Recuperatori di calore e sistemi di ventilazione aiutano gli edifici a risparmiare energia 20/01/2021
Arriva la Carta delle aree per il deposito di rifiuti nucleari, 67 siti possibili in 7 Regioni 08/01/2021
Il 12 luglio sarà presentata a Milano la 1a edizione dell’Energy Cybersecurity Report 2018, realizzato dall’Energy & Strategy Group del Politecnico di Milano, che si è posto l’obiettivo di analizzare i rischi connessi alla cybersecurity energetica nelle diverse fasi della filiera e le possibili soluzioni tecnologiche, considerando la normativa di riferimento. Vi proponiamo in anteprima i principali risultati del Rapporto, invitandovi ad iscrivervi alla presentazione del 12 luglio al Politecnico di Milano – Campus Bovisa, via Lambruschini 4, Edificio BL28 – Aula Magna Carassa Dadda. Ai presenti sarà consegnata in omaggio una copia dell’Energy Cybersecurity Report 2018. A fondo pagina il PDF con l’Executive Summary completo, a firma di Davide Perego e Paolo Maccarrone. _______________________________________________________ La sicurezza dei dati immagazzinati e comunicati tramite le infrastrutture informatiche è da tempo un tema di grande attualità, sia dal punto di vista della privacy, sia da quella della protezione dei dati «mission critical». In un mondo sempre più interconnesso, le minacce provengono dalle fonti più disparate (e più remote), e gli autori degli attacchi sono sempre più difficili da individuare. Si parla in questo senso di cyberspazio e di cybersecurity. La cybersecurity può quindi essere intesa come: L’insieme di strumenti, procedure e sistemi che consente a una entità (ad esempio, una nazione, una organizzazione, un cittadino) la protezione dei propri asset fisici e della confidenzialità, integrità e disponibilità delle proprie informazioni attraverso un’attività di prevenzione, rilevazione e risposta agli attacchi provenienti dal «cyberspazio». Gli attacchi provenienti dal cyberspazio che un’impresa si trova a dover fronteggiare sono tipicamente perpetrati da soggetti molto diversi, come molteplici possono essere finalità di un attacco. Tipicamente sono riconducibili a tre macro-obiettivi, illustrati nella figura Perché uno studio sul settore energetico? Il settore dell’energia (e in particolare la filiera elettrica) è caratterizzato da trend innovativi che ne stanno aumentando la possibile esposizione ad attacchi cibernetici. Si fa riferimento in particolare: al crescente peso del peso delle fonti rinnovabili alla diffusione del modello «prosumer» all’impatto della digitalizzazione (cioè del crescente uso di tecnologie ICT per gestire tutte le attività della catena del valore dei vari operatori della filiera – la cosiddetta «digital energy»). Come si può notare, i primi due trend sono peculiari della fase di produzione dell’energia elettrica, mentre la digitalizzazione ha un impatto sicuramente più pervasivo all’interno della filiera, anche se vi sono ovviamente dei legami tra i vari trend (es: la generazione distribuita è resa possibile dalle tecnologie di gestione «intelligente» della rete). In particolare, la potenza installata da fonti rinnovabili ha raggiunto nel 2017 i 53 GW, contribuendo a coprire il 36,2% della produzione annua (pari 103,4 TWh). In base alle previsioni contenute nel documento che illustra la Strategia Elettrica Nazionale, tale percentuale dovrebbe salire al 60% entro il 2030 (per un valore pari a 184 TWh). La diffusione degli impianti di produzione da fonti rinnovabili comporta un vertiginoso incremento del numero di impianti di generazione (parchi fotovoltatici, eolici, ecc), cui corrisponde anche un significativo numero di nuovi entranti nel settore (tipicamente con scarsa esperienza e ridotta conoscenza dei rischi di natura «cyber»). Similmente, la nascita dei «prosumer» (ovvero di imprese industriali, attività commerciali, famiglie che ricoprono il duplice ruolo di generatori e consumatori di energia) aumenta in modo esponenziale il numero di attori connessi alla rete in qualità di produttori (sebbene di piccola/piccolissima taglia). Aumenta di conseguenza la cosiddetta «superficie d’attacco», cioè la probabilità che attacchi (soprattutto se di tipo «phishing») vadano a buon fine. La digitalizzazione della filiera (la cosiddetta «digital energy») coinvolge invece tutti gli attori della filiera, e costituisce tipicamente un abilitatore di nuove funzionalità e di nuovi servizi per i vari attori operanti all’interno della filiera elettrica. Tra gli effetti più significativi è possibile annoverare: lo sviluppo delle «smart grid», ovvero delle reti «intelligenti» (fondamentali peraltro nel passaggio al modello di generazione distribuita tipico delle rinnovabili) nella fase di generazione, la possibilità di introdurre strumenti di stima della produzione di energia (particolarmente importanti nel caso degli impianti a fonte rinnovabile), di ottimizzazione delle attività di produzione (grazie a funzionalità di telemonitoraggio e telecontrollo) e di predictive maintenance per gli end-user, la possibilità di contenere i consumi di energia (sugli impianti già installati), di ottimizzare gli investimenti in efficienza energetica,nonché di utilizzare i dati energetici per fare manutenzione preventiva. Tutte queste nuove potenzialità comportano una crescente interconnessione degli impianti (di produzione, trasmissione, distribuzione dell’energia, nonché degli utilizzatori finali), il che ovviamente espone tali asset alle stesse minacce cui sono soggetti i sistemi informativi e le reti aziendali. Ne è una riprova il crescente numero di attacchi perpetrati ai danni delle infrastrutture energetiche. Da qui la decisione di focalizzare questo report sul tema della sicurezza industriale, e quindi sui dati energetici e sugli asset fisici utilizzati nell’ambito delle operations, tralasciando le problematiche «classiche» dell’ICT security. I rischi di natura «cyber» per la filiera elettrica Il rischio legato alla crescente digitalizzazione delle operations è particolarmente elevato perché, dal momento che storicamente gli asset industriali lavoravano in modalità «stand-alone», essi non erano soggetti ad attacchi di natura informatica. Di conseguenza, i sistemi operativi e i software installati per gestire tali asset non venivano quasi mai aggiornati (e quindi le vulnerabilità mai eliminate). Da qui la necessità di prevedere opportune soluzioni di tipo tecnologico e organizzativo, volte a minimizzare il rischio di incidenti di sicurezza nel momento in cui tali dispositivi vengono interconnessi in rete, o comunque, iniziano a scambiare dati con altri dispositivi hardware (come una banale chiavetta USB). A questo problema, che riguarda tutto il «parco installato», si aggiunge quello relativo agli investimenti in nuovi asset, che devono adeguarsi al nuovo contesto e garantire quindi adeguati standard minimi di sicurezza. Nel corso dello studio sono stati in primo luogo analizzati i rischi per i diversi stadi della filiera elettrica, e precisamente: Player della generazione, i quali possiedono e gestiscono gli impianti di produzione Trasmission System Operator e Distribution System Operator, chiamati a gestire rispettivamente la rete di trasmissione e quella di distribuzione Prosumer: una figura intermedia che è contemporaneamente consumatore e produttore di energia, ed è quindi esposta ai rischi che caratterizzano entrambe le categorie. Consumatori di energia (di natura industriale o residenziale) Considerato il focus dell’analisi, in questo studio non sono stati considerati i puri retailer di energia. Per ciascuno stadio si è proceduto ad analizzare: i possibili impatti sulle attività (e sugli asset) degli attacchi di natura cyber e i conseguenti danni economici. I possibili rischi operativi e i conseguenti impatti economici nel caso dei player della generazione (e dei prosumer, nella veste di produttori di energia elettrica) Dopo aver analizzato le possibili conseguenze per i singoli attori della filiera, l’attenzione si è spostata sul rischio «di sistema», ovvero sulla possibilità che attacchi di natura cibernetica possano mettere in crisi la stabilità della rete elettrica nazionale, o comunque comportino degli extra-costi significativi per il ribilanciamento tra domanda e offerta. Gli approfondimenti in particolare hanno riguardato: – L’analisi degli extra-costi per il sistema derivanti dalla diminuzione dell’energia prodotta nel corso di un anno da impianti a fonte rinnovabile (parchi fotovoltaici e eolici) a causa di attacchi ripetuti e «distribuiti», tali da compromettere temporaneamente il funzionamento di tali impianti, con conseguente necessità da parte di Terna di ribilanciare la rete facendo ricorso al Mercato dei Servizi di Dispacciamento; – L’analisi del potenziale rischio di black-out derivante dall’improvviso mancato apporto di energia da parte di un certo numero di impianti a fonte rinnovabile in un momento di picco di domanda. In particolare, i risultati delle simulazioni evidenziano che: Gli extra-costi generati dal ricorso più frequente al MSD appaiono tutto sommato abbastanza contenuti nei vari scenari ipotizzati; Assumendo come giorno di riferimento le ore 12 del 21 Luglio 2017 (uno dei giorni di picco massimo di domanda di energia nel corso del 2017), una riduzione improvvisa della potenza pari a 3 GW (soglia oltre la quale si ritiene più probabile il rischio di instabilità e di conseguente black-out temporaneo della rete) si sarebbe raggiunta con un’indisponibilità contemporanea del 12,7% della potenza generata dagli impianti eolici e fotovoltaici. Una percentuale piuttosto significativa. Il Report presenta poi un’analisi dettagliata del quadro normativo (si rimanda al PDF in allegato per l’elenco delle direttive) di riferimento a garanzia di un’adeguata protezione in caso di crisi cibernetiche a livello nazionale. Le direttive prevedono delle specifiche misure che gli operatori dei vari settori, tra cui quello energetico, devono adottare per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete. Le soluzioni per una corretta gestione della security e il ruolo degli standard Per rispondere alle minacce di natura «cyber», gli operatori della filiera elettrica sono chiamati a rispondere mettendo a punto un cybersecurity management system in ambito industriale, tenendo conto delle peculiarità dell’ambiente OT. Si tratta di un insieme di processi, risorse e adeguati meccanismi di governance che consentano a un’impresa di garantire un adeguato livello di sicurezza. Le attività previste comprendono: Le risk analysis L’identificazione delle contromisure adeguate Monitoraggio e miglioramento continuo Sensibilizzazione e formazione La definizione di policy e guidelines. Nella progettazione di tale sistema di gestione della cybersecurity un ruolo importante è ricoperto dagli standard. Nel report si è focalizzata l’attenzione su quelli più rilevanti nell’ambito della sicurezza OT delle reti elettriche. L’analisi condotta porta a concludere che il livello di «copertura» degli standard sia oramai abbastanza avanzato, sia con riferimento al «cosa proteggere», che con riferimento al «come», anche se su quest’ultimo fronte ci sono ancora diversi sviluppi in corso. La sfida adesso sembra consistere nel livello di adozione di tali standard, sia da parte delle imprese energetiche, sia da parte dei costruttori. In particolare, appare abbastanza cruciale il ruolo delle (grandi) imprese clienti nell’«imporre» l’adozione degli standard da parte dei loro fornitori, dal momento che quest’ultimi appaiono talvolta un po’ riluttanti per via del timore di perdere il potere contrattuale derivante dal fatto di proporre soluzioni proprietarie. L’ultima parte del Report è infine focalizzata sugli end-user attraverso un’indagine empirica volta a verificare il grado di diffusione della cultura della cybersecurity in ambito OT e il livello di consapevolezza dei rischi legati alle attività di generazione di energia. Le risposte delle imprese evidenziano come l’importanza del tema della sicurezza OT sia in crescita e sempre più sentito, anche se un’analisi più approfondita (si veda il pdf in allegato) evidenzia come come la cybersecurity OT sia considerata di fatto dalle imprese un tema strategicamente ancora poco rilevante: la ridotta sensibilità sul tema e l’assenza di una casistica significativa di attacchi cibernetici volti a bloccare o a compromettere l’attività produttiva fa sì che le imprese preferiscano indirizzare gli investimenti verso altre aree. Presentazione Energy Cybersecurity Report 2018 12 luglio – Politecnico di Milano – Campus Bovisa, via Lambruschini 4, Edificio BL28 – Aula Magna Carassa Dadda. Scarica l’Executive Summary dell’Energy Cybersecurity Report 2018 Consiglia questo approfondimento ai tuoi amici Commenta questo approfondimento
25/01/2021 Isola URSA a Digital Klimahouse: va in scena la sostenibilità! Dal 27 al 29 Gennaio torna a Klimahouse ISOLA URSA in versione digitale che offrirà momenti ...
25/01/2021 In Europa aumenta l'elettricità rinnovabile e calano le emissioni Elettricità rinnovabile - Uno studio dell'EEA mostra che è aumentata ma per rispettare l'impegno di neutralità ...
22/01/2021 Elon Musk annuncia l'arrivo dell’inverter solare Tesla per impianti fotovoltaici Elon Musk ha di recente annunciato il prossimo lancio sul mercato dell'inverter solare Tesla per impianti fotovoltaici, ...
21/01/2021 E' ufficiale il rientro degli Usa nell'accordo di Parigi A poche ore dal suo giuramento come Presidente degli Stati Uniti Joe Biden ha firmato 15 ...
20/01/2021 Mari e oceani, mai così caldi Nel 2020 il riscaldamento degli Oceani ha raggiunto un nuovo record. Triste primato anche per il ...
18/01/2021 Cambiamento climatico: intensificare subito l'azione per salvare il pianeta Nuovo Rapporto UNEP: intensificare le azioni per adattarsi alla nuova realtà climatica, altrimenti i danni, le ...
18/01/2021 Idrogeno nella rete gas pubblica: al via le prime sperimentazioni negli Uk Il villaggio di Winlaton sarà il primo a utilizzare l'idrogeno miscelato al 20% col gas per ...
15/01/2021 Recovery plan da 222 miliardi per costruire l’Italia dei prossimi 30 anni Il Pnrr dovrebbe mobilitare risorse fino a 310 miliardi fino al 2026: nel Piano sei missioni ...
14/01/2021 Allarme deforestazione: dal 2004 scomparsi 43 milioni di ettari Dal 2004 al 2017 è scomparsa tanta foresta quanta l'intera California: 43 milioni di ettari in ...
12/01/2021 I peggiori eventi meteorologici del 2020 legati al cambiamento climatico e costati miliardi Un rapporto di Christian Aid identifica i 15 dei disastri climatici più distruttivi del 2020, 10 ...