La Cyberwarfare è stata il punto di partenza per la discussione sviluppata nel contesto dell’Energy & Utilities Security Summit, la tavola rotonda verticale, ormai alla seconda edizione, organizzata da Clusit (Associazione Italiana per la Sicurezza Informatica), insieme ad AIPSA (Associazione Italiana Professionisti Security Aziendale) e Utilitalia (Federazione delle imprese idriche, energetiche e ambientali).
La crisi tra Russia e Ucraina ha portato all’attenzione pubblica il tema della guerra cibernetica tra Stati, che puntano a piegare il sistema e l’economia degli avversari attraverso gli attacchi informatici.
Le grandi infrastrutture di produzione, trasporto e distribuzione dell’energia, da sempre obiettivi sensibili in termini di cyber risk, diventano i bersagli privilegiati dell’attuale conflitto, visto che le forniture energetiche sono il perno del regime sanzionatorio contro la Russia.
L’argomento, insieme ad alcune tematiche più generali sull’evoluzione della cybersecurity, è stato oggetto del dibattito che ha visto coinvolti alcuni dei principali attori italiani del mercato dell’energia.
Gli attacchi cyber in Italia e nel mondo
I lavori si aprono con la presentazione di alcuni dati dell’ultimo Rapporto Clusit, pubblicato lo scorso marzo. «Lo scenario è preoccupante – afferma Gabriele Faggioli, Presidente Clusit -. Gli attacchi cyber verso le realtà basate in Italia sono passati da 30 a 70, nel periodo 2018-2021, a fronte di un aumento globale da 1.554 a 2.048. La crescita del fenomeno nel nostro Paese è estremamente disomogenea rispetto al resto del mondo e ha avuto un salto netto soprattutto dal 2020 al 2021».
Il malware rappresenta la componente principale dello scenario, mondiale e nazionale. Su 7.143 attacchi censiti a livello globale negli ultimi tre anni, 5.891 (ovvero l’82%) sono riconducibili al cybercrime. La seconda minaccia planetaria è costituita dagli attacchi con finalità di spionaggio o sabotaggio (12%), mentre in Italia la medaglia di bronzo va all’hacktivism (anche se, come precisa Faggioli, si tratta probabilmente di una deviazione statistica).
L’Information Warfare è un fenomeno che, quasi assente negli anni scorsi dopo l’impennata durante la lotta all’Isis, è destinato a crescere pesantemente nel 2022 a causa del conflitto russo-ucraino e dell’instabilità geopolitica.
Nella classifica a dieci dei settori più colpiti, Energy & Utilities sono al penultimo posto in Italia, mentre neppure compaiono a livello mondo. «Probabilmente – commenta Faggioli – questi comparti, così come il Finance, sono stati obbligati a investire in sicurezza in maniera importante, a causa delle normative. Il management è particolarmente attento al problema e la spesa in formazione, awareness, tecnologia è maggiore rispetto a altri settori». Sanità e Pubblica Amministrazione invece sono le organizzazioni più bersagliate.
«Dopo l’America – prosegue Faggioli – l’Europa è la seconda regione al mondo più attaccata, ma sorprende che dal 2018 al 2021 la percentuale di attacchi è quasi triplicata, passando da 8 a 22. Tuttavia, ritengo che un tale aumento sia determinato soprattutto dal fatto che, se prima gli incidenti venivano sottaciuti, le più recenti normative obbligano alla notifica».
Alcune considerazioni riguardano quindi le tecniche di attacco, con il malware che guida la classifica internazionale (42% dei casi) e italiana (44%). Al secondo posto ci sono le minacce unknown (non riconducibili a tecniche conosciute), mentre, a chiudere il podio, si trovano gli attacchi di phishing e social engineering.
La severità degli attacchi è particolarmente preoccupante nel nostro Paese. Gli incidenti con impatto critico o elevato sono il 58% a livello globale, mentre in Italia la percentuale sale al 75. «L’Italia – asserisce Faggioli – subisce proporzionalmente più attacchi, sperimenta una crescita maggiore delle minacce e inoltre si caratterizzata per la gravosità degli incidenti. Il livello più alto della severità restituisce l’idea di un Paese strutturalmente debole, caratterizzato da un tessuto industriale disgregato in Pmi. Le piccole imprese, con i budget per la sicurezza limitati, non ottengono la stessa efficacia di una grande azienda, che ha capacità di investimento e può fare economie di scala».
Aumentano gli attacchi alle infrastrutture critiche
Faggioli si focalizza sull’analisi della cybersecurity rispetto alle infrastrutture critiche. Nel periodo 2018-2021 sono stati censiti 2.589 cyber attacchi a livello mondo e 93 in Italia. Globalmente, gli attacchi alle infrastrutture critiche rappresentano il 36% dei casi, mentre nel nostro Paese la percentuale supera di poco l’unità. «Tuttavia – sottolinea Faggioli – in tre anni, gli attacchi a livello nazionale sono passati da 14 a 44. L’Italia sta vivendo una pressione maggiore rispetto altri Paesi: subisce mediamente il doppio degli attacchi della Francia e il 50% in più degli attacchi della Germania».
Anche nel caso delle infrastrutture critiche, il cybercrime rimane la minaccia principale nel periodo 2018-2021 (le percentuali sul totale degli attacchi sono 81% e 64% rispettivamente a livello globale e italiano). Anche in questo caso, il secondo posto a livello nazionale è assegnato all’hacktivism, mentre a livello mondiale all’espionage/sabotage.
I settori più colpiti, anche in relazione alle infrastrutture critiche, rimangono Sanità e Pubblica Amministrazione. In Italia, le vittime principali sono le amministrazioni locali e al quinto posto si collocano le infrastrutture di produzione, trasporto e distribuzione dell’energia (nella top ten mondiale, invece, sono in penultima posizione).
Le tecniche di attacco verso le infrastrutture critiche più comuni sono malware (36%), unknown (27%) e vulnerabilities (13%) a livello mondo, mentre unknown (45%), malware (43%) e denial of service (4%) in Italia.
In Italia, gli attacchi alle infrastrutture critiche hanno una gravità maggiore rispetto alla media mondiale. Nove su dieci infatti causano impatti gravi o molto gravi, mentre nessuno ha conseguenze limitate. A livello globale, invece, la severity critica o comunque alta riguarda il 75% dei casi.
«Ormai – evidenzia Faggioli – gli attacchi multipli e indiscriminati, la cosiddetta “pesca a strascico”, sono diminuiti tantissimo. Prevalgono le azioni mirate: gli attaccanti puntano a un obiettivo preciso e studiano accuratamente le vittime. Probabilmente ci saranno anche dei basisti: il denaro che ritorna dagli attacchi infatti giustifica ampiamente l’ingaggio dei complici. La severità degli attacchi quindi è destinata a crescere».
Faggioli chiude la presentazione sostenendo che, a fronte di attacchi sempre più preoccupanti, nuovi spiragli di opportunità per la sicurezza delle imprese possono provenire dal Piano Nazionale di Ripresa e Resilienza (Pnrr), una risorsa che certamente andrà sfruttata.
Le riflessioni delle imprese del settore Energia
L’Energy & Utilities Security Summit prosegue con la tavola rotonda degli addetti al settore. Sul piatto vengono collezionate una serie di riflessioni importanti su un’ampia varietà di temi, che spaziano da al ruolo delle donne nel mondo della sicurezza informatica alla necessità di fare analisi del rischio.
Alessandro Cattelino, Responsabile Cybersecurity, Iren SpA, mette l’accento sulla responsabilità delle persone come anello debole della sicurezza. «Serve implementare una strategia con tre gambe – dichiara -. Innanzitutto bisogna aumentare l’awareness delle persone, con una formazione che incida sul loro comportamento. È necessaria la velocità, perché la formazione deve essere allineata alla rapida evoluzione delle minacce. Infine, la formazione deve essere personalizzata, perché ogni individuo è unico, con il suo modo di interagire con gli strumento informatici». Secondo Cattelino, inoltre, la formazione deve essere esperienziale, quindi le simulazioni di attacchi sono una tecnica efficace per la crescita dell’awarness. Il gaming può invece essere utile per promuovere l’ingaggio delle persone e misurare il livello di consapevolezza.
Serena Contu, Head of Data Protection, Corporate Liability Compliance and Ethic Code Values, Plenitude, interviene sull’importanza di una formazione sui temi della CyberSecurity impartita da giovani. «Privacy, Data Protection e sicurezza informatica – afferma Contu – dovrebbero essere materie centrali dell’educazione civica digitale. Dobbiamo costruire generazioni che siano prudenti e consapevoli dei device che utilizzano».
L’intervento di Franco Picchioni, Head of Information & Cyber Security, Gruppo Hera, sposta il focus sul tema dell’analisi del rischio, che deve essere una pratica alla base di qualsiasi strategia di sicurezza, ma richiede tempo, competenze e risorse. Servirebbero indicazioni metodologiche più precise; le università e le associazioni di settore potrebbero avere un ruolo privilegiato nel guidare le Pmi nel processo di risk analysis, suggerendo approcci e strumenti.
Tra gli altri temi della tavola rotonda, emerge la necessità di mettere in sicurezza la componente delle Operational Technology, che per le compagnie del settore energetico rappresenta la colonna portante dei processi aziendali. Alessandro Manfredini, Direttore Group Security & Cyber Defence, Gruppo A2A, ricorda che esistono standard internazionali per la sicurezza dei sistemi industriali, come ad esempio la IEC 62443, e che molte buone pratiche sono state importate dal mondo IT, come le tecniche di gestione degli accessi. Tuttavia, la buon volontà si scontra spesso con sistemi obsoleti, perché l’ammodernamento tecnologico degli impianti è particolarmente oneroso. Recentemente, però, anche sulla spinta della direttiva Nis, sta crescendo la consapevolezza sul ruolo decisivo dell’Ot nel giocare la partita della cybersecurity.
Altri interventi del dibattito hanno infine portato l’attenzione sulla sostenibilità ambientale, tema prioritario per le aziende energetiche, che le buone pratiche di cybersecurity possono favorire, come sostiene Massimo Cottafavi, Global Security & Cyber Defence Dpt., Head of Cyber Security & Resilience, SNAM; sull’importanza della security-by-design in un comparto, quello della rivendita di energia, dove il dato del cliente è il principale asset a valore, come sottolinea Davide Manconi, Cyber Security Manager, Plenitude; sul ruolo delle associazioni di settore per incentivare la cybersecurity, come puntualizza Mattia Sica , Direttore del Servizio Reti dell’Energia, Utilitalia; sul gap di genere che affligge il mondo della sicurezza informatica, mentre le donne potrebbero dare un forte contributo migliorativo e dovrebbero essere incoraggiate a intraprendere carriere nell’It.
L’ultimo giro di tavolo, è un elenco delle principali sfide che coinvolgeranno le aziende dell’Energia nel contesto della cybersecurity: l’integrazione della sicurezza It e Ot, la gestione più consapevole del rischio, lo sviluppo di una cultura diffusa sui temi della security, la capacità di concretizzare un’intelligence integrata nel contesto geopolitico internazionale, l’evoluzione in materia di trattamento dei dati personali, la crescita delle competenze. Tuttavia, la challenge più importante di tutte, come ricorda Manfredini, sarà proprio dare un’ordine di priorità alle sfide e alle azioni risolutive.