Date post: | 21-Jul-2016 |
Category: |
Documents |
Upload: | energia-media |
View: | 219 times |
Download: | 0 times |
Cyber Security EnergiaPaper 3/2015
ECSEnergyCyberSecurityRischiosottovalutatooinutilepreoccupazione?
Energia Media è un’agenzia di comunicazione e relazioni che opera, principalmente, nei settori energy, utility e smart city. Sviluppa strategie comunicative, facilita le relazioni, elabora contenuti e informazione. Sostiene le aziende migliorandone il posizionamento e creando occasioni di business. Affianca associazioni e istituzioni in pro-grammi di comunicazione pensati per aumentare la reputazione nei confronti dei propri stakeholder. Energia Media nasce nel 2013, a Milano, dall'esperienza maturata da un gruppo di persone in oltre vent’anni di lavoro nel campo dell’informazione, delle relazioni e della consulenza strategica nei settori energy e utility.
Tutte le immagini e fotografia presenti in questo Paper sono state regolarmente acquistate su banche dati. Nel caso in cui l’auto-re ritenga che siano state violate le regole di copyright, è pregato di segnalarlo al seguente indirizzo: [email protected]
©Energia Media - aprile 2015
i
Energia Media
ECSEnergyCyberSecurityRischiosottovalutatooinutilepreoccupazione?
La sicurezza informatica elemento irrinunciabile nelle decisioni
strategiche di Governi e imprese
In un mondo sempre connesso alla rete, il flusso di dati e lo scambio di
informazioni sono ormai inarrestabili.
Le aziende del settore energy e utility sono fra i bersagli preferiti degli
attacchi informatici proprio in considerazione della loro importanza
economica, politica e strategica. Oggi più che mai Governi e imprese
devono considerare la sicurezza informatica come uno degli elementi
irrinunciabili nelle loro decisioni strategiche. Lo sviluppo e la pervasività di
Internet caratterizzano la vita odierna di Stati e cittadini: dall’erogazione e
3
acquisto di beni e servizi online, sino alla gestione di infrastrutture critiche e
strategiche nazionali. La rivoluzione dell’ICT ha infatti interessato i settori più
rilevanti di una nazione a partire dalla difesa e funzionamento della
macchina amministrativa pubblica, sino ai settori industriali inclusa la
produzione, trasmissione, distribuzione e utilizzo dell’energia.
La pubblicazione della Strategia Nazionale Cyber Security elaborata dal
CISR (Comitato Interministeriale per la Sicurezza della Repubblica) ha
delineato l’architettura istituzionale per la sicurezza cibernetica identificando
gli organi competenti a vari livelli (politico/strategico, supporto operativo,
tattico di gestione della crisi) per il monitoraggio e la gestione della
sicurezza cibernetica. La strategia ha anche stabilito presso il Ministero dello
Sviluppo Economico il centro nazionale operativo di risposta alle emergenze
informatiche CERT (Computer Emergency Response Team).
In Italia, dunque, esiste oggi una governance della cybersecurity e un centro
operativo nazionale con cui le aziende possono condividere informazioni ed
eventi verificatisi durante la loro operatività.
Nell’era dell’informazione, le tecnologie ICT accrescono le capacità di ogni
organizzazione conferendo loro un elevato grado di efficienza ma, nel
contempo, esse costituiscono un forte elemento di vulnerabilità, basti
considerare quali e quante attività sono dipendenti da queste tecnologie.
4
ECS (Energy Cyber Security: rischio sot-tovalutato o inutile preoccupazione?
Nonostante il grave deteriorarsi della situazione
geopolitica in Est Europa, Medio Oriente e Africa
che trova nel Mediterraneo – come già è – un
possibile obiettivo sia fisico che simbolico di
scontri militari e azioni simboliche, appare molto
sottostimato, per non dire ignorato, il rischio
connesso a possibili attacchi informatici alle
infrastrutture energetiche che vedono il nostro
Paese particolarmente esposto.
5
La bassa percezione del rischio e la sottovalutazione dei necessari impegni
decisori, regolatori e di investimento è tanto più stupefacente quanto è nota
la capacità di molti degli attori in campo di gestire direttamente sistemi
complessi di Information and Communication Technology e/o finanziare
soggetti attivi a livello internazionale in grado di farlo.
Parallelamente prosegue, a livello mondiale ma con particolare impegno in
Europa ed in Italia, la transizione energetica da pochi punti di produzione
alla generazione diffusa dell’energia elettrica e termica associata, resa
possibile dall’utilizzo pervasivo delle stesse tecnologie ICT, che però – se non
ben progettati e gestiti – diventano veicolo potenziale di ingresso per attacchi
malevoli. Ai grandi sistemi infrastrutturali, quali quelli relativi ai sistemi
petroliferi e del gas, con i loro oleodotti, gasdotti e porti, alle grandi centrali
di produzione elettrica con le loro reti di connessione e distribuzione, si
affiancano ora e in prospettiva si sostituiranno, sistemi evoluti di Smart
Production, Smart Grid, Smart City, Smart Mobility, Smart Home, Smart Meter.
Sistemi capaci sì di auto sostenersi e lavorare in “isola” ma che resteranno
necessariamente e prevalentemente connessi e collegati tra loro, non solo per
problemi di back up, ma soprattutto per il coordinamento necessario al
dispacciamento e alla regolazione dei picchi.
L’Italia ha faticosamente varato e si trova ora ad avviare l’attuazione di due
ambiziose Strategie nazionali, sulla Crescita digitale e sulla Banda ultralarga,
che se da un lato rappresentano la più importante sfida di sviluppo
6
Paper n. 3/ 2015 - Cyber Security Energia
tecnologico dei prossimi anni, dall’altra, se non ben valutate e rese
compatibili con le esigenze di Cyber Security del settore energetico,
rischiano di aumentare le debolezze del sistema.
Paradossalmente, l’essere l’Italia all’avanguardia nella realizzazione del
“nuovo paradigma energetico” avviato da Enel con l’introduzione dei
contatori elettronici più di 15 anni fa – che ha illuminato il ruolo
dell’infrastruttura e delle reti di controllo – può diventare fattore di ritardo e/
o futura dipendenza tecnologica dall’estero se non si affronta la questione
con il dovuto impegno.
Energia Media, in vista della 2ª Conferenza Nazionale Cyber Security
Energia del prossimo 25 giugno 2015, che si svolgerà anche quest’anno a
Roma, presso il CASD, ha organizzato negli scorsi mesi una serie di incontri
con i soggetti interessati del settore, sia dal lato dell’offerta sia da quello
della domanda di sicurezza informatica, ponendo come base di discussione
le conclusioni della 1ª Conferenza (leggi Report).
Tra le considerazioni salienti emerse da questi incontri, spicca l’idea che la
sicurezza informatica delle infrastrutture energetiche sia un tema
scarsamente percepito dal top level delle aziende e non fa ancora parte
dell’analisi dei rischi aziendali, nemmeno in ambito di consigli di
amministrazione. Al contrario, è fortissima l’attenzione su questo tema da
parte dei manager industriali e delle amministrazioni pubbliche negli Stati
Uniti e in Gran Bretagna, oltre che nelle società assicuratrici.
7
Tra i vari settori energy quello al momento più alfabetizzato sulla ECS è
l’elettrico; gli operatori del settore gas non sembrano affatto consapevoli dei
cambiamenti richiesti nell’operatività dei propri asset conseguenti alle ultime
disposizioni normative, come ad esempio l’introduzione dei sistemi di
“smart meter gas”, tantomeno sulle loro vulnerabilità informatiche.
Tra i problemi che sembrano contribuire a sottovalutare la sicurezza
informatica, è la necessità dell’interazione aziendale tra soggetti che parlano
linguaggi ed hanno approcci diversi. Nel concreto la divisione IT
(Information Technology) deve interfacciarsi con la divisione Operations e si
trova di fronte l’esigenza di dover far capire i vantaggi dell’applicazione di
soluzioni di sicurezza informatica sull’operatività degli asset.
C’è una oggettiva difficoltà culturale in azienda nell’identificare e
quantificare il rischio informatico, mentre manca una specifica normativa/
compliance che imponga almeno di porsi il problema della necessità o
meno di adottare soluzioni di sicurezza informatica per le infrastrutture
energetiche.
Nel settore energetico la ECS deve avere l’obiettivo di tutelare i
consumatori, fruitori di un servizio essenziale, difficilmente sostituibile,
prima che l’integrità o l’interesse economico aziendale, e per questo –
almeno per quanto attiene all’attività in monopolio tecnico delle reti –
c’è da supporre la copertura dei nuovi costi al pari degli altri
investimenti.
8
Paper n. 3/ 2015 - Cyber Security Energia
9
L’approccio a questo tema si sviluppa ancora dal basso attraverso il dialogo
tra singole divisioni di aziende, mentre la trasversalità del tema dovrebbe
invece portare le aziende a trattarlo con un approccio olistico dall’alto ed in
coordinamento con le istituzioni preposte alla sicurezza nazionale.
Per portare all’attenzione del top management (CEO e CSO) il tema della
sicurezza informatica c’è bisogno in primis della definizione di una
metodologia di identificazione/quantificazione del rischio informatico da
dare al board of management come strumento per capire l’impatto che
l’insicurezza informatica può avere sulla continuità/operatività del business.
C’è ampia condivisione tra i soggetti interpellati sul perché la
consapevolezza del rischio informatico non arriva ai livelli alti aziendali,
mentre c’è una certa consapevolezza a livello accademico: oltre alla
mancanza di normative e compliance, pesano l’incapacità di spiegare in che
modo le soluzioni di cyber security facciano aumentare i guadagni e
l’incapacità a identificare le possibili perdite.
Non secondaria anche la difficile valutazione degli impatti reputazionali di
eventuali défaillance, che porta in ogni caso ad adottare strategie di
minimizzazione e sottovalutazione del danno, fino a nasconderlo. Al
contrario è opportuno chiedersi se il pubblico, anche il più vasto, non sia
ormai maturo e conscio delle problematiche di sicurezza informatica. Si veda
al proposito la strategia di informazione generalizzata adottata in Gran
Bretagna.
10
Paper n. 3/ 2015 - Cyber Security Energia
Nella percezione degli operatori, come già emerso nella 1ª Conferenza del
2014, un altro aspetto particolarmente grave è la mancanza di scambi
informativi, soprattutto da parte delle utility. D’altro canto deve essere
soprattutto il cliente finale a chiedere più sicurezza; ma già questo fatto è
vissuto come una ammissione di debolezza. Invece, oggi, si discute di Scada
Security e di Security delle tecnologie di telecontrollo come prassi
consolidata.
Questa difficoltà allo scambio di dati e informazioni non è solo italiano, e
quindi è stata segnalata l’opportunità di dedicare attenzione e fare
riferimento a quei Paesi che appaiono più avanzati. È il caso degli Stati Uniti,
dove è stato lo stesso presidente Obama a prendere in mano la situazione,
promuovendo con forza una maggiore interazione tra pubblico e privato e la
condivisione delle informazioni.
Lo scorso 13 febbraio 2015, Obama, nel corso di un vertice sulla
Cybersecurity e Tutela dei Consumatori con i manager delle utility e delle
principali aziende americane, presso la californiana Stanford University di
Palo Alto - in piena Silicon Valley - ha auspicato una più stretta cooperazione
nella difesa contro gli hacker perché “Il governo non può farlo da solo. Ma il
fatto è che anche il settore privato non può farlo da solo, perché è il
governo che ha spesso le ultime informazioni sulle nuove minacce".
Coerentemente l’amministrazione americana ha deciso di accentrare le
competenze cyber rispetto all’organizzazione delle numerose agenzie di
11
12
sicurezza nazionale e il potenziamento della cooperazione con i Paesi alleati.
Sono queste le basi su cui è stato pensato ed entrerà in funzione il Cyber
Threat Intelligence Integration Center, nuova unità dedicata ad affrontare la
minaccia cyber negli Stati Uniti, nata sotto l’egida della Casa Bianca e del
Department of Homeland Security e inserita nell’Office of the Director of
National Intelligence.
È evidente che l’Italia dovrà presto seguire un percorso analogo, lavorando
sul processo di difesa complessivo del Paese con investimenti più forti e
urgenti sull’intelligence. È chiaro che la Cyber Security, lo spionaggio e la
minaccia terrorista ormai si sovrappongono. La risposta al rischio non può
che essere un approccio integrato con fonti di intelligence e informazioni
che guardino anche alla sicurezza fisica, come ad esempio nei flussi video in
prossimità di infrastrutture critiche e nelle città.
In conclusione resta fondamentale quanto già detto nella relazione: “La
sicurezza informatica: ciò che un decisore deve sapere”, sempre presso il
Centro Alti Studi della Difesa, nel recente convegno del 25 marzo 2015 dalla
professoressa Elisabetta Zuanelli nell’ambito dell’incontro incentrato sulle
Sfide Globali, che si adatta perfettamente e che anzi dovrebbe trovare
proprio nel settore energetico la primaria applicazione.
Il documento presentato richiama tre ambiti problematici di riferimento
concettuale in sicurezza informatica per la decisione istituzionale e dei
manager di impresa:
13
nozioni e definizioni, come: cyber spazio, la sicurezza informatica, la
criminalità informatica, il cyber crimine ware, etc.
l'assunto condiviso delle conoscenze: indagine / analisi, le applicazioni, la
difesa, la resilienza;
le strategie condivise: collaborazione pubblico-privato, le strategie
nazionali e internazionali di sicurezza informatica.
Le ipotesi alla base di tali aree concettuali dovranno essere nuovamente
esaminate dal punto di vista esterno che preme per una collaborazione più
veloce e soluzioni concrete a livello globale. Per fare questo la riflessione si
concentra sul rapporto tra sicurezza e reati informatici, chi sono i giocatori /
attori, quali sono le implicazioni, quali le soluzioni.
14
Paper n. 3/ 2015 - Cyber Security Energia
15
Cyber Security Energia Percorso 2015
Un tavolo di lavoro tra operatori per alzare il livello di attenzione
Energia Media si è proposta di mettere in network le varie
componenti della filiera energetica e dell’ICT insieme con le
istituzioni che sono deputate alla governance della sicurezza
cibernetica, al fine di favorire un efficace coordinamento tra i vari
soggetti che dovranno accompagnare il processo di integrazione
dei sistemi energetici senza pregiudicarne la sicurezza.
L’obiettivo principale è un dialogo tra soggetti che devono
necessariamente comunicare l’uno con l’altro, con sempre più
continuità: il mondo delle Istituzioni e delle Energy Company, che
portano servizi e tecnologie all’attenzione del settore. L’idea è
approfondire il tema della cyber security non in termini generali
ma in un settore evidentemente fra i più strategici, quello
dell’energia.
Per calarsi nell’operatività, nella concretezza per aiutare il decisore
di alto livello a implementare una catena anche normativa.
16
“Sicurezza informatica, tema strategico irrinunciabile”
Cyber Security EnergiaApprofondire il tema della sicurezza informatica con soggetti qualificati
Creare gruppi di lavoro
Confrontarsi con i decisori
www.cybersecurityenergia.it è un luogo privilegiato in cui trovare infor-
mazioni, approfondimenti e opinioni relativi alla sicurezza informatica in
un comparto di primaria importanza come quello energetico. Il primo
sito web italiano dedicato alla sicurezza informatica in ambito energy e utility.
Workshop, Convegni, Tavoli di lavoro: sono i momenti di incontro e
confronto organizzati fra le diverse componenti interessate al tema del-
la sicurezza informatica. Energia Media ha già organizzato tre incontri
sul tema: due Workshop preparatori (Roma, 10 dicembre 2013 e Mila-
no, 19 febbraio 2015) e la Iª Conferenza Nazionale presso il Centro Alti
Studi della Difesa (Roma, 3 luglio 2014) a cui hanno partecipato i princi-
pali soggetti coinvolti: Istituzioni, imprese e utility.
.
Approfondimento e analisi: Working Paper, Position Paper e Report so-
no gli strumenti utilizzati per mettere in circolo le idee e per porle
all’attenzione dei decisori (Report 1ª Conferenza Nazionale).
Imprese, istituzioni, associazioni e ricerca. Il percorso dà l’opportunità
di incontrare i target di riferimento, stabilire relazioni, creare un grup-
po di lavoro in ottica precompetiva
17
CyberSecurity Energia.it
Eventi
Idee
Network
Il sito CyberSecurityEnergia.itGli incontri,la Conferenza Nazionale
Gli approfondimenti, le ideeIl network e le relazioni
Cyber Security Energia è anche un momento di incontro tra Istituzio-ni, aziende ed esperti per dibattere e confrontarsi su tecnologie, quadro normativo, governance e scenari internazionali nell’ambito della sicurezza informatica.
18
2ª Conferenza Nazionale Cyber Security Energia Roma / 24 settembre (CASD Centro Alti Studi della Difesa)
Eventidettaglio
La 2ª Conferenza Nazionale Cyber Security Energia
Tavolo lavoro programmatico Cyber Security EnergiaStrategie di comunicazione, azioni nei confronti di imprese e decisori istituzionali, agenda 2ª Conferenza Nazionale Cyber Security Energia
Milano / 24 giugno
In collaborazione con
For sustainable energy.
Workshop Cyber Security EnergiaPresentazione Position Paper, incontri con Energy Company e Utility, presentazione programma 2016
Bologna / novembre
Ogni incontro è seguito dalla pubblicazione di un Report digitale che fissa le idee, i temi e le proposte emerse durante gli incontri.
Il Report racchiude gli interventi dei principali soggetti coinvolti sul tema della sicurezza informatica, ponendosi come un utile strumento sul quale porre le basi del dibattito sulla Cyber Security.Ogni documento avrà ampia diffusione e sarà presentato alle Istituzioni e ai decisori politici. (Report Cyber Security Energia)
Il sito web www.cybersecurityenergia.it è a disposizione di operatori e soggetti coinvolti o interessati al tema della sicurezza informatica in ambito energy. Invia alla nostra Redazione comunicazioni e news che riguardano la tua impresa: tecnologie, case study, idee.
19
Report dettaglio
Web site
Contattaci: [email protected]
20
PAPER 3/2015 - CYBER SECURITY ENERGIA
21
Energia Media Milano / Roma
www.energiamedia.it