SICUREZZA DIGITALE

La Cybersecurity dell’Energy Cloud

La difesa delle infrastrutture energetiche critiche, la vulnerabilità degli SCADA, i cyber attacchi stile Ucraina, l’Europa ancora in ordine sparso. E qualche pericolosa omertà

Dopo avere visto le caratteristiche di decentralizzazione e digitalizzazione  e lo Smart Energy System (SES), in conclusione del trittico sull’Energy Cloud ci soffermeremo sui problemi di cybersecurity legati al sistema informatico stesso. 

Uno dei principali obiettivi della strategia dell’UE per la sicurezza informatica è ridurre le vulnerabilità delle CI (critical infrastructure) e aumentarne la resilienza. La resilienza informatica si riferisce alla capacità di prepararsi, rispondere e riprendersi da un attacco informatico, in modo che un’organizzazione o un’infrastruttura colpita possa continuare a operare durante l’attacco. La prima policy completa dell’UE sulla sicurezza informatica, la Strategia per la Sicurezza Informatica dell’Unione Europea, è stata adottata nel febbraio 2013; è sviluppata dalla direttiva NIS (Network information security) del Parlamento dell’UE nel luglio 2016. Il regolamento generale sulla protezione dei dati dell’UE (GDPR) è stato adottato nell’aprile 2016 ed è formalmente in vigore dal 2018. Questi strumenti normativi sono supportati da accordi internazionali. Ad esempio, nel febbraio 2016, l’UE e la NATO hanno intensificato la loro cooperazione in materia di difesa informatica firmando un accordo tecnico tra la Capacità di Risposta agli Incidenti Informatici della NATO e CERT-EU (Computer Emergency Response Team for EU institution).

Nel 2016 l’ITRE (Commissione Industria, Ricerca ed Energia) richiese alla Direzione per le Politiche UE uno studio sull’argomento Cybersecurity per il settore enegetico. Questo studio riconobbe che l’infrastruttura energetica, a tutti gli effetti una mega-CI, stava transitando a un “decentralised, digitalised smart energy system” e in quanto tale era esposta a cyber-attacks, quando non ad APT (Advanced persistent threat), potenzialmente catastrofici. Ciò era dovuto soprattutto al bridge costituito dallo SCADA (Supervisory Control and Data Acquisition), legato direttamente alle OT, le operating technologies della rete elettrica.

Nell’automatica dei controlli, lo SCADA è un sistema informatico distribuito di processo,  quasi sempre  di complemento alle soluzioni di automazione fornite dalle aziende del settore (p.es Siemens). I sistemi SCADA vengono impiegati nelle sale controllo delle fabbriche, delle stazioni ferroviarie, degli aeroporti, degli acquedotti o dei grandi complessi, comunque vicini al processo da controllare. Funziona attraverso la rilevazione via sensori o PLC sul campo, fornisce una rappresentazione solitamente grafica dello stato, memorizza i dati e ne dà le statistiche, gestisce gli allarmi per anomalia, interagisce come gateway con i soprastanti ERP (es. SAP) e MES. I sistemi SCADA sono nel mirino dei criminali informatici, perché basati su TCP-IP spesso senza autenticazione, password o crittografia. È pertanto importante intervenire segmentando le reti di processo affinché siano irraggiungibili dall’esterno e impedendo bypass diretti agli apparati. Nel 2008 il worm chiamato Stuxnet, portato con una semplice chiavetta USB,  ha attaccato gli SCADA di Siemens (bella pubblicità…) via Modbus, il protocollo di comunicazione fra diversi dispositivi connessi alla stessa rete, per esempio proprio nel controllo di supervisione SCADA.

Lo studio EU è giunto a queste conclusioni, con priorità crescente da 1 a 5:

  • Nomina di un’autorità centrale per la cybersecurity del settore energetico (5)
  • Obbligo di reporting degli incidenti di sicurezza (5)
  • Provvedimenti per richiedere la condivisione di informazini rilevanti (5)
  • Allineamento delle attività di cybersecurity fra tutte le CI per includere le soluzioni ICS (Industrial control systems ) / SCADA e le operazioni di rete (3)
  • Sviluppo di standard di sicurezza per i sistemi energetici (3)
  • Creazione di un board di certificazione  (3)
  • Armonizzazione dei requisiti di sicurezza nell’UE (3)
  • Promozione della consapevolezza e dell’impegno da parte degli utenti (2)
  • Creazione di una rete di stakeholder per la sicurezza energetica (2)
  • Approcci comuni tra stati membri in merito ai sistemi di comunicazione per la smart energy (2)

Il gruppo di coordinamento sulla smart grid degli organismi standardizzatori UE (CEN-CENELEC-ETSI) ha fornito il modello architetturale di riferimento dello Smart Energy System (SES):

È importante notare come probabilmente molte delle minacce avvenute finora siano state gestite in modo confidenziale e non siano state condivise a livello di settore. Ciò equivale alla perdita di conoscenze critiche. Alcuni esempi di problemi invece identificati:

1. Nel 2014, in Portogallo, è stata rilevata una falla in uno standard di crittografia sviluppato dall’alleanza Open Smart Grid Protocol (OSGP) per proteggere le reti di reti intelligenti nell’UE e adottato da ETSI (European Telecommunications Standards Institute).

2. Nel Regno Unito nel 2014, i piani di implementazione dei contatori intelligenti hanno creato un potenziale caos attraverso la rete, poiché un singolo hacker poteva plausibilmente disabilitare i contatori elettrici dell’intera popolazione.

3. Preoccupazioni simili sul metering intelligente si sono avuti nello stesso anno in Spagna.

L’ENISA (European Union Agency for Cybersecurity) ha stabilito che riguardo i costi dei cyber incidenti delle CI nell’UE : –  Finanza, ICT e settore energia hanno quelli più alti; –  Gli stati tendono a  tollerare attività criminose finchè restano a livello “accettabile” (circa il 2% del PIL, e con tutto il rispetto mi pare fuori dal mondo, spero non sia così per le tasche dei contribuenti); – Spesso azioni e investimenti vengono attivati solo dopo un’importante emergenza; –  La maggior parte dei Paesi non ha ancora adottato misure rilevanti e formali; – I criminali stanno razionalizzando e ampliando le loro tecniche mentre le aziende investono per combattere tecniche obsolete; – I tempi di “messa in ginocchio” sono ormai nell’ordine dei minuti mentre i tempi di ripresa continuano a crescere;   – La gran parte delle vulnerabilità è stata sfruttata dai criminali solo dopo un anno se non più dalla scoperta: vuol dire che comunque l’organizzazione di un attacco serio, aldilà della tecnica, ha dei tempi organizzativi durante i quali si dovrebbe porre rimedio.

La lista che segue mostra i possibili tipi di attaco, non serve certo tradurli:

• Spreading of malware 

• Identity theft 

• Database exploit of business and control systems 

• Compromising of communication equipment 

• Web attacks 

• Web application attacks 

• Network Availability 

• Eavesdropping / traffic analysis 

• Botnets 

• Phishing 

• Modbus security 

Un rapporto dei Lloyds esplora uno scenario ipotetico in cui un attacco informatico crei un blackout elettrico che faccia precipitare nell’oscurità 15 stati USA (tra cui New York e Washington DC) e lasci senza energia elettrica 93 milioni di persone. L’impatto totale sull’economia statunitense è stimato come minimo a  $ 243 miliardi e il totale dei sinistri a carico del settore assicurativo è stimato tra  21 e 71 $ miliardi.

Una delle più clamorose violazioni della sicurezza informatica (pubblicizzate) nel settore elettrico è stato l’attacco alla rete di tre società regionali di distribuzione (le “Oblenergos”) in Ucraina il 23 dicembre 2015.  Si è trattato di una serie ordinata e strategicamente impeccabile di attacchi informatici attuati in 30 minuti: spear phishing per accedere alle reti di business delle Oblenergos > furto di credenziali amministrative di rete > uso di VPN per entrare nei sistemi ICS – SCADA > uso di tool di accesso remoto per dare comandi dentro il sistema ovvero input dei comandi da una postazione che emulava un operatore human to machine (HMI) > porte seriali ed ethernet messe fuori uso per impedire accesso agli SCADA violati > programmazione di una sospensione elettrica tramite manomissione degli UPS > blocco del call center clienti con attacco mirato DoS. Gli aggressori hanno preso il controllo dei sistemi informatici e degli SCADA che interessavano le sottostazioni di trasformazione da 110 kV e 35 kV. Ciò ha provocato interruzioni elettriche di diverse ore che hanno colpito circa 225 000 persone.

Altri casi segnalati pubblicamente di attacchi informatici allo spazio energetico includono: • Il 27 aprile 2016 è stato scoperto che la centrale nucleare tedesca di Gundremmingen era stata infettata da virus informatici. • Nel dicembre 2014, la Corea del Sud ha denunciato un attacco informatico contro il gestore delle sue centrali nucleari. • Nel 2014, l’hacker cinese “Ugly Gorilla” si è infiltrato nella rete di una società di servizi pubblici statunitense. • Nel 2013, un virus informatico ha attaccato il sistema di controllo turbine di una compagnia elettrica statunitense dopo che un tecnico ha inserito un’unità USB infetta in un computer della rete. • Nel 2012, la RasGas del Qatar, uno dei maggiori produttori mondiali di gas naturale, è stata colpita da un virus che si è infiltrato in 30.000 postazioni di lavoro. • Nel giugno 2010, il citato Stuxnet ha preso di mira l’impianto nucleare iraniano di Natanz.

La protezione delle infrastrutture critiche è stata inserita per la prima volta nell’agenda dell’UE nel giugno 2004. Nel novembre 2005 la Commissione europea ha definito un programma (EPCIP) per la protezione delle infrastrutture critiche. Ricapitolando,  l’attuale situazione della cibersicurezza energetica nell’UE mostra come obiettivi:

1.     Migliorare la resilienza degli Stati membri sulla base dell’attuazione di standard di cybersicurezza 

2.   Garantire almeno le capacità minime (requisiti UE) attraverso audit/test e sanzioni per i guasti, valutati dalle autorità competenti a livello nazionale e di settore 

3.  Sostenere e aumentare la condivisione e la collaborazione delle informazioni attraverso la rendicontazione obbligatoria e transfrontaliera e tra diversi soggetti a livello nazionale (pubblico-privato).

La maggior parte degli Stati membri (tra cui noi) ha solo introdotto la segnalazione obbligatoria degli incidenti per settori specifici (come l’energia ma anche le telecomunicazioni), alcuni Paesi l’hanno invece adottata a 360°. I team di risposta alla sicurezza informatica (CSIRT), istituiti dalla direttiva NIS, sono lì per affrontare gli incidenti di sicurezza informatica e possono essere governativi globali (offrendo servizi ad enti pubblici), nazionali al servizio di operatori privati ​​di CI, settoriali (p.es. energia) o di natura combinata.

Con la stessa logica della regolamentazione UE  GDPR prevalente sulle leggi nazionali andrebbe perseguito questo obiettivo di sicurezza veramente vitale. Altrimenti rimangono molte funzioni di controllo, consultive, magari anche burocraticamente ingombranti, come quelle qui elencate tra:

• Analytical function  (A)

• Technological function (T)

• Collaborative function (C)

Non mi si tacci di disfattismo se capovolgo la nota frase di Mao: grande è l’ordine sotto il cielo, la situazione è pessima.

Back to top button