Cybersecurity, il settore energetico è a rischio, ma solo le grandi imprese si attrezzano
Il rapporto dell'Energy&Strategy Group del Politecnico di Milano affronta il tema delle minacce dal cyberspazio per la filiera elettrica. Ma i piccoli operatori sono indietro
La filiera elettrica deve temere le minacce di natura informatica, che si sono moltiplicate negli ultimi anni, sulla scia delle trasformazioni digitali che hanno coinvolto anche i nuovi impianti di generazione distribuita e le smart grid. Lo evidenziano i risultati dello studio, contenuti nel primo Report italiano sull'Energy Cybersecurity redatto dall'Energy & Strategy Group della School of Management del Politecnico di Milano, illustrati nel corso di un convegno che si è svolto nei giorni scorsi a Milano.
La minaccia dei virus - Tutte le nuove potenzialità digitali - si legge nel report - implicano una crescente interconnessione e integrazione nelle reti ICT delle centrali, degli impianti e degli apparati utilizzati ai vari stadi della filiera, il che li espone a minacce simili a quelle dirette ai sistemi informativi e alle reti aziendali. Tra le aggressioni più note, c’è quella del famigerato trojan Havex, che ha infettato finora più di 2.000 apparati dotati di ICS (in vari settori, tra cui quello energetico) tra Europa e USA, e quello che ha bloccato l'intera rete di distribuzione dell'energia elettrica della compagnia ucraina Kyivoblenergo nel dicembre 2015. È quindi necessario che le imprese adottino opportune contromisure di natura tecnologica e organizzativa, insieme a un adeguato sistema di governance della cybersecurity in ambito industriale. In più, considerata l'importanza strategica del comparto, le istituzioni possono non solo imporre misure o standard di sicurezza, ma anche prevedere opportuni meccanismi di coordinamento e cooperazione a livello nazionale e internazionale.
Le simulazioni sul sistema - Lo studio dell'E&S Group ha realizzato anche delle simulazioni per verificare il rischio "di sistema", ovvero la possibilità di mettere in crisi la stabilità della rete elettrica nazionale o comunque di costringere a sostenere extra-costi significativi per il ribilanciamento tra domanda e offerta. In particolare, gli approfondimenti hanno riguardato i costi derivanti da attacchi ripetuti e distribuiti tali da compromettere temporaneamente il funzionamento degli impianti, con conseguente necessità da parte di Terna di ribilanciare la rete facendo ricorso al Mercato dei Servizi di Dispacciamento, e il rischio di black-out per l'improvviso mancato apporto di energia da impianti a fonte rinnovabile a causa di un incidente di natura cyber in un momento di picco di domanda, nelle ore di punta di un giorno feriale estivo con alte temperature.
I costi extra sono contenuti - I risultati delle simulazioni evidenziano che gli extra-costi generati dal ricorso più frequente al MSD sono tutto sommato abbastanza contenuti nei vari scenari ipotizzati. Nel caso di attacchi che portino a una riduzione del 50% della potenza erogata per il 10% delle ore medie annue di funzionamento, tali costi sono stati stimati in circa 264 milioni di euro. Similmente, assumendo come riferimento le 12 del 21 Luglio 2017 (un giorno di picco massimo di domanda di energia, lo scorso anno), per ottenere una riduzione improvvisa della potenza pari almeno a 3 GW (soglia oltre la quale aumenta notevolmente il rischio di instabilità della rete) sarebbe dovuta venir meno il 12,7% della potenza generata dagli impianti eolici e fotovoltaici. Una percentuale piuttosto significativa, ma non così elevata, soprattutto tenendo presente che la percentuale di energia fornita da fonti rinnovabili è destinata a crescere e così la "superficie d'attacco", con conseguente aumento del rischio di instabilità del sistema, qualora non si investa sufficientemente in sicurezza.
Scarsa consapevolezza tra le imprese - L'ultima parte del report si è focalizzata sugli end-user industriali ed era mirata a valutare il livello di consapevolezza sui rischi OT (cioè legati all'operation technology) derivanti dalla crescente digitalizzazione. Il tessuto industriale italiano ha consapevolezza di questi rischi? Se ne preoccupa? Stando all'indagine empirica svolta dall’Osservatorio, sembrerebbe proprio di no. La survey è stata somministrata a un campione di circa 700 imprese di varie dimensioni e di diversi settori. Le risposte sono state 93, un numero già di per sé significativo, con una prevalenza di imprese operanti nel settore della ceramica e vetro (26%), dell'automotive, della chimica e petrolchimica (entrambe al 13%). "Tutti i rispondenti dichiarano che il tema è già molto sentito, o che la sua rilevanza crescerà notevolmente in futuro - spiega Paolo Maccarrone responsabile scientifico dell'Osservatorio - , ma in realtà appena la metà di essi svolge attività di risk analysis in modo sistematico. Ancor più significativo il dato sugli investimenti: solo il 23% dei rispondenti dichiara di avere investito nella cybersecurity OT". Infine, si è voluto valutare la sensibilità nei confronti dei rischi di natura cyber delle imprese del campione classificabili come prosumer, e che quindi ricoprono il duplice ruolo di generatori e consumatori di energia. Più di metà dei rispondenti è anche produttore: il 45% ha installato cogeneratori o trigeneratori, mentre il 33% possiede un impianto fotovoltaico. Ebbene, solo il 6% di essi ritiene che l'operatività di questi impianti possa essere compromessa da attacchi cibernetici, mentre il 35% pensa che gli strumenti di sicurezza inseriti dai fornitori siano sufficienti a garantirne la copertura. Tale percezione, unita al numero ancora ridotto di casi di attacchi volti a boicottare l'operatività degli impianti di generazione distribuita (almeno stando ai dati pubblici), fa sì che le aziende per ora orientino le scelte di investimento in altre direzioni.
"Quello che emerge dall'analisi - commenta Maccarrone - è uno scenario in evoluzione, caratterizzato da notevoli differenze: se i grandi operatori sembrano essere molto più strutturati e spesso direttamente coinvolti nei vari gruppi di lavoro nazionali e internazionali, i piccoli dimostrano invece una sensibilità piuttosto limitata, così come vi è ancora scarsa consapevolezza dei rischi da parte degli end-user industriali, sia in veste di puri consumatori che in qualità di prosumer. Ciò desta qualche preoccupazione, soprattutto alla luce degli sviluppi disegnati dalla SEN, che prevede un ulteriore incremento del peso delle fonti rinnovabili e una transizione sempre più marcata verso la generazione distribuita, nonché una crescente diffusione delle tecnologie digitali a tutti gli stadi della filiera".