Cyber Security EnergiaPaper 3/2015

ECSEnergyCyberSecurityRischiosottovalutatooinutilepreoccupazione?

Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in pro-grammi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility.

Tutte le immagini e fotografia presenti in questo Paper sono state regolarmente acquistate su banche dati. Nel caso in cui l’auto-re ritenga che siano state violate le regole di copyright, è pregato di segnalarlo al seguente indirizzo: comunicazione@energiamedia.it

©Energia Media - aprile 2015

i

Energia Media

ECSEnergyCyberSecurityRischiosottovalutatooinutilepreoccupazione?

La sicurezza informatica elemento irrinunciabile nelle decisioni

strategiche di Governi e imprese

In un mondo sempre connesso alla rete, il flusso di dati e lo scambio di

informazioni sono ormai inarrestabili.

Le aziende del settore energy e utility sono fra i bersagli preferiti degli

attacchi informatici proprio in considerazione della loro importanza

economica, politica e strategica. Oggi più che mai Governi e imprese

devono considerare la sicurezza informatica come uno degli elementi

irrinunciabili nelle loro decisioni strategiche. Lo sviluppo e la pervasività di

Internet caratterizzano la vita odierna di Stati e cittadini: dall’erogazione e

3

acquisto di beni e servizi online, sino alla gestione di infrastrutture critiche e

strategiche nazionali. La rivoluzione dell’ICT ha infatti interessato i settori più

rilevanti di una nazione a partire dalla difesa e funzionamento della

macchina amministrativa pubblica, sino ai settori industriali inclusa la

produzione, trasmissione, distribuzione e utilizzo dell’energia.

La pubblicazione della Strategia Nazionale Cyber Security elaborata dal

CISR (Comitato Interministeriale per la Sicurezza della Repubblica) ha

delineato l’architettura istituzionale per la sicurezza cibernetica identificando

gli organi competenti a vari livelli (politico/strategico, supporto operativo,

tattico di gestione della crisi) per il monitoraggio e la gestione della

sicurezza cibernetica. La strategia ha anche stabilito presso il Ministero dello

Sviluppo Economico il centro nazionale operativo di risposta alle emergenze

informatiche CERT (Computer Emergency Response Team).

In Italia, dunque, esiste oggi una governance della cybersecurity e un centro

operativo nazionale con cui le aziende possono condividere informazioni ed

eventi verificatisi durante la loro operatività.

Nell’era dell’informazione, le tecnologie ICT accrescono le capacità di ogni

organizzazione conferendo loro un elevato grado di efficienza ma, nel

contempo, esse costituiscono un forte elemento di vulnerabilità, basti

considerare quali e quante attività sono dipendenti da queste tecnologie.

4

ECS (Energy Cyber Security: rischio sot-tovalutato o inutile preoccupazione?

Nonostante il grave deteriorarsi della situazione

geopolitica in Est Europa, Medio Oriente e Africa

che trova nel Mediterraneo – come già è – un

possibile obiettivo sia fisico che simbolico di

scontri militari e azioni simboliche, appare molto

sottostimato, per non dire ignorato, il rischio

connesso a possibili attacchi informatici alle

infrastrutture energetiche che vedono il nostro

Paese particolarmente esposto.

5

La bassa percezione del rischio e la sottovalutazione dei necessari impegni

decisori, regolatori e di investimento è tanto più stupefacente quanto è nota

la capacità di molti degli attori in campo di gestire direttamente sistemi

complessi di Information and Communication Technology e/o finanziare

soggetti attivi a livello internazionale in grado di farlo.

Parallelamente prosegue, a livello mondiale ma con particolare impegno in

Europa ed in Italia, la transizione energetica da pochi punti di produzione

alla generazione diffusa dell’energia elettrica e termica associata, resa

possibile dall’utilizzo pervasivo delle stesse tecnologie ICT, che però – se non

ben progettati e gestiti – diventano veicolo potenziale di ingresso per attacchi

malevoli. Ai grandi sistemi infrastrutturali, quali quelli relativi ai sistemi

petroliferi e del gas, con i loro oleodotti, gasdotti e porti, alle grandi centrali

di produzione elettrica con le loro reti di connessione e distribuzione, si

affiancano ora e in prospettiva si sostituiranno, sistemi evoluti di Smart

Production, Smart Grid, Smart City, Smart Mobility, Smart Home, Smart Meter.

Sistemi capaci sì di auto sostenersi e lavorare in “isola” ma che resteranno

necessariamente e prevalentemente connessi e collegati tra loro, non solo per

problemi di back up, ma soprattutto per il coordinamento necessario al

dispacciamento e alla regolazione dei picchi.

L’Italia ha faticosamente varato e si trova ora ad avviare l’attuazione di due

ambiziose Strategie nazionali, sulla Crescita digitale e sulla Banda ultralarga,

che se da un lato rappresentano la più importante sfida di sviluppo

6

Paper n. 3/ 2015 - Cyber Security Energia

tecnologico dei prossimi anni, dall’altra, se non ben valutate e rese

compatibili con le esigenze di Cyber Security del settore energetico,

rischiano di aumentare le debolezze del sistema.

Paradossalmente, l’essere l’Italia all’avanguardia nella realizzazione del

“nuovo paradigma energetico” avviato da Enel con l’introduzione dei

contatori elettronici più di 15 anni fa – che ha illuminato il ruolo

dell’infrastruttura e delle reti di controllo – può diventare fattore di ritardo e/

o futura dipendenza tecnologica dall’estero se non si affronta la questione

con il dovuto impegno.

Energia Media, in vista della 2ª Conferenza Nazionale Cyber Security

Energia del prossimo 25 giugno 2015, che si svolgerà anche quest’anno a

Roma, presso il CASD, ha organizzato negli scorsi mesi una serie di incontri

con i soggetti interessati del settore, sia dal lato dell’offerta sia da quello

della domanda di sicurezza informatica, ponendo come base di discussione

le conclusioni della 1ª Conferenza (leggi Report).

Tra le considerazioni salienti emerse da questi incontri, spicca l’idea che la

sicurezza informatica delle infrastrutture energetiche sia un tema

scarsamente percepito dal top level delle aziende e non fa ancora parte

dell’analisi dei rischi aziendali, nemmeno in ambito di consigli di

amministrazione. Al contrario, è fortissima l’attenzione su questo tema da

parte dei manager industriali e delle amministrazioni pubbliche negli Stati

Uniti e in Gran Bretagna, oltre che nelle società assicuratrici.

7

Tra i vari settori energy quello al momento più alfabetizzato sulla ECS è

l’elettrico; gli operatori del settore gas non sembrano affatto consapevoli dei

cambiamenti richiesti nell’operatività dei propri asset conseguenti alle ultime

disposizioni normative, come ad esempio l’introduzione dei sistemi di

“smart meter gas”, tantomeno sulle loro vulnerabilità informatiche.

Tra i problemi che sembrano contribuire a sottovalutare la sicurezza

informatica, è la necessità dell’interazione aziendale tra soggetti che parlano

linguaggi ed hanno approcci diversi. Nel concreto la divisione IT

(Information Technology) deve interfacciarsi con la divisione Operations e si

trova di fronte l’esigenza di dover far capire i vantaggi dell’applicazione di

soluzioni di sicurezza informatica sull’operatività degli asset.

C’è una oggettiva difficoltà culturale in azienda nell’identificare e

quantificare il rischio informatico, mentre manca una specifica normativa/

compliance che imponga almeno di porsi il problema della necessità o

meno di adottare soluzioni di sicurezza informatica per le infrastrutture

energetiche.

Nel settore energetico la ECS deve avere l’obiettivo di tutelare i

consumatori, fruitori di un servizio essenziale, difficilmente sostituibile,

prima che l’integrità o l’interesse economico aziendale, e per questo –

almeno per quanto attiene all’attività in monopolio tecnico delle reti –

c’è da supporre la copertura dei nuovi costi al pari degli altri

investimenti.

8

Paper n. 3/ 2015 - Cyber Security Energia

9

L’approccio a questo tema si sviluppa ancora dal basso attraverso il dialogo

tra singole divisioni di aziende, mentre la trasversalità del tema dovrebbe

invece portare le aziende a trattarlo con un approccio olistico dall’alto ed in

coordinamento con le istituzioni preposte alla sicurezza nazionale.

Per portare all’attenzione del top management (CEO e CSO) il tema della

sicurezza informatica c’è bisogno in primis della definizione di una

metodologia di identificazione/quantificazione del rischio informatico da

dare al board of management come strumento per capire l’impatto che

l’insicurezza informatica può avere sulla continuità/operatività del business.

C’è ampia condivisione tra i soggetti interpellati sul perché la

consapevolezza del rischio informatico non arriva ai livelli alti aziendali,

mentre c’è una certa consapevolezza a livello accademico: oltre alla

mancanza di normative e compliance, pesano l’incapacità di spiegare in che

modo le soluzioni di cyber security facciano aumentare i guadagni e

l’incapacità a identificare le possibili perdite.

Non secondaria anche la difficile valutazione degli impatti reputazionali di

eventuali défaillance, che porta in ogni caso ad adottare strategie di

minimizzazione e sottovalutazione del danno, fino a nasconderlo. Al

contrario è opportuno chiedersi se il pubblico, anche il più vasto, non sia

ormai maturo e conscio delle problematiche di sicurezza informatica. Si veda

al proposito la strategia di informazione generalizzata adottata in Gran

Bretagna.

10

Paper n. 3/ 2015 - Cyber Security Energia

Nella percezione degli operatori, come già emerso nella 1ª Conferenza del

2014, un altro aspetto particolarmente grave è la mancanza di scambi

informativi, soprattutto da parte delle utility. D’altro canto deve essere

soprattutto il cliente finale a chiedere più sicurezza; ma già questo fatto è

vissuto come una ammissione di debolezza. Invece, oggi, si discute di Scada

Security e di Security delle tecnologie di telecontrollo come prassi

consolidata.

Questa difficoltà allo scambio di dati e informazioni non è solo italiano, e

quindi è stata segnalata l’opportunità di dedicare attenzione e fare

riferimento a quei Paesi che appaiono più avanzati. È il caso degli Stati Uniti,

dove è stato lo stesso presidente Obama a prendere in mano la situazione,

promuovendo con forza una maggiore interazione tra pubblico e privato e la

condivisione delle informazioni.

Lo scorso 13 febbraio 2015, Obama, nel corso di un vertice sulla

Cybersecurity e Tutela dei Consumatori con i manager delle utility e delle

principali aziende americane, presso la californiana Stanford University di

Palo Alto - in piena Silicon Valley - ha auspicato una più stretta cooperazione

nella difesa contro gli hacker perché “Il governo non può farlo da solo. Ma il

fatto è che anche il settore privato non può farlo da solo, perché è il

governo che ha spesso le ultime informazioni sulle nuove minacce".

Coerentemente l’amministrazione americana ha deciso di accentrare le

competenze cyber rispetto all’organizzazione delle numerose agenzie di

11

12

sicurezza nazionale e il potenziamento della cooperazione con i Paesi alleati.

Sono queste le basi su cui è stato pensato ed entrerà in funzione il Cyber

Threat Intelligence Integration Center, nuova unità dedicata ad affrontare la

minaccia cyber negli Stati Uniti, nata sotto l’egida della Casa Bianca e del

Department of Homeland Security e inserita nell’Office of the Director of

National Intelligence.

È evidente che l’Italia dovrà presto seguire un percorso analogo, lavorando

sul processo di difesa complessivo del Paese con investimenti più forti e

urgenti sull’intelligence. È chiaro che la Cyber Security, lo spionaggio e la

minaccia terrorista ormai si sovrappongono. La risposta al rischio non può

che essere un approccio integrato con fonti di intelligence e informazioni

che guardino anche alla sicurezza fisica, come ad esempio nei flussi video in

prossimità di infrastrutture critiche e nelle città.

In conclusione resta fondamentale quanto già detto nella relazione: “La

sicurezza informatica: ciò che un decisore deve sapere”, sempre presso il

Centro Alti Studi della Difesa, nel recente convegno del 25 marzo 2015 dalla

professoressa Elisabetta Zuanelli nell’ambito dell’incontro incentrato sulle

Sfide Globali, che si adatta perfettamente e che anzi dovrebbe trovare

proprio nel settore energetico la primaria applicazione.

Il documento presentato richiama tre ambiti problematici di riferimento

concettuale in sicurezza informatica per la decisione istituzionale e dei

manager di impresa:

13

nozioni e definizioni, come: cyber spazio, la sicurezza informatica, la

criminalità informatica, il cyber crimine ware, etc.

l'assunto condiviso delle conoscenze: indagine / analisi, le applicazioni, la

difesa, la resilienza;

le strategie condivise: collaborazione pubblico-privato, le strategie

nazionali e internazionali di sicurezza informatica.

Le ipotesi alla base di tali aree concettuali dovranno essere nuovamente

esaminate dal punto di vista esterno che preme per una collaborazione più

veloce e soluzioni concrete a livello globale. Per fare questo la riflessione si

concentra sul rapporto tra sicurezza e reati informatici, chi sono i giocatori /

attori, quali sono le implicazioni, quali le soluzioni.

14

Paper n. 3/ 2015 - Cyber Security Energia

15

Cyber Security Energia Percorso 2015

Un tavolo di lavoro tra operatori per alzare il livello di attenzione

Energia Media si è proposta di mettere in network le varie

componenti della filiera energetica e dell’ICT insieme con le

istituzioni che sono deputate alla governance della sicurezza

cibernetica, al fine di favorire un efficace coordinamento tra i vari

soggetti che dovranno accompagnare il processo di integrazione

dei sistemi energetici senza pregiudicarne la sicurezza.

L’obiettivo principale è un dialogo tra soggetti che devono

necessariamente comunicare l’uno con l’altro, con sempre più

continuità: il mondo delle Istituzioni e delle Energy Company, che

portano servizi e tecnologie all’attenzione del settore. L’idea è

approfondire il tema della cyber security non in termini generali

ma in un settore evidentemente fra i più strategici, quello

dell’energia.

Per calarsi nell’operatività, nella concretezza per aiutare il decisore

di alto livello a implementare una catena anche normativa.

16

“Sicurezza informatica, tema strategico irrinunciabile”

Cyber Security EnergiaApprofondire il tema della sicurezza informatica con soggetti qualificati

Creare gruppi di lavoro

Confrontarsi con i decisori

www.cybersecurityenergia.it è un luogo privilegiato  in cui trovare infor-

mazioni, approfondimenti e opinioni relativi alla sicurezza informatica in

un comparto di primaria importanza come quello energetico. Il primo

sito web italiano dedicato alla sicurezza informatica in ambito energy e utility.

Workshop, Convegni, Tavoli di lavoro: sono i momenti di incontro e

confronto organizzati fra le diverse componenti interessate al tema del-

la sicurezza informatica. Energia Media ha già organizzato tre incontri

sul tema: due Workshop preparatori (Roma, 10 dicembre 2013 e Mila-

no, 19 febbraio 2015) e la Iª Conferenza Nazionale presso il Centro Alti

Studi della Difesa (Roma, 3 luglio 2014) a cui hanno partecipato i princi-

pali soggetti coinvolti: Istituzioni, imprese e utility.

.

Approfondimento e analisi: Working Paper, Position Paper e Report so-

no gli strumenti utilizzati per mettere in circolo le idee e per porle

all’attenzione dei decisori (Report 1ª Conferenza Nazionale).

Imprese, istituzioni, associazioni e ricerca. Il percorso dà l’opportunità

di incontrare i target di riferimento, stabilire relazioni, creare un grup-

po di lavoro in ottica precompetiva

17

CyberSecurity Energia.it

Eventi

Idee

Network

Il sito CyberSecurityEnergia.itGli incontri,la Conferenza Nazionale

Gli approfondimenti, le ideeIl network e le relazioni

Cyber Security Energia è anche un momento di incontro tra Istituzio-ni, aziende ed esperti per dibattere e confrontarsi su tecnologie, quadro normativo, governance e scenari internazionali nell’ambito della sicurezza informatica.

18

2ª Conferenza Nazionale Cyber Security Energia Roma / 24 settembre (CASD Centro Alti Studi della Difesa)

Eventidettaglio

La 2ª Conferenza Nazionale Cyber Security Energia

Tavolo lavoro programmatico Cyber Security EnergiaStrategie di comunicazione, azioni nei confronti di imprese e decisori istituzionali, agenda 2ª Conferenza Nazionale Cyber Security Energia

Milano / 24 giugno

In collaborazione con

For sustainable energy.

Workshop Cyber Security EnergiaPresentazione Position Paper, incontri con Energy Company e Utility, presentazione programma 2016

Bologna / novembre

Ogni incontro è seguito dalla pubblicazione di un Report digitale che fissa le idee, i temi e le proposte emerse durante gli incontri.

Il Report racchiude gli interventi dei principali soggetti coinvolti sul tema della sicurezza informatica, ponendosi come un utile strumento sul quale porre le basi del dibattito sulla Cyber Security.Ogni documento avrà ampia diffusione e sarà presentato alle Istituzioni e ai decisori politici. (Report Cyber Security Energia)

Il sito web www.cybersecurityenergia.it è a disposizione di operatori e soggetti coinvolti o interessati al tema della sicurezza informatica in ambito energy. Invia alla nostra Redazione comunicazioni e news che riguardano la tua impresa: tecnologie, case study, idee.

19

Report dettaglio

Web site

Contattaci: comunicazione@energiamedia.it

20

PAPER 3/2015 - CYBER SECURITY ENERGIA

21

Energia Media Milano / Roma

comunicazione@energiamedia.it

www.energiamedia.it