Cybersecurity nell’energia: necessaria, ma sottovalutata

Il conflitto in Ucraina ha reso maggiormente evidente il pericolo di cyber minacce che potrebbero colpire più spesso il settore energy. La consapevolezza c’è, ma si fa ancora poco a livello impresa

A cura di:

Cybersecurity nell’energia: necessaria, ma sottovalutata

Indice degli argomenti:

Serve investire e credere maggiormente alla cybersecurity nell’energia perché il settore è uno dei più bersagliati dagli attacchi informatici. Secondo l’X-Force Threat Intelligence Index 2022, il settore energetico si è classificato al quarto posto tra quelli più colpiti nel 2021, con l’8,2% di tutti gli attacchi osservati, dopo l’industria manifatturiera, il settore finanziario e quello dei servizi professionali.

Lo conferma anche il report DNV “The Cyberpriority”, dedicato all’analisi dello stato di cybersecurity dell’energia: quello energy è uno dei primi tre settori che registrano attacchi informatici.

Dagli USA all’Unione Europa tutti stanno investendo forze e risorse economiche per essere pronti a rispondere a eventuali cyber attacchi. Tuttavia, il pericolo è in agguato, nel comparto oil and gas e delle rinnovabili.

Rinnovabili e fossili: nessun comparto energy è cyber sicuro

“Dall’eolico al fotovoltaico, la corsa è ora iniziata, ma questa strada potrebbe essere ben presto minata da ritorsioni e possibili rischi e minacce di natura cyber allo scopo di creare disservizi, interruzioni totali della produzione o anche come leva geopolitca”, afferma Pierguido Iezzi, CEO di Swascan, società di Cyber Security del gruppo Tinexta, che ha appena rilevato una cyber vulnerabilità sui sistemi di controllo del fotovoltaico.

Swascan ha pubblicato sul proprio sito web un avviso di sicurezza riguardante la presenza in alcuni dispositivi di monitoraggio fotovoltaico di un backdoor. Si tratta di un’applicazione che permette ai criminali informatici di accedere ai computer da remoto.

L’energia è spesso nel mirino: poche settimane prima dell’invasione dell’Ucraina da parte della Russia negli Stati Uniti è stato identificato un tentativo di intrusione da parte di criminal hacker in diversi importanti fornitori ed esportatori di gas naturale, tra cui gli operatori di esportazione di gas naturale liquefatto Cheniere Energy e Kinder Morgan. «Ancora più critico – conclude Iezzi – potrebbe ben presto essere il settore delle rinnovabili, che ancora più dei carburanti fossili si affida alla digitalizzazione e alla tecnologia 4.0 per la produzione e distribuzione dell’energia».

Energy: un settore sotto minaccia cyber

Garantire cybersecurity nell’energia è essenziale, settore sempre più spesso nelle mire degli aggressori informatici. La situazione si è aggravata con l’invasione dell’Ucraina da parte della Russia, ma non è certo una novità.

Un esempio è quanto successo nel 2021 alla Colonial Pipeline, che collega le raffinerie in tutti gli Stati Uniti. I dirigenti hanno deciso di bloccare tutte le operazioni di distribuzione in seguito alla diffusione di un ransomware. La società ha dichiarato di aver pagato un riscatto di 4,4 milioni di dollari affinché gli hacker fornissero uno strumento informatico per ripristinare l’attività. Ancora prima, gli Stati Uniti hanno sanzionato un laboratorio russo colpevole, secondo loro, di aver utilizzato il software Triton (o Trisis) nell’attacco del 2017 a un impianto petrolchimico saudita. L’attacco è costato milioni di dollari alla produzione dell’impianto, ma avrebbe potuto essere molto peggiore se avesse funzionato come progettato.

Dagli attacchi alle strategie di difesa, tutti si stanno muovendo: ABI Research ha rilevato che il passaggio all’Advanced Metering Infrastructure (sistema integrato di apparecchiature, comunicazioni e sistemi di gestione delle informazioni che consente alle aziende di servizi pubblici di raccogliere a distanza i dati sui clienti in tempo reale), prevede l’aggiornamento di 1,3 miliardi di contatori elettrici entro il 2027, sta spingendo le utility e i fornitori di energia a rivedere le loro agende di sicurezza digitale e le modalità di gestione dei dispositivi.

Cybersecurity nell’energia: si fa ancora poco, parola di top manager

I pericoli ci sono e si stanno moltiplicando, mettendo a rischio la cybersecurity nell’energia. Occorre capire se i dirigenti delle aziende energy siano consapevoli dei rischi informatici che corrono le loro aziende e le loro strategie per gestire l’evoluzione della minaccia.

Ed è su questo aspetto che hanno lavorato gli analisti di DNV per realizzare la ricerca “The Cyber Priority” basata su un sondaggio condotto su 948 professionisti dell’energia attivi in aziende di varie dimensioni, tra meno di 100 milioni e oltre mezzo miliardo di dollari.

L’energia è uno dei primi tre settori che registrano attacchi informatici e deve affrontare sfide specifiche. Mentre tutti i settori devono impedire agli hacker di rubare i dati sensibili dai loro ambienti IT, le aziende del settore energetico devono anche gestire la minaccia alle loro tecnologie operative (OT), ovvero tutte quelle deputate al controllo e monitoraggio dei sistemi produttivi che hanno il compito di controllare e monitorare la produzione. Detto questo, ci si aspetterebbe che fossero prese delle particolari attenzioni alla parte Operational Technology. Così non è, o almeno è solo in parte: meno della metà (47%) del campione ritiene che la sicurezza informatica OT sia altrettanto forte di quella IT e il 38% ammette di non aver investito quanto necessario nella sicurezza informatica OT.

cybersecurity: la sicurezza informatica OT è forte come quella IT

La consapevolezza c’è, come dimostra il fatto che la maggior parte degli intervistati considera probabile un grave incidente di una certa entità entro i prossimi due anni, con conseguente interruzione delle operazioni (85%), danni all’ambiente (74%) e perdita di vite umane (57%). Tuttavia, a questa consapevolezza non corrisponde un’adeguata strategia di difesa o, ancor meglio, di prevenzione. Infatti, sebbene sei top manager su dieci riconoscono che la loro organizzazione è più vulnerabile agli attacchi che mai, solo il 44% prevede di apportare miglioramenti urgenti nei prossimi anni per prevenire un attacco.

Tra gli intervistati di aziende che hanno subito una violazione della sicurezza informatica negli ultimi anni, l’83% conferma che la sicurezza informatica è una priorità maggiore oggi rispetto a due anni fa. Dallo stesso gruppo di intervistati il 43% di loro afferma però che le decisioni sugli investimenti informatici sono prese da persone che non hanno le competenze necessarie per farlo, rispetto al 26% del campione totale.

Investimenti: spesso sottostimati, ma supereranno i 36 miliardi

Dalla stessa indagine DNV emerge, nelle conclusioni, che in un settore come quello energetico che sta investendo in importanti programmi di digitalizzazione e di transizione energetica, e che allo stesso tempo deve fare i conti con le pressioni di un ambiente commerciale incerto, molte aziende potrebbero avere difficoltà a riservare i budget necessari per aggiornare le proprie capacità. Circa un intervistato su tre, in media, indica che sta sotto investendo nelle proprie capacità IT e OT.

Uno dei compiti più urgenti che le aziende del settore energetico devono affrontare è quello di identificare i punti in cui i loro progetti e le loro operazioni sono esposti alle minacce prima che gli hacker possano trovarli.

C’è bisogno di investimenti, a livello imprenditoriale, ma anche pubblico. In quest’ultimo senso buone notizie provengono sia dall’Unione Europea sia dagli Stati Uniti. Ma, prima di tutto, va detto che a livello globale le previsioni di spesa sono in netta crescita. Lo prevede la società di intelligence tecnologica ABI Research che nel suo nel whitepaper “The State of Cyber & Digital Security” prevede che la spesa globale per la cybersecurity nell’energia e nei settori industriali con infrastrutture critiche (tra cui trasporti, gestione delle acque, waste management) raggiungerà i 23 miliardi di dollari entro la fine del 2022 per superare i 36 miliardi di dollari nel 2027.

I piani UE e USA per assicurare la cybersecurity nell’energia

L’Europa attraverso i propri Paesi e i legislatori, ha concordato lo scorso maggio regole più severe in materia di cibersecurity nell’energia e in altri settori critici in seguito alle preoccupazioni per gli attacchi informatici da parte di attori statali e altri soggetti malintenzionati.

La Commissione europea ha proposto due anni fa delle norme sulla sicurezza informatica dei sistemi di rete e di informazione, denominate Direttiva NIS 2, ampliando di fatto l’ambito di applicazione dell’attuale norma nota come Direttiva NIS.

Negli USA, il Dipartimento dell’Energia ha annunciato lo scorso aprile un finanziamento di 12 milioni di dollari per sei nuovi progetti di ricerca, sviluppo e dimostrazione che svilupperanno tecnologie innovative di cybersecurity per garantire che i sistemi di fornitura di energia siano progettati, installati, gestiti e mantenuti per sopravvivere e riprendersi rapidamente da attacchi informatici.

Lo stesso DOE nel 2021 aveva chiesto al Congresso 201 milioni di dollari per rafforzare la cyber sicurezza in seguito agli attacchi subiti.


25/8/2021

Cybersecurity nell’energia: il pericolo arriva dal digitale (e dal fattore umano)

Il mondo dell’energia è sensibile al problema della cybersicurezza. Attacchi dei criminal hacker e fattore umano mettono in crisi il settore energy, che in Italia vale 60 miliardi. L’analisi di Swascan

Cybersecurity nell’energia: il pericolo arriva dal digitale (e dal fattore umano)

Indice degli argomenti:

Quanto è a rischio la cybersecurity nell’energia? La filiera energetica italiana vale da sola ben 60 miliardi di euro e coinvolge 3800 imprese. Dalle fossili alle fonti rinnovabili, il mondo energy è fortemente interessato al rischio cyber. Un esempio viene dall’esito di un’analisi condotta da Swascan su venti aziende tra le prime cento del comparto. Da essa emerge che le vulnerabilità totali rilevate sono 1643, le email compromesse sono ben 13.903, gli IP esposti al pubblico sono 763 e i servizi esposti su Internet sono 1925.

Cybersecurity, le vulnerabilità rilevate da Swascan

Il team di analisi della cyber security company italiana, fondata da Pierguido Iezzi e Raoul Chiesa, rispettivamente CEO e presidente, ha raccolto informazioni ad ampio spettro, scoprendo che le aziende del settore energia sono a forte rischio. Pensiamo alle frodi di fatturazione con “contatori intelligenti” wireless e la violazione dei sistemi di tecnologia operativa che controlla centrali o turbine eoliche. Il pericolo lo corrono anche società e impianti fotovoltaici, idroelettrici, oltre all’oil & gas.

Cyber attacchi nel settore energy: ecco i più pesanti

La cybersecurity nell’energia è un tema non nuovo, ma di certo sempre più delicato. Giusto quest’anno, a maggio, è andato a segno il più grave cyber attacco mai registrato nella storia degli Stati Uniti nel settore, in particolare a un’infrastruttura petrolifera. Colonial Pipeline, tra i più importanti oleodotti statunitensi, ha subito un attacco informatico ransomware che ha colpito le apparecchiature computerizzate che gestisce le pipeline. La società ha pagato il riscatto richiesto (4,4 milioni di dollari) varie ore dopo l’attacco, ma le conseguenze sono state pesanti in termini di ritardi di fornitura. Non è – e non sarà – l’ultimo attacco informatico.

L’anno prima, abbiamo di nuovo gli USA, dove un ransomware ha reso inutilizzabile per due giorni un impianto di compressione di gas naturale.

Cybersecurity, i settori più vulnerabili

Anche nel settore delle rinnovabili si registrano problemi: un produttore dello Utah è stato colpito ne 2019 da un attacco informatico che ha tagliato temporaneamente il contatto con una dozzina di parchi eolici e solari.

Gli attacchi cyber al settore energia sono diversificati.

  • Il primo è quello del 2014 in Sud Corea, dove la Korea Hydro and Nuclear Power ha subito un attacco informatico mirato alla raccolta di informazioni e dati, poi pubblicati online.
  • Nel 2015 e 2016 la vittima principale è stata l’Ucraina, con due attacchi: il primo ad un’azienda elettrica attraverso una campagna di spearphishing, il secondo con malware e virus wiper che ha disattivato ben 30 stazioni elettriche del Paese.
  • Nel 2017 in Arabia Saudita vi è stato l’attacco informatico alla Saudi Arabian Oil Co.
  • Nel 2018 è stato ancora il turno degli USA, dove più di un operatore di gasdotti sono stati attaccati da attacchi informatici che hanno interrotto il servizio di cinque società.
  • Nel 2019, in Messico, la Petroleos Mexicanos è stata paralizzata per settimane ancora una volta da un ransomware.

Le potenziali minacce possono colpire produzione, trasmissione, distribuzione locale e network informatico, quattro “gangli nervosi” del sistema energetico. I rischi potrebbero essere accessi non autorizzati alla rete che poi porterebbero a blocchi di interruzione dell’erogazione dell’energia a vari livelli, le cui vittime sono sia le aziende energetiche sia gli utenti finali.

Cybersecurity nell’energia: i danni incalcolabili alle aziende

Torniamo al lavoro di analisi svolto da Swascan in merito alla cybersecurity nell’energia, che ha portato al report a comprendere lo stato dell’arte del settore energetico italiano. Esso si basa sul servizio Cyber Risk Indicators che determina e misura il potenziale rischio cyber del settore merceologico oggetto di analisi. Prende in considerazione un campione di 20 aziende tra le prime cento del settore su base fatturato.

Il report si basa esclusivamente servizio di Domain Threat Intelligence – la conoscenza in grado di mitigare o prevenire questo tipo di attacchi – e i risultati ottenuti sono stati ottenuti scandagliando fonti aperte, pubbliche e semipubbliche. Un lavoro utile a comprendere se alcune documentazioni aziendali o credenziali siano disponibili nel lato web. Da ciò emerge un numero elevato di vulnerabilità totali rilevate, considerando le vulnerabilità come esposizioni di un dominio aziendale. Si tratta di email compromesse, IP e servizi esposti su Internet… Tradotto in pratica, quale danno procura l’essere vulnerabili alle aziende energy? «Il danno è incalcolabile, innanzitutto in termini di reputation – spiega Pierguido Iezzi, CEO di Swascan – Si deve tenere presente che l’utilizzo non corretto da parte di un dipendente aziendale delle email o dei dispositivi aziendali sul web può comportare l’accesso a credenziali di sistemi informativi anche particolarmente delicate con gli immaginabili rischi cui viene esposta l’azienda».

Rinnovabili, minacce più temute, il futuro digital: ecco cosa c’è da sapere

Restano aperte diverse questioni. La prima riguarda il settore delle rinnovabili: quanto è interessato dal rischio cyber attack? «Le aziende che operano nel comparto delle fonti rinnovabili sono molto interessate alla questione sotto il profilo delle interconnessioni eterogenee – risponde Iezzi – Sono impianti controllati prevalentemente in remoto, per i quali il livello di interconnessione e di eterogeneità è assai elevato; quindi sono fortemente esposti e a rischio, dal punto di vista del security testing e del vulnerability management».

I cyber rischi sono diversi. Resta da capire però quali siano i più temibili: «sono sicuramente i ramsomware, gli attacchi che sono fatti a scopo estorsivo, con una richiesta di riscatto per esserne liberati. Si registrano attacchi con doppie o triple estorsioni, violazioni dei sistemi e della privacy oltre della integrità, indisponibilità dei dati. Il rischio in questi casi è legato anche alla minaccia di pubblicazione di dati sensibili anche se è stato pagato il riscatto».

La digitalizzazione dell’energia quanto espone il mondo energy al rischio cyberattack? «Molto. Per questo è importantissimo già oggi lo sviluppo di conoscenza del problema e una cultura adeguata sulla consapevolezza del rischio. Più che il digitale, il principale elemento di rischio è il fattore umano. A questo va certamente affiancata una sicurezza preventiva e proattiva, combinando le più innovative tecniche di Intelligenza artificiale legate alla cybersecurity, per una sicurezza predittiva», conclude il CEO di Swascan.


Articolo aggiornato

Consiglia questo approfondimento ai tuoi amici

Commenta questo approfondimento



Tema Tecnico

Le ultime notizie sull’argomento