Conferenza CSE

Cyber security mutuo interesse di Difesa e mercati energetici. Obiettivi diversi percorsi da condividere

203

Intervista con Stefano Bracco dell’ACER, l’Agenzia della Commissione Europea per la cooperazione tra i regolatori nazionali dell’Energia, che interverrà alla prossima ConferenzaCSE a Roma. Ruolo e modalità operative delle Autorità dell’energia anche se pesano le diverse competenze; essenziali i compiti di vigilanza. “Codici di rete” fondamentali, ma non unico strumento. Il dialogo in corso tra mondo della difesa e mondo dell’energia.

La cyber difesa dei servizi di pubblica utilità è prima di tutto regolazione. L’ACER come se ne occupa?
L’ACER attualmente non ha ruoli ufficiali nella cyber security: non ne sono stati assegnati formalmente e non ne sono previsti, tuttavia ACER supporta la Commissione Europea con l’expertise in ambito tecnico e regolatorio. In termini semplici, dove la Commissione Europea richiede specifiche competenze in termini di sicurezza cibernetica per l’energia, l’Agenzia si fa carico di provvedere con proprie risorse per contribuire al lavoro della Commissione. In aggiunta ACER provvede, dove possibile, a sensibilizzare i Regolatori circa l’importanza della cyber security nel contesto europeo. Questo viene fatto introducendo l’argomento all’interno di altre attività già svolte dai working groups e dalle task force che lavorano in seno alla nostra governance.

Ovviamente la speranza è che le informazioni fornite raggiungano anche i soggetti regolati. L’auspicio è anche che le Autorità di regolazione collaborino e contribuiscano attivamente alle implementazioni delle strategie di sicurezza cibernetica, bilanciando in maniera appropriata i bisogni operativi e di business del mondo energetico, con le necessità dettate dalle minacce cibernetiche esistenti.

La Commissione lavora con Direttive e Regolamentazioni, che spesso hanno tempi lunghi di implementazione nelle legislazioni nazionali: le Autorità di regolazione possono essere più veloci?
Le Autorità possono sicuramente anticipare il lavoro della Commissione Europea laddove sussistano le condizioni legali per poter guidare i soggetti regolati: in particolare mi riferisco alla possibilità di alcune realtà di poter richiedere ai soggetti regolati di adottare determinati standard minimi di sicurezza, con il principale obiettivo di prevenire i rischi connessi agli asset energetici.

Sfortunatamente questa è ancora una ristretta minoranza delle Autorità di regolazione, tuttavia, grazie al lavoro di tutti i soggetti interessati, c’è una spinta sempre maggiore affinché tutte provvedano con istruzioni chiare ai propri soggetti regolati, specialmente dove la regolamentazione a livello Europeo avrebbe un effetto limitato. Spesso questo intento è frenato dalla mancanza di personale qualificato e pienamente dedicato al tema. Ne deriva una urgente necessità di formare personale anche tra le stesse Autorità nazionali, al fine di dare maggiore confidenza ai mercati e fornire un reale e tangibile supporto ove questo sia necessario.

Altre Autorità europee, malgrado non abbiano il mandato specifico, hanno comunque deciso, indipendentemente dall’esistenza o no delle basi legali, di procedere con una massiva campagna di di divulgazione per sensibilizzare gli operatori dei rischi esistenti e imminenti, e per offrire il loro supporto e la loro esperienza spesso basata su casi di studio. Alcune di queste Autorità attive nella divulgazione hanno anche preso carico di mettere in contatto i soggetti regolati con gli attori principali nell’ambito della sicurezza cibernetica, specialmente dove il canale di comunicazione non esisteva prima. Tutto questo lavoro può fungere da catalizzatore per le attività della Commissione, e può velocizzare l’implementazione, quindi va visto come un lavoro ad alto valore aggiunto nella prospettiva a medio e lungo termine.

 

I “codici di rete” sono lo strumento principale per un’efficiente sicurezza cibernetica della Energy Union?
I “codici di rete” sono uno degli strumenti che la Commissione Europea ha proposto di utilizzare per l’implementazione di una strategia complessa e articolata per mitigare e parzialmente risolvere tutti quei problemi che possono affliggere il settore energetico in un contesto di sicurezza cibernetica. I “codici di rete” non sono l’unico, ma costituiscono sicuramente lo strumento cardine quando la Commissione deve provvedere regole precise e vincolanti per gli standard minimi di sicurezza applicabili alle reti.

Non dimentichiamo che questi strumenti vanno a regolare specificatamente l’ambito energetico – gas ed elettricità – armonizzando lo scenario di rischio a livello Europeo, e focalizzandosi sulle necessità di mercato oltre che sui rischi derivanti dagli inevitabili legami trans-frontalieri delle reti. In pratica hanno un effetto “mini-invasivo” qualora ci sia la necessità di stabilire regole che limitino il proprio impatto ad aspetti tecnici tipici e limitati al mondo energetico.

Si tratta di strumenti specifici che tengono in considerazione la diversità del mercato energetico e un modo di operare che non ha eguali tra le attività economiche.  In ambito di sicurezza cibernetica del comparto energetico i “codici di rete” vanno usati per indirizzare tutti quegli specifici bisogni che, per via del mercato o per via del modo caratteristico di operare, non potevano essere diretti a livello più alto.

E sono strumenti puramente tecnici, questo non va mai dimenticato.

Non bisogna inoltre dimenticare che il settore energetico è uno di quelli a rischio, ma non l’unico a rischio: per questo, seppure i “codici di rete” siano utili, non vanno visti come il primo e unico mezzo per la riduzione sostanziale dei rischi dello spazio cibernetico. I “codici di sicurezza” non possono sicuramente indirizzare obiettivi che richiedono l’armonizzazione ad alto livello dello scenario di rischio cibernetico: tutto questo può essere fatto in maniera più agevole ed efficace tramite Direttive o Regolamentazioni Europee.

In molti Paesi a occuparsi della cybersec sono prevalentemente strutture militari; Acer e Autorità nazionali guardano ai mercati energetici. I due mondi si parlano?
I due mondi non si sono parlati per molto tempo, e la comunicazione è ancora molto difficile a tratti, anche se la Commissione Europea in questo ha provato a fare uno sforzo sin dall’inizio, quando ha rilasciato la prima Cyber Security Strategy nel 2013.

Attualmente la situazione è in fase di netto miglioramento: grazie a strutture ibride dove il mondo della difesa si incontra con il mondo del business puro e dei mercati energetici. Finalmente da qualche mese c’è modo di scambiare conoscenza e opinioni, e c’è modo di confrontarsi anche su aspetti che, a seconda della prospettiva, possono guidare a scelte e posizioni diverse quando si parla di sicurezza cibernetica.

Ritengo comunque che i due mondi si parleranno sempre di più in futuro: se da una parte c’è un interesse nel valore strategico degli asset energetici, dall’altra parte i mercati sono interessati a fare in modo che la cyber security non divenga un freno allo sviluppo della rete e all’implementazione di piani a lungo termine che sottintendono investimenti ingenti e aspettative sugli eventuali profitti.

Ok, i due mondi adesso comunicano, ma si capiscono?
Su questo c’è ancora molto lavoro da fare: le prospettive, come detto prima, sono differenti e gli obiettivi finali sono decisamente diversi. Ma c’è una consapevolezza che credo sia condivisa: senza un grado accettabile di sicurezza cibernetica gli obiettivi di una o dell’altra parte possono essere a rischio, e questa diviene sempre di più una consapevolezza.

Insomma, la riduzione del rischio passa anche per un obiettivo condiviso: vanno capiti i problemi dell’altra parte per poter trovare un minimo comune denominatore nelle misure adatte a servire scopi diversi. In questo contesto i sempre più frequenti incontri tra le due parti aiutano sicuramente a capire dove si possono trovare sinergie virtuose.

Penso che nel medio termine sarà utile anche capire come queste due prospettive possano aiutarsi mutualmente: credo che in tutto questo ci sia un potenziale che va fortemente sviluppato. La conoscenza del comparto difesa in ambito di sicurezza cibernetica può aiutare il comparto energetico nel ridurre rapidamente i tempi e i rischi della minaccia cibernetica, con lo sforzo minore possibile: dall’altra prospettiva, il mondo della difesa, qualora i rischi diminuissero in maniera sostanziale nei confronti degli asset energetici, avrebbero modo di concentrarsi su altri obbiettivi strategici che potrebbero emergere nel mentre, e allo stesso tempo potrebbero essere rassicurati sull’effettivo uso delle giuste misure.

In questo il ruolo di vigilanza delle Autorità nazionali potrebbe essere cruciale. Credo che un simile circolo virtuoso non sia solo auspicabile, ma semplicemente necessario: il mondo della difesa è tecnologicamente e storicamente avanti al mondo dell’energia, ma il mondo dell’energia necessita di parte di quella conoscenza in ambito di sicurezza cibernetica per mettere in sicurezza l’evoluzione di un settore chiave per la vita delle Nazioni.

Credo che siamo comunque sulla buona strada: dobbiamo però continuare a sederci attorno a tavoli di discussione e costruire un percorso condiviso che incontri le necessità del mondo della difesa e dei mercati energetici, senza creare nuovi rischi per nessuna delle due parti, ovviamente.

Stefano Bracco, che interverrà con una relazione alla prossima quarta edizione dell’annuale ConferenzaCSE, si occupa di cyber security all’ACER in collaborazione con l’italiano Alberto Pototschnig, direttore dell’Agenzia dal 2010.

Lascia una risposta

L'indirizzo email non verrà pubblicato.