Dal subire al prevenire
per poi agire (meglio di prima)

Nuova Energia ringrazia CESI per aver concesso la pubblicazione di questo articolo, apparso in originale in lingua inglese sull’ultimo numero dell’Energy Journal

LO SCORSO ANNO SONO STATE RILEVATE A LIVELLO GLOBALE 119.000 CYBER-MINACCE AL MINUTO.
LA FORTE DIGITALIZZAZIONE, LO SCAMBIO DI UNA ENORME MOLE DI DATI, IL NUMERO CRESCENTE DI OGGETTI CONNESSI SONO ALCUNI DEGLI ASPETTI CRUCIALI CHE TOCCANO IL SETTORE DELL’ENERGIA


Con la crisi pandemica si modificano le esigenze per il settore energetico. Un’analisi sul tema sicurezza per individuare i nuovi rischi e organizzare strategie di risposta. Anche a livello di Unione Europea. Le ultime ricerche pubblicate sul tema cybersecurity, riferite a scenari globali e nazionali, ci di- cono che stiamo attraversando un periodo piuttosto complesso. Analizzando i dati relativi alle minacce informatiche che emergono da A Constant State of Flux – Trend Micro 2020 Annual Cybersecurity Report, emerge che nel mondo sono state rilevate 119 mila minacce al minuto, con un incremento del 20 per cento rispetto all’anno precedente. Tra le cause della crescita, la diffusione del lavoro da remoto imposto dall’emergenza pandemica. Dalla stessa ricerca emerge che sempre nel 2020 l’Italia è il quinto Paese a livello mondiale più colpito dai macro-malware (addirittura il primo in Europa), per posizionarsi al settimo posto per attacchi malware e all’undicesimo per attacchi ransomware.

Non bastava quella pandemica, dunque; da questi dati emerge infatti che le aziende italiane nel 2020 hanno dovuto affrontare anche un’emergenza sul fronte della cybersecurity. Secondo il report Cybersecurity odyssey: la chiave per evolvere redatto dall’Osservatorio cybersecurity & data protection della School of management del Politecnico di Milano, per il 40 per cento delle grandi imprese sono aumentati gli attacchi informatici rispetto all’anno precedente. L’impatto economico della pandemia ha però costretto le imprese a fronteggiare le sfide di sicurezza con budget ridotti. Nel complesso, la crisi legata al Covid-19 ha rallentato la crescita del mercato della cybersecurity senza però arrestarla: il 19 per cento delle grandi aziende ha diminuito gli investimenti in cybersecurity (contro il 2 per cento del 2019) e solo il 40 per cento li ha aumentati (era il 51 per cento l’anno precedente).



Tuttavia, la ricerca rivela che per oltre un’impresa su due (54 per cento) l’emergenza ha rappresentato un’opportunità per investire in tecnologie: nel 2020 la spesa in soluzioni di cybersecurity ha raggiunto un valore di 1,37 miliardi di euro, in crescita del 4 per cento rispetto all’anno precedente (nel 2019 il mercato aveva segnato un +11 per cento rispetto al 2018), di cui il 52 per cento è rappresentato dalle soluzioni di security e il 48 per cento dai servizi. Gli investimenti in cybersecurity riguardano soprattutto l’endpoint security cloud, lo smart working e i big data, ma anche l’operational technology security (che riscontra un’accelerazione degli investimenti) e l’artificial intelligence, utilizzata in ambito cybersecurity dal 47 per cento delle aziende.

L’emergenza Covid ha dunque influenzato l’impulso non solo alla digitalizzazione ma anche alla cybersecurity delle grandi imprese di qualsiasi comparto. Entrambi i trend già da alcuni anni hanno coinvolto anche il settore energetico (nello specifico quello elettrico) che si trovano al centro del processo di transizione. In questo specifico ambito, è opportuno parlare di Industria 4.0 non solo per descrivere la tendenza dell’automazione industriale a integrare alcune tecnologie per aumentare la produttività e la qualità e gli impianti, ma anche per meglio analizzare le conseguenze di alcuni aspetti cruciali applicati al settore dell’energia: la forte digitalizzazione, lo scambio di una enorme mole di dati, il numero crescente di sensori e oggetti connessi.

I rischi per le infrastrutture elettriche
Le infrastrutture elettriche sono critiche perché un’interruzione dell’alimentazione può determinare un impatto sulla fornitura di molti altri servizi, dai trasporti fino alla sanità. Nella lista delle infrastrutture critiche troviamo i grandi impianti classici di generazione termici e idroelettrici, i sistemi di generazione rinnovabile, di trasmissione e distribuzione dell’energia con migliaia di cabine primarie e centinaia di migliaia di cabine secondarie. A questo elevato numero di infrastrutture critiche si aggiunge un ulteriore elemento di rischio, ovvero la decentralizzazione delle produzioni elettriche: fenomeno, questo, dovuto all’uso crescente di risorse rinnovabili di piccola taglia e della poligenerazione.

Secondo le previsioni dell’ultimo documento pubblicato lo scorso novembre dalla IEA (International Energy Agency) dal titolo Renewables 2020, le rinnovabili cresceranno in tutto il mondo, in contrasto con i forti cali innescati dalla pandemia di Covid-19 in molti altri comparti del settore energetico, come il petrolio, il gas e il carbone. Gli analisti prevedono che la capacità installata netta per la produzione di FER in tutto il mondo aumenterà di quasi il 4 per cento, a un livello record di circa 200 GW. Questa costante crescita determina anche la presenza di un numero sempre maggiore di prosumers in grado di produrre energia su piccola scala e di immetterla in rete rendendo il flusso energetico bidirezionale. Inevitabilmente l’aumento degli stakeholder coinvolti nel processo va di pari passo con la crescita dei dispositivi intelligenti utilizzati e interconnessi alla rete con funzioni sempre più avanzate, come gli smartphone e i veicoli elettrici. Ecco perché oggi l’intera filiera dell’energia risulta essere il fulcro del processo di digitalizzazione e decentralizzazione: dagli approvvigionamenti agli aggregatori, passando per la distribuzione fino alla vendita e ai rapporti con i clienti finali.

Ricapitolando: al tema delle infrastrutture elettriche critiche si aggiunge quello della decentralizzazione e poligenerazione dovuto allo sviluppo delle rinnovabili che determinano non solo un aumento degli stakeholder coinvolti nella filiera dell’energia ma anche del numero di dispositivi intelligenti interconnessi alla rete. Si viene così a delineare per il settore elettrico un quadro sempre più complesso in termini di cybersicurezza. Ma c’è un ulteriore specificità che caratterizza gli equilibri e le dinamiche del comparto e che non può essere sottovalutata in una visione di vulnerabilità del sistema: esiste uno strettissimo rapporto di interconnessione tra le organizzazioni di settore che si affidano l’una all’altra per componenti e servizi Business Critical. Un rapporto che è diventato ancora più interconnesso con l’introduzione delle tecnologie digitali e che si traduce in un maggior rischio cyber che le organizzazioni devono sapere affrontare e gestire insieme: perché l’attacco a una sola organizzazione espone allo stesso rischio anche tutte le altre.




Bisogna anche sottolineare che l’impulso alla digitalizzazione ha determinato un rilevante cambiamento in tema di sicurezza dei sistemi elettrici, specie se si guarda al loro passaggio da sistemi fisici sicuri a Cyber Phisical Secure System. Se prima il sistema elettrico (e la sua sicurezza) poggiava su una netta separazione fra IT (Information Technology) e OT (Operation Technology), oggi la crescita esponenziale dei dati generati dai sistemi embedded creati dai dispositivi Machine to Machine (M2M) e IOT (Internet of Things) rappresenta il cuore del sistema. Tanto che le unità IOT installate a livello globale dalle utilities sono cresciute del 23 per cento. Risulta dunque fondamentale realizzare una strategia di cybersecurity che integri IT e OT, nonostante si tratti di ambienti funzionalmente diversi con requisiti di sicurezza differenti: se nell’IT la priorità è la riservatezza, nell’OT è individuata nella disponibilità. Per questo motivo è necessario un approccio multidisciplinare che disegni la governance della sicurezza in base a una serie di strategie che rendano più ampia l’analisi del rischio (che ad esempio in Italia non può essere limitato solo al quadro NIST – National Institute of Standard Technologies, ma deve includere anche altri quadri di sicurezza come NERC-CIP, ISA, IEC).

In secondo luogo, bisogna applicare i principi della Security by Design, cioè garantire l’adozione delle regole della cybersecurity a partire dalle prime fasi di sviluppo delle OT/IT/IOT o delle infrastrutture, per mantenerle poi costantemente aggiornate durante l’intero ciclo di vita. Vista inoltre la stretta interconnessione sopracitata tra le varie organizzazioni del settore elettrico, è opportuno che l’intero settore adotti un approccio sistemico e valuti il problema della sicurezza dal punto di vista dell’intera supply chain per eliminare qualsiasi possibile effetto a cascata. Di pari passo deve procedere la condivisione delle best practices per ottenere una maggiore consapevolezza dei rischi e un aggiornamento real-time delle soluzioni.



La strategia europea sulla cybersicurezza
Una strategia completa sulla cybersecurity a livello di Unione europea è dunque essenziale per costruire un continente resiliente e digitale. Non risultano esaustive infatti le misure previste fino ad oggi. Da un lato, con riferimento alle norme italiane ed europee per i sistemi di automazione e controllo, si segue la normativa ISA 99/IEC 62443 che considera tre aree per definire una corretta strategia di sicurezza informatica: la tecnologia da utilizzare, i processi da seguire e il personale che opera sui sistemi.

Altrettanto fondamentale è la NIS (Network and Information Security), la direttiva emanata dal Consiglio Europeo nel 2016, e recepita in Italia nel 2018, con lo scopo di migliorare le capacità di cybersecurity dei singoli Stati dell’Unione, mediante adozione di specifiche misure di sicurezza a carico di settori sensibili. La NIS si applica agli Operatori di Servizi Essenziali (OSE), tra i quali figurano proprio le infrastrutture critiche, e ai Fornitori di Servizi Digitali. L’esigenza di una svolta nella strategia UE per la cybersicurezza sembra però essere stata ben com- presa nel nuovo piano d’azione presentato lo scorso 22 marzo dal Consiglio europeo. Il documento si articola in diversi punti e individua una serie di settori d’intervento:

1. Creare una rete di centri operativi di sicurezza SOC (Security Operation Center) in tutta l’UE per monitorare e anticipare i segnali di attacchi alla rete.
2. Definire un’unità congiunta per il ciberspazio che fornisca una direzione chiara del quadro di gestione di eventuali crisi di cybersecurity nella UE.
3. Applicare le misure previste nel pacchetto EU 5G toolbox e proseguire gli sforzi per garantire la sicurezza delle reti 5G e lo sviluppo delle future generazioni di reti.
4. Creare uno sforzo congiunto per accelerare l’adozione di standard per la sicurezza Internet, fondamentali per aumentare la competitività dell’industria europea.
5. Sostenere lo sviluppo di una crittografia avanzata quale strumento di per garantire la sicurezza digitale.
6. Aumentare l'efficacia della cyber diplomacy toolbox soprattutto per prevenire e contrastare i cyber-attacchi con effetti sistemici che possono colpire le supply chain, le infrastrutture critiche e i servizi essenziali, le istituzioni e i processi democratici, minando la sicurezza economica.
7. Istituire un gruppo di lavoro di intelligence informatica per rafforzare la capacità specifica dell'European Intelligence and Situation Centre (INTCEN) in questo settore.
8. Rafforzare la cooperazione con le organizzazioni internazionali e i Paesi partner per promuovere la comprensione condivisa delle minacce informatiche.
9. Elaborare un'agenda dell'UE per lo sviluppo delle capacità informatiche esterne al fine di aumentare cyber-resilienza e le capacità a livello mondiale.

La nuova strategia europea de- linea un rinnovato approccio culturale al tema della cybersecurity, che va oltre l’impiego di tecnologie e l’expertise indispensabili per mettere in sicurezza reti, impianti e sistemi industriali. Diventa chiaro che fare cybersecurity richiede un atteggiamento proattivo, che non si accontenta solo di reagire a un attacco ma ha l’obiettivo di prevenirlo costantemente, attraverso un sistema di azioni che disegnano un nuovo modo di agire. Come dimostra, guardando fuori dall’Europa, il caso della Israel Electric, la società elettrica israeliana che oltre a vendere energia oggi promuove anche servizi di cybersecurity. L’azienda di Stato ha lanciato sul mercato Sophic, una piattaforma di sicurezza informatica per gestire gli attacchi hacker alle infrastrutture critiche, come centrali e reti elettriche. A determinare la decisione della Israel Electric di offrire piattaforme di cybersecurity sono stati gli innumerevoli attacchi che ha subito in passato. Da qui il perfezionamento delle tecnologie di diagnosi e difesa delle minacce informatiche, che ha poi deciso di condividere anche all’esterno. Un esempio di come dal subire si può passare al prevenire per poi agire meglio di prima.

Innovazioni tecnologiche applicate alla cybersecurity
Nel new normal sempre più iperconnesso è necessario utilizzare programmi di cyberdefense avanzati. A livello individuale e aziendale, un attacco di cybersecurity può causare dal furto di identità ai tentativi di estorsione, fino alla perdita di dati importanti. La situazione diventa ancora più grave nel caso di attacco a infrastrutture critiche come centrali elettriche, ospedali e istituti finanziari. Solo attraverso l’applicazione delle nuove frontiere dell’innovazione tecnologica alla cybersecurity è possibile garantire la protezione di aziende e infrastrutture per mantenere il corretto funzionamento di tutti i servizi necessari all’individuo e alla società.

Tra le innovazioni tecnologiche nel campo della Cloud security è importante lo sviluppo degli Internet Security Gateway, che consentono di usufruire sul cloud di diversi tipi di soluzioni di sicurezza cloud computing in base alle specifiche esigenze. Queste tecnologie permettono l’accesso da un tipo di ambiente IT a un altro, compiendo alcune operazioni: un Internet Security Gateway può essere implementato su un cloud per diventare il passaggio previsto tra un endpoint, una rete e il cloud. Oltre alle soluzioni tradizionali (per prevenire i classici attacchi web based, come il phishing che può causare il furto di credenziali attraverso l’indirizzamento verso siti trappola), dietro gli Internet Security Gateway possiamo trovare soluzioni di sicurezza avanzate. Ne sono un esempio i servizi di threat intelligence, cloud encryption e secure cloud storage. A fornire i servizi di threat intelligence possono essere i vendor, che disponendo di reti globali di raccolta di informazioni sugli incidenti di sicurezza riescono a verificare in anticipo se un determinato attacco subito può essere un’anticipazione di un attacco più grave e di vasta portata. Invece, nei cloud encryption e secure cloud storage, un Internet Security Gateway riesce a valutare se e come i dati che transitano da un endpoint al cloud siano protetti da qualche efficace sistema di crittografia.

Tra le innovazioni tecnologiche in grado di migliorare la gestione della cybersecurity rientrano i metodi basati sugli algoritmi di intelligenza artificiale, capaci di trattare enormi volumi di dati con maggiore velocità nell’attività di risposta all’attacco. La sfida di costruire una cybersecurity di nuova generazione correlata all’AI e alla gestione del fenomeno dei Big Data è di fatto già aperta. Gli algoritmi di intelligenza artificiale operano nella rilevazione di situazioni anomale potenzialmente pericolose, analizzando e confrontando una mole elevatissma di dati eterogenei. Dati che possono contenere informazioni su chi o che cosa si collega ai sistemi da proteggere, sugli accessi ai dati, sulle connessioni verso siti esterni, su cambiamenti apportati ai sistemi, su segnalazioni generate dagli stessi sistemi di sicurezza. Compito di questi algoritmi è dunque quello di identificare l’insieme di eventi che possono rappresentare una deviazione rispetto ai comportamenti mediamente riscontrabili all’interno dell’organizzazione da tutelare. In questo ambito, la capacità di analisi e confronto mostrata dai sistemi di AI (come le reti neurali) è particolarmente importante perché si tratta di sistemi che possono essere continuamente aggiornati per identificare correttamente anche le nuove tipologie di attacco che via via si manifestano.

Fondamentale è anche il ruolo dell’AI nel potenziamento dei processi decisionali per mezzo dei sistemi esperti (composti da una base informativa e da un motore inferenziale), utili per elaborare risposte adatte a risolvere problematiche diverse sulla base di informazioni già note. In questo modo diventa possibile velocizzare e standardizzare l’analisi di determinati eventi, stabilire subito se sono configurabili come incidenti di sicurezza e dunque mettere in atto delle procedure uniformi di risposta. Un’ultima area di applicazione dell’IA in materia di sicurezza informatica si trova a metà fra gli ambiti civili e militari, dove si prendono in considerazione i cosiddetti agenti intelligenti, cioè delle componenti software che possiedono alcune caratteristiche di comportamento intelligente, quali proattività, comprensione di un linguaggio di comunicazione fra agenti (Agent Communication Language – ACL), reattività (capacità di prendere alcune decisioni e di agire autonomamente).

In tema di cybersecurity gli agenti intelligenti sono costituiti da sistemi software, autonomi o inseriti all’interno di piattaforme più tradizionali (firewall, sistemi antintrusione, router), che hanno diverse capacità: monitoraggio dell’attività in corso sui sistemi informatici, analisi, rilevazione di situazioni di attacco, risposta. I sistemi sono distribuiti sulla rete che si desidera proteggere e possono comunicare tra loro per mettere in relazione le informazioni raccolte separatamente, fino a mettere in atto una strategia di difesa con una supervisione quasi nulla da parte di specialisti umani.

Non va sottovalutato il fatto che le tecniche di intelligenza artificiale, specialmente quelle sempre più sofisticate, vengono messe a punto anche da chi vuole attaccare e superare le difese dei sistemi. Si genera così una sorta di competizione, una vera e propria escalation tra azioni di attacco e di difesa attraverso sistemi di AI. Un settore di ricerca molto attivo in questo ambito è rappresentato dall’Adversarial Machine Learning, dove un sistema di AI è disegnato per produrre dei risultati che possano ingannare un secondo sistema di AI. Perché la vera intelligenza, come diceva il fisico Stephen Hawking, è la capacità di adattarsi al cambiamento.

© nuova-energia | RIPRODUZIONE RISERVATA