L’importanza delle cosiddette smart grid, le reti energetiche digitalizzate di ultima generazione, è cresciuta di pari passo con i rischi di “cyberattacchi” in grado di produrre danni a infrastrutture e sistemi con una gravità tale da arrivare addirittura a bloccarne il funzionamento, in porzioni di territorio anche molto ampie.
È ben noto come il radicamento sul territorio e la pervasività dei servizi, dalla fornitura di energia elettrica e gas al ciclo idrico, fino alla gestione dei rifiuti, rendano le utility un fattore essenziale per la qualità della vita e per tutte le attività economiche.
Così come, sullo sfondo di una rivoluzione digitale e di una transizione energetica, anche la loro vulnerabilità risulta accentuata.
La digitalizzazione, infatti, oltre a portare grandi opportunità ha come rovescio della medaglia l’aumento dell’esposizione ai rischi, poiché l’automazione dei processi e l’informatizzazione delle attività producono incrementi nel numero di attività gestite da computer, ampliando notevolmente il potenziale distruttivo di un attacco cibernetico. Pertanto, se non accompagnato da paralleli investimenti nella cybersecurity, tutto ciò potrebbe addirittura portare più problemi che benefici.
Inoltre, le crescenti tensioni geopolitiche stanno rendendo ancora più delicato il settore, trasformando il tema della sicurezza digitale in una delle priorità in agenda per il management.
Il recente Energy & Utilities Security Summit 2022 organizzato da Clusit, Aipsa e Utilitalia ha cercato proprio di analizzare le criticità del settore, partendo comunque da una situazione dove, rispetto ad altri comparti, il livello di protezione è, in generale, particolarmente alto.
Attacchi che nel 2021 sono aumentati del 10 per cento rispetto all’anno precedente, con un livello di intensità sempre più grave, soprattutto in Europa.
Va detto, però, che le cifre vanno lette anche alla luce di una maggiore disponibilità di dati, dovuta principalmente all’entrata in vigore di normative come il GDPR, che impongono di notificare i data breach subiti.
Insomma, nel nostro Paese, in particolare, l’allarme cyber ha raggiunto dimensioni molto elevate, soprattutto dopo i recenti attacchi di probabile matrice russa che hanno colpito alcuni siti istituzionali e che potrebbero crescere ulteriormente nei prossimi mesi.
Il timore è che vengano prese di mira le cosiddette “infrastrutture critiche”, tra le quali sono comprese anche le centrali elettriche nonostante sia soltanto al quinto posto tra i settori più colpiti nel periodo 2018-2022, un dato che, probabilmente, è il risultato degli investimenti importanti fatti in passato, soprattutto da parte dei big del comparto, mentre non si può dire la stessa cosa delle realtà più piccole.
Il panorama italiano vede infatti ben 125 distributori di energia elettrica e soltanto 10 di loro hanno più di 100.000 clienti, situazione che non cambia per quanto riguarda le altre utility con 193 distributori di gas (dei quali solo 6 possono essere considerati di grandi dimensioni) e 164 distributori di acqua, senza dimenticare che, a oggi, abbiamo anche 900.000 “mini” produttori di energia elettrica, i cosiddetti prosumer.
È anche per queste ragioni che risulta problematico un dato che arriva dal Clusit: in Italia, 3 attacchi su 4 hanno impatti critici, un valore che si giustifica anche per via del tessuto economico-industriale del nostro Paese, in larga parte dominato da piccole e medie imprese che non hanno la possibilità di destinare cospicue risorse alla cybersecurity.
Un solo numero basta ad inquadrare la dimensione del fenomeno: in Italia si spendono complessivamente 1,5 miliardi di euro in sicurezza informatica, ovvero meno del budget che può essere stanziato da una singola multinazionale di Oltreoceano.
Per tutte queste ragioni, quel che risulta è che, in Italia, rimane ancora molto da fare.
Tornando alle utility, solo un’azienda su due possiede un’unità specificamente dedicata alla cybersecurity, anche se il 25 per cento circa delle società analizzate ha dichiarato che una funzione ad hoc è in via di sviluppo, intervenendo anche in termini di personale, attualmente sottodimensionato.
In media, nel 2019, le spese di questo genere sono state solo il 15 per cento degli investimenti sui sistemi operativi e c’è una forte correlazione tra livello di spesa in sistemi di difesa e attacchi subiti negli ultimi tre anni.
Quel che risulta è anche che gli impianti del settore energia sono difficili da aggiornare, sia perché basati su software obsoleti, sia perché presentano bug multipli, non solo legati alla vulnerabilità in ambito sicurezza: questo comporta che non sempre l’infrastruttura energetica consente di ospitare soluzioni di monitoring e, provare prolungare la vita degli impianti con operazioni di revamping non è per nulla semplice, così come intervenire con antivirus e antimalware.
La cybercriminalità, infatti, fa ricorso a strumenti sempre più sofisticati che richiedono ingenti investimenti per essere combattuti efficacemente: dai più semplici casi di spear phishing, ovvero email ingannevoli contenenti allegati attinenti al settore energetico in grado di installare dei trojan nel sistema informatico, al furto di credenziali d’accesso partendo da società più piccole e meno difese, per arrivare poi alle più grandi.
Le ragioni dietro gli attacchi informatici sono in realtà innumerevoli. In alcuni casi, lo scopo è puramente di estorcere denaro e si parla dei cosiddetti attacchi ransomware, che paralizzano un sistema per ottenere il pagamento di un riscatto, oppure ci sono i data theft, ovvero furto di informazioni sensibili da rivendere al miglior offerente.
La natura peculiare delle utility rispetto ad altre aziende risiede nel fatto che, fornendo servizi essenziali di pubblica utilità, il blocco delle loro attività ha impatti potenzialmente catastrofici, con danni incalcolabili e interrompere l’approvvigionamento di energia elettrica, di acqua o di gas può mettere letteralmente in ginocchio l’economia di un intero territorio, e anche di una nazione.
Negli ultimi tre anni, le 100 principali utility italiane analizzate da Top Utility per Althesys, hanno riportato oltre 260 minacce alla sicurezza informatica di entità medio-alta, oltre a un numero imprecisato e difficilmente quantificabile di altri tipi di minacce meno gravi.
Le aziende con fatturato superiore al miliardo di euro sono quelle che hanno ricevuto più attacchi, sia per motivi strutturali, cioè per via della loro estensione sull’intero territorio nazionale, che comporta sistemi di gestione più complesse, un maggior numero di uffici e quindi più potenziali falle, sia perché gestiscono i dati di milioni di persone e aziende, cosa che le rende molto appetibili per furti di dati. Inoltre, avendo tendenzialmente investito di più nella digitalizzazione, offrono un’area di attacco potenzialmente più estesa.
Se si guarda al futuro, la larghissima maggioranza delle utility (86,5 per cento) ritiene che gli investimenti in cybersecurity aumenteranno, mentre un 10 per cento circa li considera stabili. Solo una percentuale molto marginale, minore del 3 per cento, afferma invece di non avere investimenti in programma in quest’area.
Insomma la direzione è chiara: il numero di attacchi è destinato a crescere e la transizione a un’economia digitale deve necessariamente portare a una maggiore consapevolezza, con più investimenti e una formazione forte nel settore.