia.
Allo stesso tempo, con l’uso sempre più diffuso di dispositivi digitali e di comunicazione avanzati e interconnessi, rende l’EPES più esposto a minacce esterne.
Avvicinandosi alle “foglie” del sistema l’ordine di grandezza degli oggetti e la complessità complessiva cresce. Le sfide future della cybersecurity nell’ambito delle infrastrutture dell’energia elettrica sono molte. Proviamo di seguito a delinearle sinteticamente.
Obiettivo: armonizzare le normative
Gli EPES sempre più decentralizzati e digitalizzati stanno contribuendo in modo significativo sia all’interconnessione che all’interdipendenza delle reti elettriche globali. In parallelo, gli attacchi cyber hanno la capacità di diffondersi rapidamente tra i continenti.
Nonostante ciò, le organizzazioni multinazionali continuano a spendere risorse nell’ambito di ambienti normativi in più mercati, con nessuna garanzia di eventuale resilienza cyber globale.
Il settore pubblico ha cercato di migliorare il livello di cybersecurity di tutte le organizzazioni attraverso le istituzioni regolamentari (NIS, NERC, CIP). Le indicazioni hanno fornito i requisiti fondamentali di sicurezza, ma essere compliant ad essi non significa necessariamente essere sicuri. La rapida digitalizzazione dell’ecosistema elettrico impone di non attendere la normazione per affrontare il successivo attacco cyber. Le organizzazioni devono adottare una mentalità di resilienza e assumere un approccio strategico per gestire i cyber rischi.
Per ridurre l’onere per le imprese che operano a livello transnazionale, molte regioni stanno considerando di armonizzare le normative di cyber sicurezza.
La natura distribuita dell’ecosistema dell’industria elettrica può rendere difficile per una singola organizzazione identificare in modo efficiente un attacco informatico. Superare questa sfida richiede una condivisione trasparente in tempo reale di informazioni per avere una consapevolezza collettiva della situazione. Inoltre, la condivisione di tempo reale di informazioni dovrebbe tener conto delle implicazioni sulla sicurezza nazionale poiché potrebbe essere necessario che le informazioni per gestire i cyber rischi attraversino i confini nazionali e regionali.
Un primo approccio potrebbe consistere nello sviluppo di un framework per un’information sharing real-time, coordinata, neutrale, specifica per l’elettricità a livello internazionale.
Coniugare business e metriche di resilienza informatica
Per integrare efficacemente il rischio cyber nella strategia di business, i progressi devono essere misurati. Monitorare gli sforzi di resilienza informatica, oltre a misurare l’efficacia degli investimenti di cyber resilience, rimane una sfida per gli stakeholder dell’ecosistema elettrico (sia pubblico che privato)
Per superare questa sfida è necessario che metriche robuste di sicurezza informatica siano espresse anche in termini di linguaggio di business.
La proliferazione di dispositivi IoT e IoT industriale (IIoT) solleva ragionevoli preoccupazioni in merito alla sicurezza e uso sicuro di queste tecnologie. Per le utilities e altre industrie del comparto elettrico, la continua evoluzione della tecnologia presenterà una sfida continua alla cyber-security. L’implementazione di energia distribuita e la proliferazione di dispositivi lato consumatore (ad esempio i dispositivi smart-home e le unità di ricarica per veicoli elettrici) espanderanno la superficie di attacco.
La sofisticazione degli strumenti informatici utilizzati dagli attori malintenzionati continuerà a crescere. In parallelo la maturità di security analytics, machine learning e intelligenza artificiale (AI), specialmente in ambito OT, fornirà intelligenza utilizzabile per consentire misure di difesa proattiva e reattiva. Per esempio, il calcolo quantico può cambiare il panorama della crittografia come lo conosciamo.
Per approfondimenti, il whitepaper WEF.