Report 2ª Conferenza Nazionale Cyber Security Energia

Cyber Security Energia 2015 Il Report della 2ª Conferenza Nazionale CSE

Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in pro-grammi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder.

Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel cam-po dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility.

ii

Energia Media

©Energia Media, febbraio 2016

DirettoreEmanuele Martinelli

Gestione del progettoAlessandro Seregni

Hanno collaboratoAnna Galbiati, Marta Mazzanti

Immagini ©Shutterstock

Energia Media Sede di MilanoVia Soperga, 16 - 20127 Milano Tel. +39 02.78622540 Fax +39 02.78622540Sede di RomaV.le Trastevere, 40 - 00153 RomaTel. +39 06.5810501 email: comunicazione@energiamedia.itwww.smartcityitalia.netwww.industriaenergia.itwww.cybersecurityenergia.itwww.acquaoggi.it

http://issuu.com/energiamedia/docs/energia_media_-company_profile?e=0

http://issuu.com/energiamedia/docs/energia_media_-company_profile?e=0

mailto:[email protected]


http://www.smartcityitalia.net


http://www.industriaenergia.it


http://www.cybersecurityenergia.it


http://www.acquaoggi.it


3

Cyber Security Energia 2015 Il Report della 2ª Conferenza Nazionale CSE

La 2ª Conferenza Nazionale Cyber Security Energia prosegue il percorso della 1ª, tenuta-

si il 3 luglio 2014, e dei numerosi momenti di confronto che si sono susseguiti a

Milano e Roma.

La collaborazione con Deloitte e WEC Italia, il coinvolgimento delle imprese tecno-

logiche e delle società energetiche di riferimento del Paese garantiscono al per-

corso strutturato da Energia Media profondità di contenuti e continuità di relazioni

tra soggetti industriali e istituzioni.

Il presente Report prende spunto dalle riflessioni emerse durante la 2ª Conferenza

Nazionale Cyber Security Energia CSE, svoltasi a Roma, il 24 settembre 2015,

presso il CASD, Centro Alti Studi della Difesa.

5

Cyber Security Energia 2ª Conferenza Nazionale

24 settembre 2015CASD Centro Alti Studi della Difesa

Palazzo Salviati, Piazza della Rovere 83, Roma

in collaborazione con

con il supporto di

con il patrocinio di

6

InterventiDiego GAVAGNIN.............................................................................................................................................................p.8

Senior Advisor Energia MediaMassimiliano DEL CASALE............................................................................................................................................... p.10

Gen. C.A., Presidente CASD - Stato Maggiore della DifesaLuca LO SCHIAVO..............................................................................................................................................................p.11

Responsabile Unità Regolazioni Caratteristiche e Innovative (RCI) - AeegsiMarco MARGHERI..............................................................................................................................................................p.12

Vice Presidente - WEC Italia

7

Alessandro ORTIS...............................................................................................................................................................p.16

Co-Presidente della Commissione Sviluppo della Assemblea Parlamentare del MediterraneoAntonio PENNASILICO...........................................................................................................................................p.19

Comitato Direttivo - ClusitLuigi MARTINO...................................................................................................................................................................p.23

Research Assistant Phd Course Cyberspace and International Relations - Università degli Studi di FirenzePaolo CIOCCA.....................................................................................................................................................................p.26

Vice Direttore, Dip.to delle Informazioni per la Sicurezza (DIS) - Presidenza del Consiglio dei Ministri Luigi RAMPONI...................................................................................................................................................................p.28

Presidente Centro Studi Difesa e Sicurezza (CESTUDIS)Stefano BUSCHI..................................................................................................................................................................p.32

Partner Deloitte, Cyber Risk Services Leader Italia - DeloitteRaffaele TISCAR.........................................................................................................................................................................p.36

Vice Segretario Generale - Presidenza del Consiglio dei MinistriRita FORSI..................................................................................................................................................................................p.40

Direttrice ISCOM - Ministero dello Sviluppo EconomicoAndreas MITRAKAS..................................................................................................................................................................p.43

Head of Unit - Quality & Data Management - ENISAMassimo ROCCA.......................................................................................................................................................................p.45

Head of Information Security Unit - Enel Security ItalyAndrea CHITTARO....................................................................................................................................................................p.46

Chief Security Officer - SnamGiancarlo CAROTI.....................................................................................................................................................................p.46

Responsabile Information Security - TernaGilberto DIALUCE.....................................................................................................................................................................p.48

Direttore Generale Sicurezza Energetica - Ministero Sviluppo EconomicoGiovanna DONDOSSOLA.........................................................................................................................................................p.52

Senior Scientist - Transmission&Distribution Technologies Department - Ricerca Sistema Energetico - RSEMichele MINICHINO.................................................................................................................................................................p.53

Coordinator of Critical Infrastructure Protection Program - ENEAAlessandro CATTELINO...........................................................................................................................................................p.56

ICT Manager - IRENAndrea GUARINO.....................................................................................................................................................................p.57

Responsabile Security, Privacy & Compliance - Funzione ICT - ACEAMassimiliano MANDOLINI........................................................................................................................................................p.58

Selex ESNicola GATTA......................................................................................................................................................................p.59

Direzione Marketing & Industry Management - Certiquality Antonio FORZIERI.....................................................................................................................................................................p.60

Cyber Security Practice Lead, EMEA - SymantecAntonio IERANÒ.....................................................................................................................................................................p.61

Enterprise BG Cyber Security OfficeDomenico RAGUSEO................................................................................................................................................................p.62

Manager of Europe Security Technical Sales and Solutions - IBMAngelo PERNIOLA.....................................................................................................................................................................p.63

Senior Consultant Advanced Cyber Defense - EMEA - RSARoberto BALDONI.....................................................................................................................................................................p.65

Direttore Centro Cyber Intelligence and Information Security, Università “La Sapienza”, Roma

Mentre tutto sembrava in lenta ripresa, ecco una nuova crisi, un alternarsi di crolli e ri-

prese in Borsa mentre la sfiducia cresce. E le crisi finanziarie ed economiche ma anche

sociali hanno sempre come motore sotterraneo la sfiducia, che crea paura nel futuro.

Tutti allora si chiudono in loro stessi; c’è chi si tiene il denaro in tasca, chi compra i lin-

gotti d’oro. Impieghi improduttivi.

Risultato: tutto si ferma e chi rimane fermo poi alla fine cade. Come i soldati della Regi-

na davanti a Buckingham Palace. Adesso ci si interroga ad alta voce sui motivi di que-

sta crisi perché non si riesce a vedere l’innesco. Saperlo potrebbe ridare un po’ di fidu-

cia, perché già conoscere cosa è successo dà tranquillità e fa tornare la sicurezza di chi

pensa di poter reagire. Viene in mente il battito della farfalla, che muove un po’ d’aria

in Brasile e a noi arriva una burrasca, oltre l’oceano. Ecco, è la globalizzazione dell’eco-

nomia e della finanza, giunta ai suoi estremi immaginabili, grazie allo sviluppo della ci-

bernetica. Nella complessità globale tutto è noto e quindi invisibile. Come non vedia-

mo la farfalla, e forse mai riusciremo a vederla, così non riusciamo e sempre meno ri-

usciremo, a capire cosa accade, cosa è accaduto.

Chissà qual è il grado di fiducia dei trader nei computer e nei programmi che usano,

nella stessa rete, mentre decidono se vendere o comprare, magari perché hanno appe-

na letto una strana notizia nella cronaca nera di Hong Kong, o una telefonata gli ha fat-

to cambiare umore. Poi scatta il trend che si auto avvera. Si vede uno scambio al ribas-

so, lo si segue, arrivano altri scambi, aumenta l’idea che sia in atto una forte discesa e

si vende; e così tutti gli altri. Scattano dunque gli allarmi e le quotazioni vengono so-

spese. Ma è la sospensione stessa che drammatizza la situazione e alla riapertura tutti

tornano a vendere. Accade così anche in caso di rialzo, quando si passa da più 5 a me-

no 5 nella stessa giornata. Deve ancora crescere e svilupparsi la cultura dell’ignoto, la

capacità di recepire i giusti segnali e sopravvivere nell’incertezza. Quante centinaia di

8

Introduzione

Diego GAVAGNINEnergia Media

migliaia di anni ci sono voluti per superare la paura della fine della savana, dell’inizio

della foresta, dell’arrivo del deserto mai visto prima. La paura dell’oltre: oltre le monta-

gne, oltre i fiumi. O la visione del mare così lontano e presente e tanto calmo quanto

folle e tempestoso in poche ore. Eppure bisognava navigare e lo si faceva. Ecco i miti

che spiegano l’ignoto e lo rendono familiare, tollerabile. Ma ahimè la stagione dei mi-

ti è finita, perché sappiamo come sono nati e a cosa sono serviti. Da qualche millen-

nio ci siamo protetti vivendo sulla difensiva, costruendo città murate, Stati, eserciti. Il

concetto di difesa del territorio, del mare, dell’aria, ci è ben radicato e tutta la società

sa come essere allerta e cosa fare se arrivano minacce.

La nuova dimensione cibernetica è invece un cambiamento di stato, una rivoluzione in

atto di cui non vediamo ancora limiti e capacità espansiva. Non possiamo metterci ma-

no, così come non sappiamo mettere le mani sul nostro computer, mentre sapevamo

bene come impugnare un’arma. Eccoci tornati all’incertezza, con i rischi di rimozione

del problema e con il nascondersi in silenzio, in un angolo. Prevale l’idea che debba

pensarci qualcun altro, mentre la difesa cibernetica, che siano attacchi o errori, è un pro-

blema sia individuale sia collettivo. Così come ogni altro spazio esso riguarda ciascuno

di noi, e insieme le aggregazioni sociali, i quartieri, le città, le imprese, la comunità. È

un fatto culturale, ma di cultura globale, non regionale. Non c’è più una guida, né un

Paese leader che decide per tutti, né due nazioni che, pur in contrasto, dettano linee

di condotta da seguire. Poi sappiamo che non c’è spazio, né fisico né “immateriale”,

senza energia. Le aziende del settore sono infatti le più esposte agli attacchi di panico

informatico proprio in considerazione della loro importanza economica, politica e stra-

tegica. Il prezzo del petrolio ha perso l’8% e guadagnato il 5% nello stesso giorno!

Non c’è più neanche il tempo di controllare una statistica, mentre i listini ballano. Inuti-

le chiamare gli esperti; anche i più bravi, certamente, conoscono il mondo, ma quello

vecchio. A tutto questo si aggiunge l’incertezza sulla tenuta delle difese informatiche

vere e proprie, quelle che devono proteggere da attacchi veri, non da panico. Eppure

nelle situazioni di crisi almeno la sicurezza e la fiducia nei propri strumenti devono es-

sere l’ultimo baluardo come lo era sul filo della spada, sulla tenuta del ferro. La segre-

tezza sugli attacchi che tutti sanno che ci sono - anche se sempre negati - contribuisce

al clima negativo. Nel mondo della produzione dell’energia il problema non è il pro-

prio computer, è la tenuta delle reti. Concentrati sull’ombelico non si vede il panora-

ma e quando lo si guarda ci si spaventa. Sviluppare la coscienza della sicurezza infor-

matica se non globale almeno aziendale, come quella nazionale, può non essere la so-

luzione finale, ma certo può dare una mano.

9

L’innovazione tecnologica avanza a una velocità inaspettata fino a

pochi anni fa e si espande con altrettanta rapidità a tutta la società.

Il fatto che non si possa prescindere da strumenti di comunicazio-

ne informatici e da sistemi informatizzati ha comportato, di con-

tro, anche l'insorgere di notevoli situazioni di vulnerabilità. Prima

fra tutte quella riguardante la sicurezza e, dunque, la tenuta di

questi sistemi, anche in considerazione dell’enorme quantità di

dati – correlati e necessari a noi tutti – da dover processare nella

maniera più efficace e più rapida. Lo spazio stesso della comuni-

cazione può essere paragonato a una terra di confronto, una sor-

ta di campo di battaglia dove operano sia le grandi strutture in-

ternazionali sia le organizzazioni criminali e terroristiche sia i sin-

goli soggetti in possesso di una conoscenza e di un know-how

avanzati; essi con poche risorse finanziarie hanno la capacità di

penetrare nei sistemi informatici e nelle banche dati e, conse-

guentemente, di condizionare il funzionamento stesso delle co-

municazioni tra le società. In questo senso è indispensabile dedi-

care grande spazio al tema della sicurezza, a partire dalla forma-

zione di coloro che si troveranno ad operare in settori strategici.

Partendo dalla nostra scuola - il Centro Alti Studi della Difesa -

che ha deciso di dedicare diversi corsi proprio alla trattazione al te-

ma della cyber security.

10

Massimiliano DEL CASALECASD

Riflessioni introduttive

La questione della cyber security sta uscendo dalle élite ristrette di

specialisti in cui si è sviluppata inizialmente e sta diventando, pro-

gressivamente, senso comune della vita delle imprese energetiche

E non solo delle imprese: anche degli uffici di regolazione. Que-

st'anno, i regolatori nazionali dell'energia, riuniti nella loro associa-

zione europea CEER, sollecitati da ENISA, hanno avviato un primo

lavoro di confronto interno sulla cyber security, da cui sta emergen-

do un panorama diversificato che può fornire indicazioni concrete

di benchmarking per la diffusione delle migliori pratiche regolato-

rie. In un futuro anche breve, potrebbe essere coinvolta ACER,

l'agenzia europea per la cooperazione dei regolatori dell'energia

costituita nel 2011 sulla spinta del cosiddetto terzo pacchetto euro-

peo sul mercato interno dell'energia. Benché il settore dell'energia

sia in prima linea sul fronte della cyber security, per l'essenzialità

assoluta dei servizi energetici, non dobbiamo scordare che i temi

di prevenzione e mitigazione delle vulnerabilità cibernetiche sono

per loro natura "cross-sector", intersettoriali e pervasivi esattamen-

te come la tecnologia ICT su cui si basano. La risposta non può

quindi che essere anch'essa intersettoriale, sebbene ogni settore

abbia le proprie specificità. Come regolatore del settore energia,

nel 2015 abbiamo avuto due occasioni di toccare il tema della cy-

ber security: dapprima con una consultazione, nel mese di giugno

2015, sul tema della diffusione su larga scala dei sistemi intelligenti

di distribuzione, o "smart distribution system" (consultazione n. 255/

2015); e di recente, con la consultazione sui requisiti funzionali dei con-

tatori elettronici di seconda generazione. Queste due circostanze se-

gnalano che la cyber security è prima di tutto una questione di proget-

tazione dei servizi, dei processi e dei componenti tecnologici del gran-

de sistema energetico nazionale e in prospettiva europeo. Un sistema

sottoposto a un grande pressione di innovazione, in questa fase carat-

terizzata da nuove tecnologie di produzione e di utilizzo, nuovi ruoli,

ibridazione tra generazione e consumo, nuove regole.

Sotto la spinta di comunicazioni ansiogene, si tende a vedere il

nuovo come fonte di rischio cibernetico, mentre bisogna riflettere

Luca LO SCHIAVOAEEGSI

11

sul fatto che l'innovazione è anche l'occasione per eliminare le vul-

nerabilità del passato, che sono forse meno evidenti ma non meno

pericolose.

Il termine resilienza è utilizzato con sempre maggiore frequenza an-

che nell'ambito energetico. Davanti a eventi estremi, la resilienza

dei sistemi energetici dei Paesi è uno dei primi pilastri a essere

messa in crisi. Nel 2014 la quantità di eventi capaci di generare im-

patti sul funzionamento delle infrastrutture energetiche è stata

quattro volte superiore a quelle registrate negli anni Ottanta.

Le imprese energetiche si sono abituate a costruire le condizioni,

tramite processi e strumenti sempre più avanzati, per continuare a

funzionare nonostante le situazioni di emergenza. Inoltre, c'è la ne-

cessità di dare stabilità al Paese. Quando i servizi e le capacità tec-

nologiche sono parte della quotidianità di ognuno e sono vitali sia

per le infrastrutture che per i singoli cittadini, diventa fondamenta-

le la loro integrità dal punto di vista fisico, digitale e della loro di-

mensione cibernetica e tecnologica. I rischi non riguardano più so-

lamente il mondo dei sistemi informativi. Anche guardando al setto-

re energetico – strategico per ogni nazione – è indispensabile che

la pubblica amministrazione, il governo, i legislatori abbiano le ri-

sorse per dotarsi di una competenza che evolva nel tempo e che

sia in grado di stare al passo con i rapidi e quasi quotidiani muta-

menti e aggiornamenti.

È urgente stabilire una strategia in grado tanto di prevenire gli at-

tacchi come di reagire a essi in modo coordinato. Per ottenere risul-

tati concreti e soddisfacenti è tuttavia fondamentale superare la di-

vergenza di punti di vista e la scarsa comunicazione tipiche del rap-

porto pubblico-privato. Bisogna testare un nuovo modo di collabo-

rare e di condividere le preoccupazioni, i processi e le competenze.

12

Marco MARGHERIWEC Italia

Visione, politica e regole

Parlare di sicurezza informatica significa focalizzare l’attenzione su questioni che sono di-

ventate e - sempre più - stanno diventando cruciali per ogni aspetto della vita socio-eco-

nomica e culturale della nazione. Questioni di primaria importanza, all’interno delle qua-

li i sistemi energetici hanno una collocazione di rilievo, considerando l’importanza che

rivestono per il progresso della condizione umana e di quello stesso del pianeta.

Il settore energetico è un settore strategico fondamentale che chiede di essere gestito,

trattato e sviluppato in modo da assicurare sempre sicurezza, adeguatezza e competitività.

L’energia fa parte di ogni momento del nostro quotidiano, è strumento fondamentale

per far progredire la qualità della vita, per raggiungere i successi economici, per genera-

re cultura. È chiave di volta anche per quanto riguarda le relazioni internazionali e la tute-

la dell'ambiente. In una parola è colonna portante – o una delle colonne portanti – di

quello che si definisce sinteticamente sviluppo sostenibile. L’incrocio tra l'energia e la

cibernetica dà origine a un ambito estremamente importante dove – come enunciato

dal titolo della prima sessione della 2ª Conferenza nazionale – è fondamentale avere vi-

sione, politiche e regole chiare. E nell’ambito della cyber security, lato energy, la necessi-

tà di uscire da una situazione di incertezza, confusione e assenza di regole è prioritaria.

Quindi se non si vuole la presenza di zone franche o dove regni il caos è urgente opera-

re per avere dei quadri normativi di riferimento il più possibile ben disegnati, ben manu-

tenuti e rispettati; quadri normativi e assetti di governance che derivino da scelte politi-

che, a loro volta, riferite a una visione dinamica, sempre più ampia e complessiva del

problema della sicurezza informatica.

In questo senso non basta stabilire le regole o colmare i vuoti normativi. È fondamenta-

le anche tenere queste norme sempre aggiornate e monitorate, in linea con altri quadri

normativi, in maniera che possano guidare proattivamente gli sviluppi positivi. Infatti,

tanto quello energetico come quello cibernetico sono settori bisognosi di attenzioni

continue e proattive da parte regolatoria. Sono almeno 4 le macrofasi della filiera ener-

getica fra le più esposte al rischio cibernetico.

16

Alessandro ORTISCommissione Sviluppo della Assemblea Parlamentare del Mediterraneo

Prospettive e programmi internazionali

La prima fase riguarda l'approvvigionamento delle risorse (oil&gas, elettricità e altro) e,

nello specifico, i mercati di approvvigionamento. Per un continente l’Europa e, in parti-

colare, per una nazione come l’Italia fortemente dipendente dalle importazioni non c'è

dubbio che il mercato di approvvigionamento sia materia particolarmente sensibile.

Per quanto riguarda gli idrocarburi, il nostro Paese si rivolge ad aree politicamente insta-

bili, quali Libia, Medio Oriente, Ucraina e Russia, dove si giocano delle partite di portata

colossale. Mercati nei quali la forte concorrenza e i grandi interessi in gioco possono ren-

dere molto delicata la questione dei possibili attacchi informatici. Il tema della sicurezza

informatica è di particolare rilevanza per quei Paesi che dipendono dalle importazioni,

considerando le implicazioni che l’acquisto da Paesi terzi ha sulle rotte sia marine che

aeree, sui collegamenti transfrontalieri, sulle infrastrutture e su tutto ciò che riguarda

l’approvvigionamento.

Poi esiste il problema legato alla produzione interna, alla scoperta dei giacimenti, alla

gestione delle centrali elettriche, alla produzione distribuita che sempre più trova spazio

e sviluppo e che rende ancor più complicato il modo di attrezzare il sistema e di difenderlo.

Nello stesso tempo, le fonti rinnovabili o le micro unità distribuite sul territorio non pos-

sono ignorare la questione cyber security: anch’esse, infatti, in quanto telecontrollate,

telesorvegliate, telecomandate, devono essere parte di un sistema armonico, coordina-

to, finemente gestito e protetto.

La difesa da attacchi informatici non si può dunque limitare alle infrastrutture interne di

una nazione, ai suoi impianti di stoccaggio, alle sue grandi reti di trasporto e di distribu-

zione dell’energia ma deve estendersi fino ai noi consumatori, alle nostre abitazioni, ov-

vero fino a quei contatori che, in un futuro ormai prossimo, saranno sempre più “intelli-

genti”. Strumenti tecnologici interconnessi che funzionano grazie anche all'informatica

ed alla relativa sicurezza. La cyber security, oltre che in termini di difesa e buona funzio-

nalità del sistema, può essere vista anche nell’ottica di sviluppo di opportunità di busi-

ness. Immaginando e mettendo a disposizione nuove combinazioni prodotti-mercati,

servizi-mercati; innovazione e ricerca e sviluppo dedicato al settore. In questo senso l’Ita-

lia e le aziende italiane possono ben cogliere delle opportunità industriali nei settori della

softwaristica, dell’hardware e della componentistica.

Quindi la sicurezza informatica va vista non solo come un ennesimo e fastidioso problema

da risolvere ma come una grande opportunità di sviluppo, considerando il contesto in con-

tinua mutazione, con confini sempre più ampi e sconosciuti.

In conclusione, per operare al meglio in un contesto di Cyberwarfare mondiale serve sem-

pre più collaborazione e cooperazione tra istituzioni, operatori e cittadini a livello di singo-

17

lo Paese, a livello di Unione europea e a livello internazionale. C'è bisogno di iniziative dinamiche, in

profondità e proattive. Ciò significa considerare pure tre aspetti: la sensibilizzazione e la formazione;

gli investimenti; l’implementazione rapida dei progetti.

18

Proviamo a considerare la questione della sicurezza informatica da un altro punto di vi-

sta, ovvero quello quella sensibilizzazione e della collaborazione.

Per i non addetti ai lavori, il mondo digitale e virtuale sono poco concreti, come i perico-

li che li riguardano. Purtroppo anche le imprese non sempre comprendono la portata e

le conseguenze negative delle problematiche di cyber security quali un attacco alla sicu-

rezza informatica di un determinato sistema. Un’affermazione che diventa molto preoc-

cupante quando le imprese in questione operano in campi sensibili e strategici, come

quelle energetiche.

Dati alla mano e allarmati per il quadro che emergeva dalle nostre analisi dei dati relati-

vi al 2013, avevamo intitolato un capitolo del Rapporto Clusit 2014 « L’insicurezza infor-

matica è il “new normal” » (non senza attirare qualche critica).

Date le premesse, come era purtroppo lecito attendersi l’interminabile sequenza di at-

tacchi informatici registrati nel 2014, caratterizzati da un costante aumento della gravità

degli impatti per le vittime, non solo ha confermato la nostra ipotesi ma, interpretando

con attenzione le dinamiche che stanno alla base di questi fenomeni, ci induce a segna-

lare l’emergenza di un nuovo paradigma, ovvero che non è più possibile utilizzare stru-

menti informatici senza, per questo stesso fatto, essere costantemente sotto attacco.

Parafrasando la Prof. Shoshanna Zuboff della Harward Business School, che negli anni

Ottanta del secolo scorso affermava “tutto ciò che può essere informatizzato lo sarà”, po-

tremmo dire che siamo giunti al punto in cui “tutto ciò che può essere attaccato lo sarà”.

Questo perché i malintenzionati (indipendentemente dalla loro natura e dai loro scopi),

attirati da sostanziosi guadagni (economici e non) sono aumentati di numero, si sono or-

ganizzati, ed hanno a disposizione strumenti sempre più sofisticati, che possono adatta-

re e sostituire al bisogno con stupefacente rapidità, acquistandoli a costi mediamente

irrisori in un immenso mercato underground di prodotti e servizi cyber criminali che ha

tutte le caratteristiche di un’industria high-tech di prim’ordine, con l’aggravante che que-

sta particolare industria gode del “vantaggio competitivo” di essere totalmente non re-

golamentata e di non essere soggetta ad alcun tipo di limitazione (salvo il contrasto del-

le Forze dell’Ordine). Inoltre va sottolineato che i criminali si avvalgono (ormai da anni)

di strumenti totalmente automatizzati, in grado di colpire milioni di sistemi in poche ore,

il che consente loro di cambiare tattiche e strategie in tempo reale e di operare senza

interruzione da qualsiasi punto del pianeta.

19

Antonio PENNASILICOClusit

Questo approccio sistematico è molto facilitato dalla diffusione endemica di vulnerabili-

tà non gestite e dalla situazione di sostanziale “monocultura” tecnologica che si è determi-

nata negli anni, la quale rende particolarmente efficace questo genere di automazione

degli attacchi informatici, e genera pericolose “economie di scala” a favore degli attaccanti.

Il problema infatti non è meramente tecnologico. La ragione principale per cui gli attac-

canti hanno la meglio è economica, e risiede nella crescente asimmetria tra i differenti

“modelli di business”: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo

malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopporta-

to dai difensori (ancora legati ad un modello reattivo, e dunque incapaci di anticipare le

mosse degli avversari) è di milioni di dollari . A titolo di esempio il malware BlackPOS, in

vendita per 1.800 dollari nel mercato underground, che contiene ben otto componenti

“riciclate” e già note da anni, nel 2014 (considerando due soli attacchi) ha causato dan-

ni accertati per 62 milioni di dollari a HomeDepot, e per 148 milioni a Target.Va qui anche ricordato che nel corso del 2014 è (purtroppo) venuto a cadere il “mito”

della superiorità dell’Open Source (ed in particolare di Linux) dal punto di vista della sua

maggiore sicurezza intrinseca, a seguito della scoperta di vulnerabilità gravissime, pre-

20

senti da anni nel codice di importanti componenti, sfuggite al vaglio della “Community”

principalmente per mancanza di risorse.

Per quanto le principali distribuzioni siano state corrette in tempi brevissimi, consideran-

do che moltissimi sistemi embedded costantemente connessi in rete come router casa-

linghi, appliance di ogni genere, telecamere di sicurezza, stampanti, vending machines,

smart tv, giochi per bambini (etc.) contengono una qualche variante di Linux nel proprio

rmware, e che tutti questi miliardi di sistemi difficilmente riceveranno patch per vulnera-

bilità come Heartbleed, ShellShock o Poodle, si comprende quanto sia davvero grave il

problema. Un simile scenario di “industrializzazione delle minacce”, unito alla bassa sicu-

rezza presente nei sistemi informatici in generale, modifica sostanzialmente tutti i ragio-

namenti fatti finora in termini di gestione del rischio informatico e di valutazione degli

economics (e quindi del ROI) dell’ICT, e richiede a tutti (utenti finali, vendor, istituzioni

civili e militari, imprese) un ripensamento profondo delle strategie di implementazione

di nuovi prodotti e servizi basati sull’informatica e sulla rete.

Infine, non vanno sottovalutati i possibili effetti sistemici di quanto sopra. Da un lato sofi-

sticate tecniche di attacco sviluppate da team governativi (anche queste poi “riciclate”

dall’underground criminale, come nel caso del malware Gyges) sono già usate su larga

scala da un certo numero di nazioni con finalità di spionaggio e di infiltrazione dei siste-

mi altrui, allo scopo di fare “pressione” sui bersagli e/o di poterli danneggiare o disatti-

vare, e dall’altro strumenti analoghi stanno entrando nella disponibilità di organizzazioni

terroristiche, che si approvvigionano tramite gruppi cyber criminali. Le possibili conse-

guenze di questa selvaggia corsa ai cyber-armamenti (ambito non normato a livello inter-

nazionale) sono francamente straordinari, e non riguardano solo le cosiddette “infrastrut-

ture critiche” definite come tali in base alle normative, ma una quantità crescente di ser-

vizi erogati da aziende private e da pubbliche amministrazioni che, se resi indisponibili a

seguito di un attacco, creerebbero enormi disagi alla popolazione e, in certi scenari, an-

che perdite di vite umane.

La comprensione dei fenomeni sopra discussi dovrebbe spingere tutti i responsabili

(non solo in ambito ICT) a rivedere con estrema urgenza le proprie attuali politiche di ge-

stione del rischio informatico (quando esistenti) o convincerli ad adottarne, innalzando i

livelli di investimento in formazione, processi e strumenti deputati alla sicurezza ciberne-

tica, che allo stato attuale si dimostrano ancora palesemente inadeguati, sia perché trop-

po limitati, sia perché orientati nella maggioranza dei casi a forme di difesa reattiva “tra-

dizionali” e statiche che ormai non tengono più il passo con l’evoluzione delle minacce.

21

Osserviamo con estrema preoccupazione che purtroppo ciò non sta ancora accadendo.

Manca attenzione per i fenomeni in atto, si confondono ancora gli investimenti in com-

pliance (certamente necessari) con quelli in sicurezza, non esistono forme di coordina-

mento né di “mutuo soccorso” per esempio tra partner o tra clienti e outsourcer, i con-

tratti non tengono ancora debitamente conto dell’aumentata rischiosità dell’ICT, le pos-

sibilità di trasferimento dei rischi “cyber” tramite polizze assicurative sono ancora limita-

te e poco utilizzate, si sottovalutano gli effetti domino che inevitabilmente discendono

dalla crescente interconnessione tra organizzazioni, non si applicano forme strutturate

di information sharing, eccetera. Considerata l’importanza assunta dall’ICT in ogni ambi-

to della nostra esistenza, questo sorprendente scollamento tra realtà e percezione an-

drebbe approfondito sotto vari punti di vista non tecnici (culturali, antropologici, econo-

mici). Ci limitiamo a sottolineare che nello scenario odierno occorre porre la sicurezza

informatica al centro ed a monte di qualsiasi progetto che includa l’utilizzo di sistemi

ICT, e non considerarla più un aspetto secondario (o peggio una “tassa”), ma l’elemen-

to abilitante più essenziale ed irrinunciabile per evitare che scelte avventate (o semplice-

mente non informate) producano effetti contrari a quelli desiderati, se non deleteri.

Tali effetti nell’immediato possono sostanziarsi in gravi danni economici, violazioni della

privacy su larga scala e furti di proprietà intellettuale ma in prospettiva, su un più am-

pio piano socio-culturale, con l’aumentare degli incidenti, possono indurre un rigetto

della tecnologia da parte degli utenti, e/o facilitare l’instaurazione di regimi “orwelliani”

di monitoraggio di massa e di forte compressione delle libertà personali, introdotti con

la motivazione di “combattere le minacce cyber”. Sono tutti rischi molto concreti che

non possiamo permetterci di correre.

22

Le crescenti minacce provenienti dal dominio cibernetico necessitano oggigiorno, non

solo di un’esperienza e specializzazione tecnologica ma anche e soprattutto di un ap-

proccio strategico.

Approccio strategico, nel campo della cybersecurity, vuol dire pianificazione e soprattut-

to visione strategica. La visione strategica, non a caso, caratterizza quei Paesi che hanno

la consapevolezza dei rischi e delle minacce; tale approccio è alla base delle scelte di po-

licy degli Stati Uniti, attuali leader internazionali nel campo della sicurezza cibernetica.

Pur forzando (volutamente) l’accostamento del modello statunitense con la realtà italia-

na (si pensi a tal proposito ai limiti costituzionali che impediscono, in Italia, l’uso della

forza per risolvere controversie internazionali) l’analisi del modello americano permette

di evidenziare un modello virtuoso che, anche se in minima parte, potrebbe suggerire

delle iniziative attualizzabili nel nostro Paese.

La virtuosità del modello americano, come detto in precedenza, si basa su una visione

strategica che i decisori politico-militari statunitensi ebbero sin dal 1996 quando, attra-

verso il documento militare Joint Vision 2010, evidenziarono sia lo sviluppo della

rivoluzione informatica che il presupposto e la volontà di giungere a un dominio (civile e

militare) effettivo nel cyberspazio.

Tuttavia, la supremazia nello spazio cibernetico non esula da rischi dovuti essenzialmen-

te all’elevata informatizzazione raggiunta, con l’utilizzo della tecnologia ICT, in tutti i set-

tori dei Paesi industrializzati.

Ad esempio, la vulnerabilità delle infrastrutture critiche nazionali di fronte alla crescente

sofisticazione degli attacchi informatici appare sempre più evidente. Proprio questa consa-

pevolezza del trade-off crescente tra informatizzazione ed esposizione al rischio, ha spinto

i decisori politici americani a intraprendere una serie di iniziative basate perlopiù sulla col-

laborazione pubblico-privato con la consapevolezza da un lato che l’elemento tecnologi-

co gioca un ruolo marginale rispetto all’elemento strategico, e dall’altro lato con la convin-

zione che il settore privato (che detiene in maggior misura la gestione e il controllo delle

infrastrutture critiche) non può sottrarsi alle esigenze di sicurezza nazionale.

Le iniziative governative americane vanno dagli ultimi executive order di Obama incen-

trati sull’avvio di un partenariato pubblico-privato per lo scambio di informazioni alle ini-

ziative intraprese dal Dipartimento dell’energia per bloccare e contrastare le crescenti

intrusioni cibernetiche salvaguardando perlopiù le nuove tecnologie Smart Grid.

23

Luigi MARTINOUniversità degli Studi di Firenze

In campo internazionale gli Stati Uniti (come dimostra in questi giorni l’apertura al dialo-

go con la Cina) da un lato tendono a sviluppare un dialogo con i maggiori competitor

statali per stabilire regole del gioco condivise mentre, come sottolinea la recente Cyber

Strategy approvata dal Pentagono nell’aprile 2015, non esitano a dichiarare la propria

intenzione di reagire, anche con armi classiche, in caso di attacco cibernetico.

La consapevolezza della crescente rilevanza assunta dalle infrastrutture energetiche nel

campo della cybersecurity può essere anche intravista dalle iniziative intraprese in seno

agli organismi internazionali. Ad esempio, presso l’OSCE è stato istituito un Informal

Working Group (voluto dalla rappresentanza americana) sulla necessità di adottare delle

Confidence Bulding Measures (CBMs) nel cyberspazio. Le infrastrutture critiche ener-

getiche vengono definite, all’interno di questo dibattito, come una delle principali en-

tità da difendere, dovuta alla loro interdipendenza che potrebbe causare un effetto

domino distruttivo.

In conclusione quindi, come accennato in precedenza, emerge una necessità evidente

di intervenire nel campo della cybersecurity anche per il settore energetico (alla luce

della crescente evoluzione verso un mondo Smart) attraverso un approccio strategico

che, da un lato, metta in luce le crescenti minacce alla sicurezza nazionale protratte at-

traverso i continui attacchi informatici ai danni delle infrastrutture critiche e, dall’altro la-

to, evidenzi come il settore privato (sensibile ai calcoli economici) sia il primo a rimetter-

ci in termini di danni materiali e di immagine in caso di cyber attacks. Solo con la consa-

pevolezza della comunanza di interessi nazionali ed economici (in definitiva di Sistema

Paese) tra settore pubblico e privato può esistere un efficace ed efficiente contrasto alle

attività deleterie provenienti dal cyberspazio.

Una difesa efficace deve partire dalla logica realistica del calcolo costi benefici. Maggio-

ri investimenti in cybersecurity equivalgono a maggiori benefici per l'economia e per

l'intero sistema Paese (si pensi a tal proposito all'indotto economico che rappresenta

oggi il mondo ICT).

Questo calcolo lo hanno ben compreso Paesi come gli Stati Uniti (e non solo). Sarebbe

il caso che anche l’Italia si sforzasse a comprendere come la sicurezza cibernetica sia

una priorità per il benessere dell’intero sistema Paese.

24

Nel settore della sicurezza cibernetica, aumentano le linee di lavoro comuni, vista la for-

te pressione internazionale sul tema. L'iniziativa G7 Energia, legata soprattutto all’impul-

so degli Stati Uniti, è di grande importanza e mette in chiaro la necessità di accelerare i

tempi d’azione. Anche nel panorama nazionale è possibile individuare alcune novità. In-

nanzitutto esiste una direttiva del presidente del Consiglio, dell’1 agosto 2015, indirizza-

ta ai ministeri facenti parte del Comitato interministeriale per la sicurezza della Repubbli-

ca (CISR) con l'obiettivo di accelerare i tempi di allineamento delle proprie capacità di

difesa a standard internazionali. Inoltre, è stato richiesto all’Agenzia per l’Italia Digitale

(AGID) di fornire un livello minimo di sicurezza al quale le amministrazioni pubbliche si

devono adeguare, rifacendosi a tre punti del sistema: il CERT Nazionale, il CERT della

pubblica amministrazione e il Nucleo per la sicurezza cibernetica (NSC), in maniera da

allinearsi allo standard internazionale.

Il Dipartimento delle informazioni per la sicurezza (DIS) effettuerà una verifica della situa-

zione sulle diverse componenti delle pubbliche amministrazioni. Saranno queste ultime

in assenza di uno stanziamento ad hoc per l’azione del DIS, a dover riallocare una parte

del budget per questo intervento.

Per quanto riguarda il futuro a breve termine, è il settore privato quello su cui si sta facen-

do maggiormente leva. Il Laboratorio Nazionale sulla Cyber Security ha predisposto un

documento sulle le sfide per il sistema Italia nei prossimi cinque anni. Un lavoro a suppor-

to di un progetto più importante quale l'introduzione nell'impresa italiana di un frame-

work di autovalutazione sul modello statunitense del NIST Framework per Cyber Security.

Le imprese necessitano infatti di un quadro di riferimento il più possibile logico, essen-

ziale, flessibile, comune, in grado di essere condiviso dai diversi settori; certamente non

dovrà essere solo un insieme di standard tecnici. È opportuno spingere perché ci sia un ap-

proccio libero e responsabile di ciascun "operatore impresa" rispetto al settore, alla propria

posizione e ai propri interessi di investimento per avere un quadro complessivo affidabile.

26

Paolo CIOCCADipartimento delle Informazioni per la Sicurezza (DIS)

Applicazione e prospettive del Piano Nazionale protezione cibernetica e sicurezza informatica. I programmi in Italia

Su questo fronte, il laboratorio ha lavorato in stretto coordinamento con il National Insti-

tute of Standards and Technology (NIST), un'agenzia del governo degli Stati Uniti d'Ame-

rica che si occupa della gestione delle tecnologie.

Considerando il settore energetico, strategico per il Paese, l’attenzione aumenta. Una

soluzione potrebbe essere quella di pensare a un CERT di settore, come da best practi-

ce internazionale, con l’evoluzione da un CERT puramente operativo a uno più comples-

so, come accade con iniziative quali ISAC - Information Sharing and Analysis Center. È

importante che si sviluppino momenti e luoghi di scambio intersettoriali e cross sector,

che permettano il rapporto con i diversi mondi pubblici. Al giorno d’oggi, infatti, è di

grande rilevanza tanto il problema della comunicazione tra competitors quanto il rappor-

to tra questi soggetti e il pubblico.

È necessario, operare sempre di più e sempre meglio, riflettendo con particolare atten-

zione sui modelli di rapporto pubblico-privato per poi passare a modelli ancora più avan-

zati, legati al mondo della società civile.

27

l DPCM del gennaio 2013 ha definito le linee guida, i compiti, gli enti di riferimento e

gli interlocutori nel mondo della cyber security. Il sistema agisce sotto il controllo e l'ispi-

razione del DIS, che a sua volta recepisce il dettato del Consiglio interministeriale e del

Presidente del Consiglio. Tre sono i punti fondamentali del sistema: il NUCLEO per la

sicurezza cibernetica, il CERT nazionale e il CERT della pubblica amministrazione

ll NUCLEO per la Sicurezza Cibernetica Nazionale, collocato presso l'Ufficio del consi-

gliere militare del Presidente del Consiglio, ha numerosi compiti:

• la programmazione e la pianificazione operativa;

• la preparazione della risposta a situazioni di crisi, tramite un'unità di allertamento;

• la definizione delle procedure di condivisione e di interscambio delle informazioni;

• fare comunicazione;

• fare promozione e coordinare le esercitazioni;

• essere il punto di riferimento per l'estero.

Il NUCLEO di Sicurezza Cibernetica, si confronta con diversi interlocutori: il CERT Nazio-

nale, il CERT della Pubblica Amministrazione, il CERT della Difesa per i rapporti con la

NATO e con il Centro Nazionale Anticrimine Informatico per la Protezione delle Infra-

strutture Critiche (CNAIPIC) che si occupa dell’impiego della polizia giudiziaria nei con-

fronti di chi opera attacchi di carattere cibernetico.

Nell'ambito del NUCLEO di sicurezza cibernetica è garantita un’operatività h/24; sono

state definite le procedure per lo scambio delle informazioni e si sono promosse attività

addestrative nazionali ed internazionali. Inoltre, è stato mantenuto il collegamento con

l'ONU, con la NATO, con l'Ue ed altre organizzazioni internazionali.

Le esigenze da affrontare nel futuro sono diverse. Innanzitutto bisogna potenziare le ca-

pacità di reazione delle singole amministrazioni, poi è opportuno adeguare e consolida-

re gli standard e infine rafforzare la cultura dalla condivisione.

Anche se con alcuni punti di poca chiarezza, l'attività tecnico-operativa italiana trova la

sua origine e la sua soluzione nell'ambito del CERT nazionale, che è il responsabile diret-

to della risposta a emergenze di grande portata. Inoltre, si occupa di coordinare le rispo-

ste dei diversi CERT pubblici e privati; sia il NUCLEO per la Sicurezza Cibernetica sia il

NIS si servono del suo operato. Dal 2013 ad oggi, si è riusciti a perfezionare un nucleo

che garantisse, senza interruzioni, la capacità di infosharing; si sono avviate alcune con-

28

Luigi RAMPONI Centro Studi Difesa e Sicurezza (CESTUDIS)

venzioni con strutture critiche per concretizzare un rapporto con il settore privato, che

servissero anche a segnalare delle problematiche di carattere cibernetico.

Nella constituency del CERT nazionale sono presenti:

• la componente della Pubblica Amministrazione (attraverso il CERT della PA);

• la componente di strutture sensibili private o di grande rilievo e strategiche, attraver-

so convenzioni;

• le aziende private e i cittadini.

Il CERT nazionale sviluppa la sua attività sia in campo interno - controllando e coordinan-

do lo scambio di indicatori di compromissione con soggetti privati e con soggetti pub-

blici - sia esterno, diffondendo informazioni sulla vulnerabilità dei sistemi e guidando la

cooperazione nella risposta di incidenti.

In ambito internazionale, c’è uno scambio di informazioni inerenti sia vulnerabilità e indi-

catori di compromissione, sia lo scambio di dati di traffico anomalo generato da IP italia-

ni verso gli esteri e viceversa, oltre che informazioni sulla risposta agli incidenti.

Il CERT della pubblica amministrazione è il collaboratore diretto del CERT nazionale; dà

informazioni in merito a tutti i livelli della stessa. Alla fine del 2013, dopo l’emanazione

del DPCM, il già esistente CERT SPC è stato trasformato nel CERT della Pubblica Ammi-

29

nistrazione e ha avviato la fase pilota con un insieme ristretto di amministrazioni. A feb-

braio del 2014 è iniziata l'erogazione di servizi incident response nonché l'emissione di

bollettini e di avvisi di sicurezza. È stato costituito un presidio allertabile che, diversamen-

te rispetto a quello operante nell'ambito ricerca nazionale, ha una presenza effettiva di

otto ore per cinque giorni anche se, on call, è capace di intervenire in caso di necessità.

A giugno si è conclusa la fase pilota e oggi vi è già una prima rete che include sette am-

ministrazioni centrali, tre enti pubblici, quattro regioni e tre città metropolitane.

Per quanto riguarda il supporto del coordinamento, è stata definita la procedura di ge-

stione degli incidenti mentre, nell'aprile del 2015, è entrata in esercizio una piattaforma

di infosharing con un sistema di posta elettronica dedicato e il suo sito ufficiale per il co-

ordinamento tecnico tra le strutture di sicurezza esistenti.

Infine, per quanto riguarda la gestione dell'escalation delle informazioni verso il CERT

nazionale, è stata disposta una convenzione per lo scambio di informazioni e la cono-

scenza di quanto accade nella pubblica amministrazione; nel corso di due anni si è strut-

turato un sistema che costituirà una base di partenza per procedere in futuro. Nonostan-

te questo, moltissimo resta da fare, soprattutto in confronto all'organizzazione esistente

in quegli Stati con i quali si collabora in ambito europeo e mondiale.

Inoltre, è necessario avere un testo unico che contenga tutti diversi decreti, avente come

base il DPCM, per un’esigenza di chiarezza e per evitare di favorire personalismi ed egoi-

smi che intralciano l'operato. Auspico la preparazione di un testo unitario che possa da-

re una guida legislativa nel mondo cyber. Il Governo deve riuscire a destinare adeguate

risorse in questo settore

Sono almeno quattro le minacce che incombono sul nostro Paese: quella convenzionale,

quella nucleare, quella terroristica e quella cibernetica.

Quella convenzionale è molto attenuata; l'arsenale dell'Unione Europea, senza contare

la NATO, è tre volte quello della Russia e la stragrande maggioranza delle risorse è spe-

so in questo settore. Al settore terroristico, invece, dedichiamo troppe poche risorse.

Per quanto concerne la minaccia cyber, la situazione è ancora più grave perché si lesina-

no delle risorse, magari per destinarle ad altri settori non così importanti. I Paesi con i

quali l’Italia si confronta, come Francia e Regno Unito, sono più avanti sia dai diversi pun-

ti di vista. Il nostro Paese ha uno dei più alti i bilanci di spesa del mondo (l’ottavo mon-

diale) e, dunque, le risorse possono essere trovate.

Infine, bisognerebbe sollecitare tutti i rappresentanti delle aree critiche nazionali a crea-

re un network lavorando per realizzare un framework condiviso, sotto l'egida del DIS e

con l’aiuto delle università e della ricerca.

30

Per l'attuazione del piano nazionale di sicurezza cyber è fondamentale il ruolo degli atto-

ri privati. In questo contesto, nonostante le diverse disponibilità di budget, i modelli di

gestione del rischio devono essere innovati in relazione ai rischi emergenti.

Un’azienda si preoccupa della sua sicurezza informatica per ragioni diverse ma, in primo

luogo, per l’aumento dei rischi in numero e in complessità che comporta effetti significa-

tivi sui sistemi, non solo legacy ma anche SCADA. Si nota, inoltre, una crescente sofisti-

cazione degli attacchi, spesso portati in modo mirato. Da una recente analisi su sessan-

ta corporation internazionali, si evince che l'attacco medio per anno vale circa 11 milioni

di dollari.

Sia nella vita privata che all'interno delle aziende, si verifica un aumento della digitalizza-

zione delle operation. Questo comporta la possibilità che qualsiasi attacco perpetrato

su un sistema possa diffondersi in modo vasto, aumentando conseguentemente l'impact.

Il tema delle competenze e delle capacità è essenziale. Purtroppo, ci sono Paesi che

hanno una conoscenza dei rischi e una capacità di reagire che non cresce di pari passo

con l’aumento delle competenze di coloro che muovono gli attacchi cibernetici. Di con-

seguenza, si crea un gap in termini di competenze cyber tra coloro che si devono pro-

teggere e la sofisticazione sempre crescente degli attaccanti, sia in termini di modalità

che di capability.

In futuro, il settore dell’energia sarà sempre più regolato essendo una delle infrastruttu-

re critiche. Al giorno d’oggi, esistono delle realtà molto più regolamentate, ad esempio

quella finanziaria, che da anni impone dazi e penali. Tipicamente, il rischio cyber viene

relegato solamente all’ambito operativo. Tuttavia, la situazione è molto più complessa

poiché non coinvolge solo il settore IT. I rischi cyber impattano fortemente la capacità di

un'organizzazione di raggiungere i suoi obiettivi strategici.

Nel caso di attacchi informatici, uno dei problemi principali è l’inadeguatezza dei con-

trolli e delle modalità che vengono implementate. Queste vulnerabilità vengono sfrutta-

te per muovere gli attacchi, rimanendo nell’area dell’operational risk. Gli impatti posso-

32

Stefano BUSCHIDeloitte

Cyber Risk: modelli e tendenze per le infrastrutture energetiche

no essere di tipo reputazionale nel caso in cui vi siano elementi sensibili, tra cui i dati di

consumo degli utenti, la modalità di interconnessione e la capacità di rispondere alle

chiamate della rete nazionale. Una conseguenza è la perdita del vantaggio competitivo;

nel momento in cui le informazioni riservate diventano pubbliche, l'operatore può avere

problemi seri a rimanere nel suo settore di business.

Gli effetti che si sono avuti in un caso specifico, verificatosi un paio di anni fa in Medio-

riente, sono importanti. I sistemi sono stati fortemente compromessi, i sistemi legacy so-

no stati fermi per diversi mesi con forti ricadute reputazionali.

Inoltre, ci sono state conseguenze anche dal punto di vista strategico. In quel periodo vi

era la rinegoziazione dei contratti del gas e questa società, che lavora in quel mondo,

non ha potuto correttamente effettuarle con ingenti perdite economiche; i dati non era-

no integri e le valutazioni di analisi e di pricing non erano più leggibili in modo corretto.

Infine, bisogna considerare la parte di ricostituzione degli apparati ICT.

I rischi cyber sono asimmetrici. Chi muove un attacco è generalmente molto motivato e

ha un alto potenziale perché riesce ad aggregare fonti differenti più facilmente rispetto

alle aziende che si devono difendere. Nonostante queste ultime abbiano delle barriere

difensive e una capacità di fare squadra a livello nazionale e di cooperazione pubblico-

33

privato, chi attacca riesce a essere molto più fluido ed efficace rispetto alle difese messe

in campo.

Da uno studio recentemente eseguito da Oxford Metrica su un campione di più di cin-

quecento aziende si percepisce come, a fronte di un evento cyber, si possano generare

due effetti completamente differenti. Nel primo caso le aziende non riescono a reagire

nei tempi richiesti e ad adeguarsi alla situazione; le perdite e l'impatto di questo evento

si accumulano e le aziende sono obbligate a rivedere completamente il proprio busi-

ness. Il secondo caso, chiamato Resiliency Recovery Path, è più virtuoso. È il percorso

preparato dall'azienda per riuscire ad anticipare e, soprattutto, gestire adeguatamente

eventi inattesi, garantendo la capacità di riprendere le normali attività con impatto quasi

nullo. La “cyber resilience” è capacità di far cooperare quattro grandi aree di competen-

ze, già presente nelle aziende, che spesso si interfacciano poco una con l'altra.

La prima è il risk management, ossia la capacità di identificare le minacce e le vulnerabili-

tà, dar loro una priorità e individuare le metodologie migliori per affrontarle.

La seconda è la Security come elemento preventivo; si tratta, una volta identificata la mi-

naccia da aggredire, di mettere in campo le azioni che limitino la possibilità che questa

si concretizzi. La terza è la business continuity, quindi la capacità di reagire una volta che

l'evento si è verificato. In modo complementare rispetto alla prevenzione, fornisce la ca-

pacità di limitare gli impatti potenziali sull'azienda. Infatti, se si riesce ad agire in breve

tempo, gli effetti sono definiti e controllabili.

L’ultimo aspetto è la capacità di gestire le crisi in modo efficace. Questo comprende

non solo le competenze tecniche aziendali ma anche il board of directors e i top mana-

ger perché devono essere coinvolti e abili nel gestire le crisi una volta che si presentano,

creando una catena di comando e controllo efficace. Quando queste quattro unità lavo-

rano assieme si ha una capacità di mitigazione degli eventi cyber molto superiore per-

ché si implementano nuove soluzioni di sicurezza.

In sintesi:

• il Cyber Risk non è solo un tema IT ma è strategico per le aziende;

• i rischi sono asimmetrici, difficili da prevedere e necessitano di misure nuove di prevenzione;

• i tipici sistemi di risk management possono non riuscire garantire, all'atto pratico, ade-

guate misure di risposta quindi le capacità di prevenzione, di detection e di reazione

devono essere gestite all'unisono. È necessaria un'innovazione all'interno del nostro

modello di gestione del rischio.

34

Con l’adozione del Piano Strategico Italiano per la Banda Ultralarga per la prima volta

un governo si assume la responsabilità di adottare una visione di lungo periodo dello

sviluppo delle reti di telecomunicazioni.

Un tema che dalla privatizzazione di Telecom Italia, avvenuta ormai qualche decina d'an-

ni fa, non è stato quasi più toccato anche per ragioni economico-politiche. Oggi ci sono

le condizioni per intervenire in vista di un futuro ormai prossimo inevitabilmente legato

allo sviluppo e alla diffusione della fibra ottica. Questo significherà poter disporre di

punti di approdo ad infrastrutture fisiche - non lontane fra loro - che garantiscano grandi

capacità di trasporto di byte, incluso l'utilizzo sempre più massiccio di dispositivi mobili.

Ciò implica la sostituzione della struttura esistente in rame con una in fibra ottica, un ma-

teriale che - per caratteristiche fisiche - ha capacità di trasporto migliaia di volte superio-

ri rispetto al rame. Ma alla realizzazione di questo piano si frappone più di un ostacolo.

Anni fa, quando si è proceduto alla privatizzazione delle reti di telecomunicazioni fu ce-

duta anche la proprietà della rete infrastrutturale (a differenza di quanto è stato adotta-

to in altri settori come ad esempio l'energia e il gas, attraverso politiche di unbundling e

di separazione della rete rispetto al servizio). Una scelta scellerata che purtroppo pesa sul-

l'attualità, con un soggetto totalmente privato, solo nominalmente italiano, come interlo-

cutore infrastrutturale. L'infrastruttura che costituisce la nervatura essenziale su cui viaggia-

no prevalentemente le informazioni - anche le più sensibili - è riconducibile quasi esclusi-

vamente ad investitori esteri, nel caso francesi, in possesso della maggioranza delle azio-

ni. In questo contesto il governo si trova ad operare per porre rimedio a un cronico defi-

cit di dotazione infrastrutturale. Il documento della Strategia Italiana è dunque un tenta-

tivo di riportare l'infrastruttura italiana a una condizione paragonabile a quella che sta

accadendo nel resto del mondo. Una situazione che necessita interventi rapidi se non

vogliamo compromettere la competitività del sistema Paese. Se le nostre imprese non

avranno l’opportunità di utilizzare delle infrastrutture sempre più performanti, il rischio

di essere lasciate ai margini del mercato e dei grandi business è concreto.

36

Raffaele TISCARPresidenza del Consiglio dei Ministri

La cyber security nella convergenza di reti e tecnologie

È pertanto indispensabile garantire un punto di prossimità dell'infrastruttura fisica il più vicino possi-

bile al suo utilizzatore. L'infrastruttura di cui si parla è quella di accesso, ovvero le ultime diramazioni

rispetto al backbone che oggi è già in fibra ottica. L’Unione europea considera il settore delle teleco-

municazioni come ormai privatizzato e quindi qualsiasi intervento dello Stato in questo comparto do-

vrà risultare compatibile con le regole del Trattato di non alterazione del mercato (aiuti di Stato).

Questo complica ogni tentativo di politica industriale pubblica in questo settore.

Da qui due riflessioni finali.

La prima: altri Paesi hanno una infrastruttura per la TV via cavo che costituisce un'alternativa infra-

strutturale importante al rame delle TLC, ma non in Italia ove si sono adottate politiche che non con-

sentono un’altra via rispetto a quella segnata dall’infrastruttura esistente di rame.

La seconda riguarda le privatizzazioni. Se osserviamo alcuni importanti Stati membri Ue a noi vicini,

notiamo che il pubblico è rimasto azionista in settori strategici come quello delle infrastrutture di te-

lecomunicazione. In Italia invece abbiamo preferito consegnare il destino dello sviluppo infrastruttu-

rale al mercato e, nel caso specifico, ad operatori stranieri. Così oggi lo Stato italiano si ritrova in po-

sizione subordinata rispetto alla volontà o meno da parte dell’incumbent “straniero” a investire risor-

se nel miglioramento della rete.

Per queste ragioni quello che ha intrapreso il governo italiano è un passo importante, ma è solo l'ini-

zio di un percorso lungo che già si preannuncia pieno di ostacoli.

37

Prevenzione e risposte agli attacchi cyber nel

settore energy

ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione) ha

un rapporto stretto con l’European Network and Information Security Agency - ENISA,

da cui ha preso le linee guida per i CERT; i due enti partecipano a diverse piattaforme,

studiano la NIS e seguono l'evoluzione della direttiva che imporrà, sia per gli operatori

di comunicazione elettronica che per tutti gli altri, obblighi in termini di sicurezza.

Per il CERT nazionale, le partecipazioni internazionali sono fondamentali perché permet-

tono di conoscere le strategie messe in atto nei diversi Paesi, le capacità di contrastare

gli attacchi e i piani attuati per aumentare la consapevolezza riguardo alla sicurezza. Dal

lato italiano, partecipiamo sia alle esercitazioni europee sia a quelle dell'ONU.

È fondamentale tenere i contatti con tutti i CERT europei e mondiali in modo da avere

modelli da cui prendere le buone pratiche; ad esempio il CERT EU - il CERT delle istitu-

zioni europee - quelli di Israele, Russia, India, Canada e Stati Uniti d'America, quest’ulti-

mo, ancora oggi, primo modello di riferimento.

Il CERT nazionale non monitora la propria rete, a differenza di un CERT della Pubblica

Amministrazione. Il CERT nazionale deve essere a supporto di chi ha le reti (ad esempio

degli operatori di comunicazione elettronica) o dei cittadini, ovvero di soggetti che non

hanno una protezione particolare.

Definire delle procedure operative a livello di cyber strategy italiana è fondamentale; il

DPCM 24 gennaio 2013, che ha delineato l’architettura istituzionale per la protezione

cibernetica e la sicurezza informatica nazionale, ha affidato al CERT Nazionale la funzio-

ne di supporto al Tavolo NISP – Nucleo Interministeriale Situazione e Pianificazione, che

agisce come “Tavolo interministeriale di Crisi Cibernetica”.

Il ruolo e la missione del CERT è fare infosharing, è fornire informazioni tempestive su

potenziali minacce informatiche che possano recare danno a imprese e cittadini; incre-

mentare la consapevolezza e la cultura della sicurezza; cooperare con istituzioni analo-

ghe, nazionali e internazionali, e con altri attori pubblici e privati coinvolti nella sicurezza

40

Rita FORSIISCOM

Il CERT nazionale e il settore dell'energia: una collaborazione strategica per un futuro più sicuro

informatica promuovendo la loro interazione; facilitare la risposta ad incidenti informati-

ci su larga scala e fornire supporto nel processo di soluzione di crisi cibernetica.

Per quanto riguarda le imprese private, l’attenzione del CERT nazionale cade sulle PMI,

componente importantissima nel tessuto economico nazionale. Un altro settore fonda-

mentale è quello dei progetti europei perché permette di avere accesso a risultati tangi-

bili, know how e a scambio di informazioni. Un progetto europeo, ad esempio, è il cen-

tro di Anti-Botnet, che ha lo scopo di informare gli utenti in tema di Botnet; promosso

da ISCOM, presso il MISE, sta diventando una fonte di alimentazione del CERT Naziona-

le e, di conseguenza, una fonte di scambio con gli altri CERT.

La sinergia e il confronto sono elementi indispensabili. È fondamentale intraprendere

rapporti con il CERT della Pubblica Amministrazione e con quello della Difesa, le cui reti

avranno un ruolo sempre più determinante nel futuro digitalizzato. In un panorama unita-

rio e non frastagliato, non si può pensare a uno sviluppo delle reti senza una parallela

crescita della consapevolezza.

Facendo un’analisi delle segnalazioni entrati, riferite al mese di agosto 2015, ne emergo-

no dati interessanti. Si confrontano i numeri di ticket (dove ogni ticket può contenere mi-

gliaia di segnalazioni e inviti) si evince che il trend è in progressiva e considerevole cre-

scita. Per quanto riguarda le segnalazioni entranti, la maggior parte deriva da CERT eu-

ropei e internazionali ma in futuro le aziende avranno un ruolo sempre più significativo.

Per quanto riguarda le tipologie di segnalazioni, si evidenzia che le principali sono di

malaware, di incidenti e di phishing.

L'infosharing resta l’elemento cardine; il CERT non funzionerebbe senza uno scambio. il

CERT-EU fornisce settimanalmente una lista di IOC (Indicator Of Compromise, all’interno

del progetto CIMBL: CERT-EU Identified Malicious Black List) relativa alla presenza di mal-

ware riscontrata in rete; le informazioni vengono analizzate e fornite a possibili fruitori nazio-

nali; vengono, infine, fornite in modalità infosharing mediamente circa 4.000 IOC al mese.

41

42

Tipo di segnalazioni entranti (agosto 2015)

Dati ISCOM-MiSE

Minaccia8%

Malware41%

Incidente 17%

Notizia2%

Phishing15%

Richiesta informazioni2%

Report12%

Altro3%

MinacciaMalwareIncidente NotiziaPhishingRichiesta informazioniReportAltro

ENISA (European Union Agency for Network and Information Security) è un'agenzia re-

golamentativa del UE, nata nel 2004, con un mandato rinnovabile a tempo determinato.

Lavora con le Istituzioni Europee, enti pubblici e, indirettamente, anche con il privato sia

tramite le autorità nazionali degli Stati membri sia direttamente con contratti che seguo-

no appalti pubblici.

ENISA porta a livello nazionale, in modo pratico, le esigenze della politica e il suo scopo

è condividere tutti gli aspetti della cyber security tra i vari soggetti a livello di privacy,

energia, trasporti, industria ecc., evitando che si sprechino energie con l’obiettivo della

sicurezza comune. L’agenzia ha un programma annuale guidato dai Stati Membri e la

Commissione; al contempo, si occupa anche dei progetti formativi per i CERT e di richie-

ste concrete delle pubbliche amministrazioni dei diversi stati membri. Inoltre sensibilizza

e mobilita le varie comunità nei confronti della sicurezza delle reti e dell'informazione,

analizza il landscape delle minacce, esterno all’area di risk management e annualmente,

produce un rapporto che studia tra le 50/100 fonti quasi tutte pubbliche. Si presenta,

poi, una previsione temporale che illustra le varie categorie di minacce che riguardano,

ad esempio attacchi o spam; infine, si redige un rapporto qualitativo in merito alle possi-

bili reazioni nelle diverse aree di applicazione.

Il NIS (Network Information Security) gioca un ruolo molto importante poiché renderà

obbligatorio lo sviluppo di alcune strategie di cyber security; ENISA si occupa di suppor-

tare i Paesi in questo processo. Ci sono nazioni che non hanno ancora sviluppato in

modo compiuto le loro strategie e le loro pratiche, dunque, diventa fondamentale il so-

stegno soprattutto ai soggetti più deboli, come le PMI, che non sempre hanno la possi-

bilità di difendersi autonomamente.

Per quanto riguarda le infrastrutture critiche, bisogna evidenziare che ogni Paese ne dà

un'interpretazione diversa. Una direttiva di sei anni fa definiva come settori più importan-

ti e strategici l'energia e i trasporti. Il settore energetico è fondamentale e, se attaccato,

le conseguenze potrebbero essere potenzialmente devastanti.

L’agenzia ha dato molta importanza anche alla notifica degli incidenti che, da qualche

anno, è obbligatoria per un determinato livello di operatori privati. In quest'area forte è

l’impegno sia con le autorità che ricevono le notifiche sia con gli operatori privati che

devono fornirle. Per quanto concerne gli incidenti, si raccolgono dati che sono forniti da-

gli stati membri e si fa un'analisi di alto livello anche se non è nell'interesse di molti en-

43

Andreas MITRAKASENISA

trare nei dettagli, per timore di critiche sulla gestione. Da queste indagini si coglie co-

me i fattori scatenanti più significativi siano i fallimenti di sistema e l'errore umano.

Un'altra area dove ENISA è intervenuta riguarda lo sviluppo dei CERT. Nel 2005, pochis-

simi Paesi avevano dei CERT pubblici mentre ora la situazione è diversa; da un punto di

vista energetico, è importante riflettere sulla possibilità di avere un CERT che sia dedica-

to agli attacchi contro gli stakeholders del settore.

L'anno scorso c'è stato del lavoro su ICS SCADA. Sono due gli aspetti emersi: il primo è

l'ambiente di testing, che è parso nel complesso poco coordinato, con metodologie ad

hoc; il secondo è la certificazione delle capacità professionali e la formazione del perso-

nale. I risultati hanno mostrato che è necessario lavorare ancora molto, soprattutto in Eu-

ropa. In questo senso, ENISA si occupa anche di cyber exercices, un’iniziativa che si svol-

ge ogni due anni, sotto l’impulso del G7, e che vede il coordinamento delle procedure

e delle pratiche di circa 600 enti in tutta Europa.

44

Il gruppo Enel ha una dimensione multinazionale, è presente in oltre trenta Paesi ed è

leader in un business che sta crescendo prevalentemente all’estero. Le infrastrutture so-

no presenti in territori che hanno normative locali sensibilmente diverse tra loro, sia nel-

la gestione delle infrastrutture critiche che nel trattare le informazioni inerenti. Questi

aspetti complicano molto la definizione delle strategie di Gruppo e l’applicazione omo-

genea di controlli o azioni di monitoraggio, soprattutto dal momento che ci si trova a

fronteggiare una minaccia trasversale.

È necessaria un'azione di massima cooperazione sia con le istituzioni ma anche con i for-

nitori, perché è molto importante che essi adottino standard tecnologici che permetta-

no di implementare le soluzioni secure by design.

Per questo è fondamentale essere presenti ai tavoli, collaborare con istituti di ricerca e

interessarsi alle iniziative che hanno lo scopo di diffondere la cultura dell'analisi del ri-

schio in tutti gli ambiti sia con le diverse utility, sia con istituzioni e con chi definisce le

regole e il quadro normativo.

Nell'ambito della distribuzione ci aspettano delle innovazioni che porteranno dei cambi

epocali anche dal punto di vista dell'approccio alla cyber security; sarà necessario, quin-

di, essere pronti con degli strumenti che permettano di fronteggiare una mole di dati

considerevole. Il nuovo assetto organizzativo di Enel riguarda anche le modalità di ge-

stione delle emergenze; in questo campo sono state attivate diverse iniziative interne

ed esterne, tra cui quella della commissione interministeriale tecnica di difesa civile per

la simulazione di casistiche di possibili incidenti e, contemporaneamente, sono stati fatti

degli approfondimenti in Azienda per identificare le interdipendenze e l'insieme di as-

set sensibili che possono subire ripercussioni in caso di attacchi cyber. A livello procedu-

rale, ci si è attrezzati per identificare con maggiore agilità gli eventi anomali, che posso-

no mettere in allerta in merito a una crisi in corso e, allo stesso tempo, consentono di

lavorare con i partner pubblici affinché gli obiettivi sensibili siano protetti nel miglior

modo possibile.

45

Massimo ROCCAEnel

Tavola rotonda

L’attività dei grandi operatori dell’energia in Italia

Il settore energy è, al suo interno, composito; di conseguenza la minaccia cyber si dispie-

ga in maniera molto diversa in relazione ai singoli business. Snam, rappresentando la par-

te del mercato regolato, ritiene fondamentale implementare misure adeguate e stimolare

il dialogo con la parte pubblica in merito al tema della sicurezza cibernetica, obbligo che

deriva sia dal business e dagli azionisti ma anche dal sistema Paese.

In Italia, il rapporto tra pubblico e privato è sempre stato complesso, tuttavia è impre-

scindibile che in futuro questa relazione si faccia sempre più stretta, sfruttando al meglio

e con più coraggio le ottime risorse che il nostro Paese mette a disposizione. Per coprire

le varie esigenze di prevenction, reaction e di intelligence, Snam ha stipulato delle con-

venzioni con la parte pubblica: le collaborazioni con il CERT nazionale, con il DIS e con il

CNAIPIC cominciano a dare dei segnali positivi. Sono attività che progressivamente

prendono concretezza ma che per funzionare al meglio devono superare le rigidità degli

schematismi e dei limiti imposti. L’obiettivo comune è la sicurezza integrata del Paese, di

cui la cyber è una delle componenti; riuscire a sviluppare ulteriormente il dialogo darà

modo alle aziende private di poter valutare ancor meglio il livello della minaccia che ci

circonda. Creare le condizioni che permettano all'intelligence di intercettare preventiva-

mente l'attacco ed evitare i danni è un aspetto essenziale soprattutto nell’ottica di orien-

tamento degli investimenti, che permettano di gestire al meglio il budget che è destina-

to a tali scopi. Snam sta costituendo un modello di governo sulle minacce informatiche,

dedicato specificamente a sistemi ICS SCADA perché all'interno delle aziende è opportuno

che ruoli e scelte tecnologiche siano coerenti rispetto a un disegno complessivo.

Terna ha preso coscienza da tempo della difficoltà di affrontare da soli il panorama com-

plesso del cyber risk e delle crescenti minacce che affliggono il proprio ecosistema ICT.

In azienda, sono state lanciate da tempo, come primo livello d’azione, iniziative di tipo

organizzativo per sostenere una situazione in evoluzione costante di information e net-

work security e di processi di gestione del ciclo di vita delle tecnologie.

Al giorno d’oggi, la fluidità delle diverse situazioni che caratterizzano questo “nuovo”

livello di connessioni, relazioni e contatti dai confini aperti - una superficie così differente

46

Andrea CHITTAROSnam

Giancarlo CAROTITerna

dalle vecchie interfacce fisiche, molto più controllabili - sta imponendo di fare siste-

ma, ricercando il supporto reciproco e punti di contatto e coordinamento con altre

realtà, sia interne al sistema Italia che in Europa, che si trovano ad affrontare la me-

desima sfida.

Sappiamo che in Italia l'operazione è partita nel 2013 con il gruppo di lavoro della

dottoressa Forsi e Terna da subito ha cercato di dare il massimo contributo ai colle-

ghi del CERT, cosciente dell’utilità della condivisione di esperienze e informazioni.

In virtù di un protocollo di intesa del 2014, che ha attivato anche formalmente i rap-

porti, abbiamo ottenuto dei risultati attraverso lo scambio di segnalazioni i e talvolta

l'attivazione di contromisure mirate che contribuiscono ad aumentare la prevenzio-

ne. Lo scopo è l’individuazione tempestiva di ogni mezzo di difesa contro cyber

risks che si modificano velocemente, in maniera da porsi nelle migliori condizioni

per prevenire un attacco. Conoscere ed ancor meglio capire in anticipo uno scena-

rio che potrebbe impattare fortemente sulle proprie infrastrutture ma anche quelle

degli altri attori principali è un ottimo punto di partenza per reagire di conseguenza,

bloccando o limitando il danno.

Il rapporto con il CERT nazionale è quindi utile ed efficace: sempre meno canale di

scambi informativi monodirezionale e sempre più bidirezionale, con l’instaurazione delle

migliori condizioni per lavorare in sinergia con gli altri CERT europei attraverso dati con-

sistenti ed effettivi.

Terna si muove attivamente per la cyber security anche sul piano europeo, collaborando

strettamente con i colleghi di utility straniere (in primis gli operatori di trasmissione,

TSO), occupandosi di in ambiti di task force di attività tipo-CERT; in questo contesto,

l'approccio è simile a quello italiano. Il CERT “virtuale” che nasce dal legame di fiducia

con gli altri TSO consente di facilitare l'infosharing, e talvolta può anticipare una minac-

cia, oltre che assistere chi ha reti della stessa natura e criticità. In questo quadro di rap-

porti crescenti la scelta di un “triage” omogeneo è fondamentale per avere una classifi-

cazione degli eventi condivisa che non sia a discrezione dei diversi soggetti, ma che ab-

bia fasce di codifica comuni. Inoltre, è necessario focalizzare maggiormente l'attenzione

sull'area della formazione collegiale. Le aziende principali del paese (infrastrutture criti-

che) non devono essere costrette ad auto-formarsi, con proprie regole e ritmi; è invece

opportuno stimolare una formazione trasversale perché la professionalità e l’esperienza

sono fondamentali in condizioni "di emergenza", ancor più in emergenza allargata.

Nel settore elettrico, oppure energy o ancora, in una visione più allargata, nel mondo

delle infrastrutture critiche, devono esserci matrici comuni per organizzare i singoli presi-

dio di cyber security. Dovrebbe esserci una normativa che imponga un livello accettabi-

47

le di cyber security, renda chiari i compiti e le azioni da mettere in atto come prevenzio-

ne così come durante un cyber attacco.

Come c’è un CERT nazionale, potrebbe trovare spazio al fianco dei CERT/SOC aziendali

anche un osservatorio settoriale delle minacce, con un ruolo di collegamento e suppor-

to a favore delle aziende del settore che hanno reti informatiche business-critical.

ll tema della Cyber Security è diventato sempre più importante e urgente anche a livello

internazionale. Se ne è cominciato a parlare nell'ambito del G7 Energia del 2014 a Ro-

ma nel momento in cui sussistevano delle minacce fisiche al sistema europeo, durante

la crisi ucraina. Il tema è diventato una parte dello statement del successivo G7 tedesco,

ad Amburgo dove si poneva l’attenzione su quanto le minacce informatiche rivolte ai si-

stemi di erogazione di energia stanno diventando sempre più complesse e sofisticate,

considerando che i sistemi energetici sono la spina dorsale dell’economia e sono costrui-

ti su una rete di processi digitali che assicurano che l'energia sia prodotta, trasferita e

distribuita attraverso dispositivi elettronici e di comunicazione a loro volta interconnessi

e in grado di effettuare il monitoraggio e il controllo di infrastrutture di reti di servizi.

Questi sistemi devono, dunque, essere interoperabili, interconnessi lungo tutta la cate-

na del valore dell'energia in aumento, necessitando così il supporto dei quadri di riferi-

mento digitale per la loro sicurezza.

In Italia, la Direzione generale per la sicurezza dell'approvvigionamento e per le infra-

strutture energetiche, lavora sempre più intensamente su questo ambito sia con un’inter-

faccia per la parte energetica - il CERT nazionale - sia con un approccio coordinato, affin-

ché l'Italia abbia la sua posizione sul tema della sicurezza informatica.

Nel prossimo G7, in Giappone, il tema della cyber security e della cooperazione tra na-

zioni riguarderà l'urgenza di far fronte a minacce che si fanno sempre più possibili e ri-

schiose. Occorrerà stabilire dei termini di azione comuni e di cooperazione per i sistemi

energetici dei Paesi più sviluppati. In Italia, per il settore energetico, si lavora, in modo

specifico, con Snam per inserire nel piano d'emergenza gas anche un capitolo sull'anali-

si dei rischi preventivi e le possibili misure in caso di un cyber attack alla rete energetica

gas; per la rete elettrica si opererà nello stesso modo.I temi che potrebbero essere svi-

48

Gilberto DIALUCEMinistero dello Sviluppo Economico

luppati in ambito internazionale sono le best lines tecnologiche, le strutture organizzati-

ve aziendali amministrative e i possibili modelli di condivisione delle informazioni. Il per-

corso coinvolgerà i vari stakeholders per individuare, ad esempio, le eccellenze italiane

da promuovere a livello internazionale come best practices. Diventa sempre più impor-

tante condividere le informazioni su possibili minacce, sugli attacchi ricevuti e sulle con-

tromisure adottate. Si procede, infatti, verso un sistema di smart grid e di smart city;

sempre più dati di interesse economico e di funzionamento del sistema viaggeranno sul-

le nostre reti, la cui protezione diventa l’obiettivo primario.

49

Domanda e offerta di cyber security

recepire i requisiti di cyber security e gli sviluppi tecnologici applicabili alle funzioni svolt

51

Indirizzare la cyber security dei sistemi energetici significa affrontare la sicurezza di archi-

tetture di controllo che interconnettono i sistemi ICT degli operatori di rete con quelli

dei gestori di generatori da fonti rinnovabili e con utenti attivi industriali, commerciali,

residenziali e domestici.

Garantire la sicurezza di sistemi cyber-fisici di questa portata non può prescindere da un

approccio di analisi del rischio in grado di dominarne la topologia, comprendere gli ef-

fetti di minacce sempre più insidiose sulle funzionalità del controllo e valutarne le conse-

guenze sull’erogazione del servizio e l’impatto in termini di perdite umane, economiche,

riservatezza e reputazione aziendale. Conoscere il valore del rischio consente una valuta-

zione oculata degli investimenti necessari per l’implementazione e la gestione delle mi-

sure di sicurezza.

Nell’analisi del rischio cyber dei sistemi energetici è fondamentale disporre di metodi

che consentano di sistematizzare e semplificare il calcolo del rischio stesso, per garanti-

re di non trascurare elementi influenti senza perdersi in inutili esplorazioni esaustive.

Grazie alle competenze maturate da RSE attraverso la partecipazione al gruppo di lavo-

ro CEN/CENELEC/ETSI, incaricato del mandato europeo EU/490 sulla standardizzazione

delle smart grid, e ai comitati IEC sullo sviluppo degli standard di sicurezza, nel proget-

to SoES RSE ha applicato a diversi casi smart grid una metodologia di analisi della sicu-

rezza articolata nella definizione dell’architettura ICT, l’identificazione di livelli di rischio,

la definizione di requisiti di sicurezza e delle contromisure integrabili in un disegno di ar-

chitettura sicura per il caso d’uso in esame. La valutazione della sicurezza delle architet-

ture ICT dei casi d’uso ha fornito indicazioni utili allo sviluppo di policy per il settore

energia, in grado di recepire i requisiti di cyber security e gli sviluppi tecnologici applica-

bili alle funzioni svolte dai sistemi energetici. Un contributo importante allo sviluppo di

un framework regolatorio. Nella Piattaforma Nazionale di Ricerca e Innovazione di RSE

le attività di analisi dei rischi cyber si avvalgono dei risultati di valutazioni sperimentali

svolte presso il Laboratorio Power Control Systems – Resilience Testing.

52

Giovanna DONDOSSOLARSE

La piattaforma nazionale di ricerca e innovazione

La piattaforma ICT del Laboratorio è finalizzata ad integrare in scenari di controllo reali-

stici e basati su standard di comunicazione misure di sicurezza di tipo preventivo e cor-

rettivo, a bordo dei componenti di comunicazione e dei dispositivi preposti al controllo

della rete e dei generatori distribuiti. L’attività sperimentale si caratterizza innanzitutto

come un’attività di test della sicurezza in cui vengono valutate le funzionalità degli stan-

dard di sicurezza emergenti o in corso di sviluppo e, sulla base dei dati raccolti sessioni

di test configurabili, vengono calcolati diversi indicatori QoS delle comunicazioni stan-

dard in presenza di cyber security e processi di attacco.

Il Laboratorio sviluppa anche sessioni dimostrative in cui gli strumenti di monitoraggio del-

la QoS e fault management integrati nella piattaforma svolgono un ruolo fondamentale

nella gestione dei rischi residui e nella identificazione/applicazione di azioni di difesa.

A cosa serve dunque una Cyber Security per il settore Energia? A contribuire a man-

tenere la luce verde sullo stato di sicurezza del sistema cyber fisico e a gestirne gli

stati di allerta.

L'impredicibilità della generazione elettrica distribuita da fonte rinnovabile è tra i fattori

di crescita di complessità della rete elettrica e può richiedere la stabilizzazione della rete

anche mediante flussi elettrici, provenienti da altre reti (rete del gas e rete idrica). Ciò è

sempre più possibile per la maggiore interdipendenza fisica tra le reti (come nel caso di

co-generazione a gas e di microturbine ad acqua) e per la maggiore integrazione del lo-

ro monitoraggio e controllo, legata all'evoluzione dei sistemi SCADA verso l'internet of

things. La nuova generazione di sistemi SCADA allarga i confini delle reti da protegge-

re, ben al di là dell'impianto singolo o aggregato con una visione mono operatore, ver-

so sistemi con elevatissimo grado di capillarità, dispersi su larghe aree geografiche.

Il contesto apre nuove sfide ed opportunità per il mondo scientifico ed industriale,

in termini di sicurezza e consapevolezza situazionale, da condividere tra gli operatori

di reti diverse.

53

Michele MINICHINOENEA

La cyber security per l’operatore della rete elettrica: modelli per il supporto alle decisioni

Rafforzare la sicurezza e la consapevolezza degli operatori di rete a fronte di attacchi in-

formatici, guasti, errori umani ed eventi naturali estremi è l’obiettivo al quale sta lavoran-

do l’ENEA, insieme agli operatori di Infrastrutture Critiche - rete elettrica, del gas ed idri-

ca - europee ed israeliane e con istituti di ricerca e università nazionali e straniere. Per

l’Italia il partner industriale è la SELEX del Gruppo Finmeccanica.

Il risultato ottenuto ad oggi è rendere disponibile ed industrializzare un DSS - Decision

Support System, ovvero un sistema di monitoraggio continuo e di supporto alle decisio-

ni per prevenire situazioni di crisi, dedicato ai gestori di Infrastrutture Critiche, ma anche

alle amministrazioni locali ed alla Protezione Civile.

Nello specifico, il Dipartimento Tecnologie Energetiche di ENEA sta realizzando un cen-

tro di simulazione geograficamente distribuito tra la Casaccia, Palermo e Bari dove sarà

possibile rappresentare ed eseguire scenari di pianificazione e di esercizio di reti elettri-

che attive (con generazione distribuita e sistemi di accumulo), rete idrica e rete del gas

in condizioni normali e di crisi.

Le attività in questo settore sono iniziate diversi anni fa con il progetto europeo MICIE

(www.micie.eu) e sono proseguite con il progetto CockpitCI incentrato sulla cyber secu-

rity. L'obiettivo è il rilevamento precoce, l'analisi e la mitigazione di eventi avversi, inclu-

si gli attacchi informatici, al fine di migliorare l'efficienza, la resilienza e la QoS delle CI e

di mitigare disastrosi effetti domino (www.cockpitci.eu). Le attività proseguono per la in-

dustrializzazione dei risultati della ricerca. Il modello sviluppato da ENEA è anche ele-

mento fondante del progetto PON MIUR SINERGREEN che l’Agenzia sta conducendo

i n S i c i l i a , ne l l ' amb i to se t to r i a l e renewab le ene rgy & sma r t c i t i e s

(http://sinergreen.cdc.unict.it/index.php/it/ ).

L'infosharing resta l’elemento cardine; il CERT non funzionerebbe senza uno scambio.

Per dare dei numeri, in media con il CERT EU vengono forniti circa 4000 IOC - indicator

of compromise - al mese. Il sito web del CERT nazionale è uno strumento che ha un ruo-

lo molto importante; vuole dare un segnale ai cittadini attraverso dei bollettini, docu-

menti, linee guida e news.

In collaborazione con Selex (Finmeccanica) e operatori europei e israeliani. Focus su at-

tacchi informatici, guasti, errori umani ed eventi naturali estremi.

54

http://www.micie.eu

http://www.micie.eu

http://www.cockpitci.eu

http://www.cockpitci.eu

http://sinergreen.cdc.unict.it/index.php/it/

http://sinergreen.cdc.unict.it/index.php/it/

Iren è una multiutility che si occupa di idrico, raccolta differenziata, energia elettrica e

gas. Spesso in ambito di sicurezza si tende a segmentare in relazione ai settori: sistemi

che gestiscono le reti elettriche, reti di gas o sistemi gestionali, anche se l'attenzione si

focalizza soprattutto sugli SCADA che, smettendo di essere una realtà a sé stante, devo-

no sempre più essere integrati in logiche multi-business. L’attenzione alla sicurezza infor-

matica non è sempre sullo stesso livello: maggiore per il trasporto di gas e elettricità,

minore per il settore idrico. Infatti spesso accade che dove le informazioni viaggiano sul-

la rete vi è anche maggior attenzione ai temi di sicurezza informatica; a differenza di

quanto accade per il settore idrico nel quale si fa uso di ponti radio e collegamenti satel-

litari. Una questione di estrema rilevanza riguarda gli incidenti. Spesso si focalizza l'atten-

zione sulla tecnologia mentre si sfiora solo il problema della sensibilizzazione del perso-

nale sul tema della cyber security non solo dell'ICT, ma dell’azienda nel suo complesso.

Una realtà aziendale che si sta ristrutturando e vuole migliorare sul versante cyber secu-

rity deve trovare un sostegno nella scelta delle migliori soluzioni anche negli operatori

che della sicurezza informatica fanno il loro business . I vendor dovrebbero essere meno

verticalisti possibili, ovvero troppo nettamente divisi fra coloro che portano tecnologie e

altri che, invece, danno consulenza e analizzano il rischio. Coniugare i due aspetti è fon-

damentale per decidere la soluzione più adatta alle esigenze dell’impresa. Ci vorrebbe

un system integrator della sicurezza che aiuti, dal basso, a trovare strumenti e metodi e,

dall'alto, a sensibilizzare il management, cominciando a far passare il messaggio che

non si tratta solo di un problema di sicurezza IT. Aumentare la consapevolezza sulla sicu-

rezza informatica deve riguardare anche realtà dalle dimensioni più contenute, fino a

giungere all’ambito domestico e del proprio personal computer.

Infine, il tema dei test. Nel mettere in sicurezza un'infrastruttura esistente la difficoltà sta

nell’avere la prova che gli impianti siano veramente in sicurezza, specialmente per quan-

to riguarda gli SCADA.

56

Alessandro CATTELINOIren

Tavola rotonda

Threat Intelligence, Incident Management e Crisis Management.La prospettiva delle utility e le risposte dei fornitori di servizi

Acea è una multiutility operante nel settore idrico, dell’energia elettrica e dell’ambiente:

questa diversificazione di attività induce l’azienda a porre particolare attenzione, in caso

di crisi, al verificarsi di un possibile effetto c.d. “domino”: nello specifico, la mancanza di

energia elettrica può provocare un’interruzione nella distribuzione della risorsa idrica e

viceversa.

È noto che Acea operi in modo pervasivo sull’area metropolitana romana: si tratta di un

territorio con caratteristiche uniche e che ospita la Capitale, il Governo e lo Stato del Va-

ticano, quindi soggetti e servizi d’interesse strategico, per i quali la garanzia della conti-

nuità e della qualità del servizio è elemento della massima importanza. Per questa e al-

tre ragioni non qui riassumibili, già prima del noto blackout del 2003 è stata decisa la

creazione del centro di Disaster Recovery per il controllo del servizio di distribuzione del-

l’energia e benché l’evento anzidetto non fosse riconducibile ad attacchi informatici, è

stato comunque da sprone all’acquisizione di specifici apparati per difendersi da quella

tipologia di minacce.

I concetti di sicurezza cibernetica e resilienza sono quindi ben integrati nel sistema dei

valori aziendali, come dimostra anche la partecipazione di Acea al progetto europeo

“Panoptesec” (www.panoptesec.eu), un’iniziativa voluta dalle Istituzioni comunitarie per

aumentare il livello di sorveglianza rispetto alle minacce cyber e velocizzare, in modo si-

gnificativo, i tempi di reazione in caso di necessità. Finanziato al 70% dalla Commissione

Europea nell’ambito del Settimo Programma Quadro, Panoptesec ha un budget com-

plessivo di 7,5 milioni di euro.

In merito agli importanti temi dell’Incident Management e del Crisis Management, Acea

– con la collaborazione dell’Università “La Sapienza” di Roma - ha avanzato due propo-

ste nell’ambito del programma Horizon 2020 per aumentare sia la sicurezza degli smart

meter, sia delle relative reti e migliorare la comunicazione delle informazioni durante gli

stati di crisi.

L'interdipendenza tra infrastrutture ci ha portato a una visione olistica dei problemi: con-

siderando ad esempio la necessità di assicurare una stabile connettività tra i centri di

controllo e le sedi periferiche o le sottostazioni, Acea ha disposto la creazione di connes-

sioni dedicate in rame/fibra e ponti radio in modo da poter utilizzare vettori multipli di

comunicazione ove necessario. Quanto precede ha inevitabilmente comportato un au-

mento della potenziale superficie d’attacco: la sfida per il futuro sarà quindi di riuscire a

57

Andrea GUARINOAcea

http://www.panoptesec.eu

http://www.panoptesec.eu

rendere ugualmente affidabili e sicure sia le reti private, sia quelle pubbliche: in questo

processo non potrà mancare il sostegno dello Stato perché, oltre al riconoscimento dei

maggiori costi da sostenere, non si potranno prendere decisioni riguardanti infrastruttu-

re critiche senza regole certe e condivise dalle relative comunità di riferimento. I tavoli

di lavoro con altre società operanti nei medesimi settori sono quindi utili, e lo saranno

sempre più, perché consentono di individuare le best practice per rendere le comunica-

zioni e i sistemi di protezione ancor più compatibili e omogenei. Il rischio concreto infat-

ti è di non riuscire a dialogare correttamente tra le parti, non tanto per mancanza di vo-

lontà, ma in quanto, ove private di regole e precisi standard o riferimenti, le aziende po-

trebbero adottare sistemi di difesa e protocolli di comunicazione tra loro potenzialmen-

te incompatibili (com’è peraltro già accaduto). In questo panorama, anche i system inte-

grator che assistono le infrastrutture critiche informatizzate dovranno porre l'accento sul-

la sicurezza cibernetica, ora diventata elemento irrinunciabile, considerandola all’interno

delle proposizioni progettuali già nelle fasi di studio.

I soggetti che erogano servizi di pubblica utilità si trovano spesso a dover considerare

due elementi nel caso di attacco informatico: la protezione dei dati e la continuità del

servizio. Una doppia urgenza che spesso conduce a estremizzare il concetto di “agire in

fretta”, non appena si verifica un incidente informatico. Una modalità in contrasto con

le buone pratiche di gestione del servizio che prevedono, invece, modifiche e interventi

il più possibile governati da procedure preventivamente studiate. Il rischio, in questo ca-

so, è che la risoluzione del problema informatico porti a un’interruzione del servizio. Dal-

l’altra parte, la protezione del dato nella sua integrità è un punto nodale, anche per ga-

rantire un servizio efficiente. Si è discusso lungamente di critical infrastructures e, spes-

so, si immagina che queste siano associate ai sistemi SCADA. Questi ultimi, sebbene sia-

no più aperti e lavorino su protocolli e con interfacce grafiche standard - e quindi più fa-

cilmente attaccabili - restano statisticamente e dal punto di vista economico molto co-

stosi. A meno che non si tratti di grandi centrali, è difficile che soggetti di dimensioni mi-

nori possano investire importanti risorse per la protezione. L’attenzione riservata ai siste-

mi SCADA spesso fa dimenticare la centralità dei CRM: questi sistemi di gestione non

solo sono più vulnerabili da parte di attacchi informatici rispetto ad altri, ma un’eventua-

58

Massimiliano MANDOLINISelex ES

le violazione può comunque generare danni consistenti, in grado di compromettere tem-

poraneamente la continuità del servizio. Una cultura di protezione dell'IT è importantissi-

ma; infatti, se è fondamentale proteggere i sistemi SCADA, non bisogna tuttavia dimen-

ticare l’importanza di mettere in atto le buone pratiche di sicurezza. Nel corso del 2015, la

maggioranza degli incidenti segnalati si riferiva a furti di password, evitabili non solo grazie a

sistemi tecnologici di difesa, ma anche a comportamenti e procedure corretti.

Certiquality è un Organismo di Certificazione, accreditato Accredia, che garantisce la ve-

rifica imparziale della conformità delle organizzazioni pubbliche e private a standard co-

genti e volontari. Una corretta gestione della sicurezza aziendale si ottiene mediante

l’adozione di modelli organizzativi, standard, procedure che devono essere conosciute e

rispettate a tutti i livelli. Il mondo della certificazione vede in Italia un numero predomi-

nante di aziende certificate ISO 9001 qualità (100mila circa), ma inizia a rivolgersi, anche

59

Nicola GATTACertiquality

attraverso l’intervento normativo e di indirizzo del Governo, a standard settoriali volti ad

assicurare la tutela di specifici aspetti critici per le aziende italiane.

Gli standard ISO 27001, in materia di sicurezza delle informazioni ed ISO 22301, per la

gestione della continuità operativa, rappresentano due esempi che offrono un valido

modello organizzativo per fare fronte al tema specifico ed attuale della cyber sicurezza

in ambito energetico. Il concetto di sicurezza sta entrando, lentamente, nella cultura

aziendale e dei manager, consapevoli dell’impatto negativo che una mancata protezio-

ne può avere sul business in caso di attacco e violazione dei sistemi informatici.

I vari standard e le diverse norme fanno parte della vita dell'azienda, di tutte le sue di-

verse componenti. Se il business - com’è giusto che sia - rimane al centro di tutto, il mes-

saggio che deve passare è che un’organizzazione non può ragionare a compartimenti sta-

gni, specialmente in tema di sicurezza, ma deve far sì che i modelli organizzativi siano il

più possibile integrati. Il crescente interesse a tali temi emerge inoltre dalle nuove edizio-

ni del 2015 degli standard ISO 9001, per la gestione della qualità, ed ISO 14001, per la

gestione ambientale. L’attenzione è oggi posta da questi standard all’analisi del conte-

sto in cui opera l’azienda e l’individuazione e gestione dei rischi che possono minare il

business aziendale. Si tratta di un cambio di paradigma molto importante, che impatte-

rà profondamente sulle aziende.

Symantec si trova spesso ad operare in situazioni dove la confidenzialità dell'informazio-

ne e l'integrità dei sistemi vengono violate. Nella stragrande maggioranza dei casi non

si è trattato di un attacco mirato, ovvero portato da virus, APT o malaware specifici pro-

gettati per colpire un soggetto particolare, un determinato PLC o una precisa architettu-

ra dell'infrastruttura PLC. In molti casi gli incidenti capitano per incuria o scorretta messa

in pratica delle procedure di sicurezza previste (come il reset delle password di default

di tutti i dispositivi di rete o la dimenticanza di minime azioni di vulnerability manage-

ment all'interno delle applicazioni). Bisognerebbe, innanzitutto fare uno passo indietro e

seguire il motto inglese: “get the basics right”.

Un altro aspetto è legato alle certificazioni e alle conoscenze del personale addetto. Og-

gi, purtroppo, non ci sono abbastanza skills. Partendo dal presupposto che gli incidenti

capitano, molte situazioni critiche si potrebbero evitare o prevenire se le cosiddette ope-

razioni “basics” fossero svolte in maniera corretta.

60

Antonio FORZIERISymantec

Huawei è un vendor di infrastruttura che fa prodotti di connettività, servers, storage e

prodotti di sicurezza. Avendo lavorato principalmente in un settore estremamente criti-

co, come quello delle TELCO, l’azienda ha capito come non sia possibile costruire nes-

sun fondamento di security usando solo la tecnologia, solo il vendor o solo un'interfac-

cia. I risultati giungono solamente con un lavoro sinergico tra le diverse componenti. De-

ve esserci la collaborazione dei vendor, che devono fare la loro parte attraverso il secu-

rity by design sui prodotti, con servizi di security assurance per la delivery del prodotto,

dalla produzione fino al cliente nella maniera più sicura possibile. Tuttavia è necessario

anche un processo e un'analisi dei rischi che sia congiunta tra vendor, system integrator

e cliente.

Nel settore delle telecomunicazioni - ma potrebbe essere trasferito anche al mondo

energy - Huawei ha dato il via a tavoli di discussione e collaborazione fattiva con partner

e clienti, laboratori di test congiunti, in maniera da aprirsi a discussioni sulla definizione

di standard e da permettere l'interconnettività tra le diverse realtà. In un contesto futuro

sempre più dominato dall’Internet of Things e dai dispositivi mobile la protezione dei si-

stemi SCADA non è più sufficiente. Bisogna curare sempre più anche altri servizi come, ad

esempio, i CRM, vitali per la continuità dell’attività aziendale, affermazione ancora più vera

se si pensa ad aziende di pubblica utilità che erogano servizi alla collettività.

La security non è diversa da un buon disegno di processo, non esiste nessun processo

che possa fare a meno di considerare la sicurezza come uno dei suoi elementi costitutivi

e quindi qualsiasi processo che non preveda un buon livello di sicurezza va scartato. Nel-

lo specifico, nessun sistema SCADA, se estrapolato dalla definizione del processo pro-

duttivo può essere giudicato buono o cattivo. Per capire se si tratta di un sistema valido

o meno per la sicurezza è necessario osservarlo all’interno di questo processo, nell’ope-

ratività dell’azienda.

Si tratta di una questione delicata e comune anche ad altri settori che coinvolge gran

parte del management aziendale ma, purtroppo, malamente gestita soprattutto nel

caos odierno in cui esiste una rigida separazione budgetaria fra il mondo IT, la sicurezza

- che è un sottoinsieme di un sottoinsieme del mondo IT - e il resto dell’organizzazione.

Un approccio che funzioni prevede il coinvolgimento più ampio possibile dei soggetti

interessati, coinvolgendo tutti gli stakeholders per comprendere realmente cosa serva e

cosa sia possibile fare.

61

Antonio IERANÒHuawei

Relativamente alla sicurezza dei sistemi IT voglio focalizzarmi su alcuni temi fondamentali.

Non è in discussione che l’argomento e’ sulle agende delle istituzioni e delle aziende.

È però importante fare gli investimenti giusti dopo aver fatto una analisi dei rischi a cui

si è esposti ed affidandosi a quelle tecnologie che possono garantire gli investimenti fat-

ti nel tempo.

Inoltre condividere le informazione diventa fondamentale in quanto il crimine nel mon-

do virtuale così come nel mondo reale è facilitato dall’omertà consapevole o inconsape-

vole delle persone coinvolte. Avere informazione di carattere geografico, tecnologico,

quantitativo sulla diffusione di malware, attacchi, crimini in genere, aiuta a fare un analisi

del rischio opportuno e focalizzare gli investimenti di conseguenza.

IBM mette a disposizione dei prodotti del portafoglio sicurezza l’intelligenza che provie-

ne da un gruppo di ricerca dedicato al tema di nome X-Force.

X-Force è a disposizione del prodotti ma anche della comunità. Infatti viene prodotto

un report ogni 3 mesi sul crimine informatico. Dal 2015 X-Force mette a disposizione un

portale che può dare gratuitamente informazioni su tutte le informazioni che sono utili

alla identificazione del rischio, dalla reputazione di un singolo IP, applicazione, sito web

fino alle attività di scan , spam, etc. in corso a livello mondiale, istante per istante.

Dragonfly, Sandworm, MiniDuke, CosmicDuke, Careto, Shamoon, Wiper sono solo alcune

delle campagne APT che hanno interessato industrie del settore energetico nel corso degli

ultimi anni. Per essere più precisi, sono le campagne APT di cui si ha conoscenza pubblica-

mente. Se, come spesso accade, le notizie di dominio pubblico rappresentano soltanto la

punta di un iceberg in un contesto di informazioni “sommerse”, si può facilmente immagina-

re quale sia la portata globale delle azioni offensive condotte ai danni di organizzazioni che

operano in questo settore considerato, giustamente, altamente critico nello scacchiere delle

infrastrutture di una nazione. Al fine di progettare e realizzare strategie difensive efficaci per

individuare e rispondere ad azioni offensive è fondamentale comprenderne le cause. Quan-

do si affronta il tema della cyber security in un settore critico come quello energetico, si fa

62

Domenico RAGUSEOIBM

Angelo PERNIOLARSA

spesso menzione della dicotomia esistente tra due macrosistemi differenti e interagenti tra

loro: Information Technology (IT) e Operational Technology (OT). Tale dicotomia aiuta, infatti,

a individuare le peculiarità che un programma di sicurezza applicato al mondo OT deve pos-

sedere, poiché mette in luce le caratteristiche di sicurezza che rendono il mondo OT origina-

le rispetto al più tradizionale e consolidato mondo IT. Per quanto riguarda efficaci azioni di-

fensive, RSA considera le fasi di individuazione e risposta agli attacchi (c.d. Incident Detec-

tion e Incident Response) le chiavi di volta di una corretta strategia difensiva.

I meccanismi di sicurezza preventiva (es. hardening dei sistemi, AV, endpoint protection,

SIEM, Proxy, Firewall, IPS, etc.) sono importanti e rappresentano la base di partenza per un

programma di sicurezza efficace, ma non sono sufficienti. Analizzando un report a scelta tra

quelli periodicamente pubblicati da vendor o istituti di ricerca che illustrano lo stato della si-

curezza a livello mondiale o nazionale in qualsivoglia settore industriale, la costante che si ri-

scontra è la continua crescita del numero di attacchi nonostante un’analoga crescita presen-

te nel campo degli investimenti in sicurezza preventiva. Risulta evidente, quindi, che la sola

prevenzione sia attività necessaria ma assolutamente non sufficiente.

Se partiamo, quindi, dall’assunto che i nostri sistemi (IT e OT) siano potenzialmente già stati

compromessi perché le misure di sicurezza preventiva non sono in grado di assicurare prote-

zione assoluta, l’unica alternativa percorribile è di sviluppare all’interno della nostra organizza-

zione capacità di individuazione e reazione ad incidenti di sicurezza. Perché questa alternati-

va possa trasformarsi in realtà e queste capacità possano svilupparsi, è necessario fare leva

su tre elementi indispensabili e interagenti tra loro: persone, processi e tecnologie. Non sol-

tanto è importante la presenza di questi tre elementi, ma lo è altrettanto, se non di più, la lo-

ro perfetta sinergia.

63

Conclusioni

Il Laboratorio nazionale di cyber security, nato circa due anni fa, si è messo a servizio del-

l'implementazione del piano strategico nazionale. Si tratta di un'entità legale con 35 uni-

versità consorziate e 2 centri di ricerca molto rilevanti. Il Laboratorio si occupa di diverse

attività progettuali e si impegna nello sviluppo di attività di sistema.

I prossimi appuntamenti del Laboratorio prevedono:

• un libro bianco sulla sicurezza cibernetica, che avrà come tema principale l’insieme del-

le sfide che l’Italia deve affrontare per rimanere nel gruppo dei Paesi avanzati;

• un framework nazionale che permetta di migliorare le capacità del Paese in materia di

Cyber Security.

Il libro bianco è uno sforzo accademico con lo scopo di illustrare ai decisori politici che

la situazione nell’ambito sicurezza cibernetica sta peggiorando. L'Italia deve affrontarla e

impegnarsi attraverso il rindirizzamento di risorse che sono utilizzate in altri settori; la sfi-

da per l'economia del prossimo futuro è sicuramente il cyberspace. Nell'ultimo periodo,

c'è stato un cambiamento strutturale all'interno del mondo dell’economia, che è comple-

tamente dipendente dal cyberspace. Si provi a pensare a cosa potrebbe accadere se,

improvvisamente, internet smettesse di funzionare; tutte le attività, non soltanto le infra-

strutture critiche, si fermerebbero con effetti devastanti. La forza economica di un Paese

e di un'azienda dipenderà dai sistemi di sicurezza che saranno resi disponibili. Questa

necessità è stata percepita immediatamente da molte nazioni. Anche in Italia si è perce-

pita, dunque, l’esigenza di creare un framework nazionale per la cyber security che ne il-

lustri i vantaggi per il sistema Paese e come gestire il rischio cibernetico.

Il framework nazionale ha diversi punti di contatto con il framework NIST (del febbraio

del 2014), stilato per le infrastrutture critiche; si tratta di un framework generale, adatta-

to ai diversi settori regolati, specializzato sulla realtà economico-produttiva italiana.

Un'azienda dovrebbe adottare un framework per diverse ragioni. Si parte dal presuppo-

sto che nessuna conformità a un framework può assicurare rischio zero. Tuttavia, in pri-

65

Roberto BALDONIUniversità “La Sapienza”

Lo sviluppo del Cyber Security Framework Nazionale e i servizi emergenti

mo luogo, quando si verifica un data breach - oltre ai danni operazionali, reputazionali e

di IPR - l'azienda o l’organizzazione governativa rischia di poter essere soggetta a multe

o a Class Action.

Inoltre, istituire un'appropriata duty of care in questa materia è particolarmente rilevante

perché permette di mitigare il rischio che deriva da un utilizzo senza precauzioni di inter-

net o dei sistemi informativi; la presenza di una compliance a livello di framework nazio-

nale può alleggerire questa posizione.

Infine, si è deciso di costituire un framework nazionale perché si è capito che il proble-

ma cyber deve essere estrapolato dal contesto meramente tecnico. Nel prossimo futu-

ro, la sfida sarà riuscire a far percepire la sua importanza all'interno dei board delle orga-

nizzazioni; in questo modo, si riusciranno a trovare le risorse necessarie per poter mette-

re in sicurezza il business dell'organizzazione stessa e successivamente, in scala più am-

pia, dare maggiore sicurezza al sistema Paese. Il framework è di tipo generale e potrà,

dunque, essere esteso a tutti i settori regolati; si potrà avere una base comune di riferi-

mento a cui seguiranno delle verbalizzazioni riferite ai diversi settori regolati.

Bisogna individuare un modello che consenta alle aziende di raggiungere un livello di

maturità cyber adeguata al loro business e, in seguito, capire qual è il percorso adatto a

ogni singola società in funzione del suo specifico business; questo consentirà di aumen-

tare le difese nonché la consapevolezza interna grazie alla sensibilizzazione del personale.

Per arrivare al framework nazionale, si parte dalle best practices internazionali cercando

di adattarle alla situazione italiana, dove si trovano poche grandi aziende e tantissime

piccole e medie imprese. Questo lavoro si svolge in collaborazione con un gruppo di

persone appartenenti a gruppi industriali che gestiscono le grandi infrastrutture critiche

nazionali - come Eni e Enel - per arrivare a un miglioramento di sistema per il Paese ri-

spetto a problematiche di attacchi che, inevitabilmente, esisteranno sempre.

A livello italiano, il lavoro sulla cyber security permetterà di avere una “due diligence”

nei confronti dei rapporti con le altre nazioni. Non si tratta, quindi, di un problema solo

nazionale, bensì della modalità con la quale l’Italia si rapporta con altre nazioni: se viene

generato un attacco, la probabilità che questo rimanga entro i nostri confini è pari a zero.

66

Energia Media srl

Sede di Milano

Via Soperga 16 - 20127 Milano

Tel. 02.78622540 Fax. 02.84254632

Sede di Roma

V.le Trastevere, 40 - 00153 Roma

Tel. 06.5810501

Email

[email protected]

www.smartcityitalia.netwww.industriaenergia.it

www.acquaoggi.itwww.cybersecurityenergia.it











Report 2ª Conferenza Nazionale Cyber Security Energia

Documents

Transcript of Report 2ª Conferenza Nazionale Cyber Security Energia