Conferenza CSE

Principali risultanze della 4ª Conferenza Nazionale Cyber Security Energia

970

Il 2017 resterà nella storia come l’anno in cui Governi e Organizzazioni internazionali hanno preso coscienza della vastità del rischio cyber anche nel settore energetico e hanno intensificato attenzione, sforzi e programmi per garantire la sicurezza informatica dei servizi essenziali di pubblica utilità.

L’Italia è scesa in campo con la riforma di obiettivi e governance della cyber security in generale, e in particolare con l’inserimento dell’argomento, per la prima volta, nella Strategia Energetica Nazionale. A seguire l’avvio del recepimento della Direttiva europea “Network information system” (NIS), che vede al primo posto il settore energia e che dovrà essere legge entro il 9 maggio del prossimo anno. La Direttiva prevede per gli operatori obblighi coordinati di intervento e comunicazioni.

I recenti attacchi alle reti energetiche, come ad esempio in Ucraina, quelli all’industria petrolifera e del gas come in Norvegia e in Arabia saudita, e le nuove e continue minacce, hanno portato ad una nuova consapevolezza e volontà di difesa. La gestione delle carenze nelle competenze, la capacità di risposta ad attacchi e incidenti, la confluenza tra Information Technology e Internet of Things, l’integrazione della sicurezza in rete, sono gli aspetti che diventano adesso più urgenti, di fronte alla pervasività della capacità di attacco.

La Conferenza Nazionale Cyber Security Energia (Conferenza CSE), iniziativa fondata da Energia Media in collaborazione con WEC Italia (Comitato Nazionale Italiano del Consiglio Mondiale dell’Energia), con la sua quarta edizione 2017, ha rafforzato la collaborazione strategica con Utilitalia, la Federazione che associa circa 500 Utility del settore elettrico, gas, acqua e ambiente, ed è stata l’occasione per verificare, confermare e comunicare alla fine del 2017 il salto di qualità che tutto il settore dell’energia, imprese, utility, consulenti, fornitori di beni e servizi, stanno operando sotto la pressione della regolazione e non solo.

Nel 2016 a livello globale ha fatto segnare 1050 attacchi con conseguenze considerabili “gravi”. In particolare, gli attacchi compiuti per finalità di Cybercrime sono risultati in aumento del 9,8% rispetto all’anno precedente, mentre sono cresciuti a tre cifre quelli riferibili ad attività di Cyber Warfare – la “guerra delle informazioni” (+117%). In termini assoluti Cybercrime e Cyber Warfare hanno fatto registrare il numero di attacchi più elevato degli ultimi 6 anni.

Il World Economic Forum Global Risk Report, classifica infatti ormai i Cyber Attacks come top risk cioè rischi paragonabili ad attacchi di terrorismo o migrazioni di massa.

 

Gli energy Leader hanno già acquisito consapevolezza sul fatto che gli attacchi informatici rappresentano una minaccia concreta per l’operatività di un’Azienda. E’ urgente tuttavia aumentare il livello di sicurezza delle medie, piccole e micro imprese, per limitare le vulnerabilità presenti nei loro sistemi informatici ed aumentare la consapevolezza del personale interno.

 

Considerati questi elementi di contesto, il presente documento di sintesi ha l’obiettivo di evidenziare le questioni principali con cui gli Stakeholders nazionali della cyber security energia dovranno confrontarsi nei prossimi anni.

 

  1. La cyber security è un settore in cui non esistono soluzioni onnicomprensive in grado di azzerare il rischio cyber. La messa in sicurezza di una impresa deve divenire un processo interno all’impresa, entrando di fatto nel DNA aziendale, in modo che tutto il personale sia preparato ad affrontare la minaccia cyber;

 

  1. Molti degli attacchi più impattanti per le grandi aziende partono da medie, piccole e micro imprese con livelli di sicurezza inferiori ma con accessi privilegiati a dati e/o infrastrutture della grande azienda, per i servizi che devono erogare. La digitalizzazione delle interazioni tra aziende della stessa filiera, determina un incremento delle vulnerabilità alle quali si è esposti. È quindi fondamentale che le imprese inizino a pensare a se stesse non come delle realtà solitarie ma come parte di una rete fortemente interconnessa;

 

  1. Le utilities e le relative infrastrutture critiche sono state oggetto di diversi attacchi informatici mirati a creare basi di dati riguardanti componenti, reti, impianti, sistemi di monitoraggio e informazioni relative ai dipendenti. Ciò con la finalità di ricostruire i criteri di esercizio delle aziende, esponendole a sempre maggiori rischi. Solo il 63% degli allarmi sono stati adeguatamente investigati;

 

  1. In media il costo annuo per azienda, dovuto a incidenti in ambito cyber nel settore Energy e Utilities è secondo soltanto a quello relativo al settore Finance, nel quale il danno è spesso determinato da frodi;

 

  1. Da più parti si avverte l’esigenza di: incentivi economici e amministrativi atti a facilitare gli investimenti in Cyber Security; cooperazione multilivello per sviluppare catene di approvvigionamento affidabili e sicure; dialogo fidato e costruttivo tra le parti interessate;

 

  1. A livello comunitario gli Stati Membri vengono incoraggiati ad istituire codici di condotta e meccanismi di certificazione della protezione dei dati. La certificazione è volontaria e accessibile tramite una procedura trasparente rilasciata dall’autorità di controllo competente;

 

  1. L’Italia è stato uno dei primi paesi nel panorama internazionale a manifestare una particolare sensibilità verso le tematiche della cyber security con provvedimenti legislativi, l’ultimo è il DCPM 17 febbraio 2017, che le consentiranno non solo una più facile e pronta adesione alla a Direttiva NIS (Network Information Security) ma permetteranno di attuare, con il suo recepimento, un effettivo potenziamento delle capacità di gestione e risposta ad eventi cyber di natura critica;

 

  1. Per lungo tempo l’Information Technology (IT) e l’Operation Technology (OT) sono stati considerati come due domini completamente distinti del business delle aziende. La progressiva apertura e integrazione del mondo OT con il resto dei processi informatici sta cambiando questa visione. L’integrazione IT-OT deve essere portata avanti secondo un approccio che non miri alla robustezza bensì alla resilienza, verso un progressivo adeguamento dei sistemi di operation technology agli standard di sicurezza;

 

  1. Il CyberRisk Assessment rappresenta un’utile strumento per una attenta valutazione dei rischi Cyber. Consiste in un servizio di audit di sicurezza che coinvolge tutti I processi ingegneristici e non solamente il software e la gestione IT;

 

  1. La Blockchain è un database di informazioni strutturato in blocchi collegati tra loro in maniera univoca che applicato in ambito energetico rappresenta uno strumento sicuro ed efficace per la custodia e il trasferimento di informazioni. Permette di:

 

  • Crittografare le informazioni contenute al suo interno;
  • Distribuire le informazioni su più nodi;
  • Controllare in continuo la veridicità della catena;
  • Non avere il dominio da parte di una singola entità;
  • Non averei un singolo punto di fallimento.

 

Il contributo acquisito da Esperti provenienti da Istituzioni, Imprese, Consulenti, Fornitori di tecnologie, Università e Istituti di ricerca ha evidenziato le “best practice” sulla governance aziendale della sicurezza informatica, oggetto anche dei dibattiti della quarta edizione della Conferenza Nazionale CSE a cui hanno partecipato Istituzioni e soggetti del mondo della ricerca con i rappresentanti del Ministero Sviluppo Economico, del CNAIPIC, dell’ISCOM, dell’ESCO, dell’ACER, e del Comune di Roma.

 

 

Lascia una risposta

L'indirizzo email non verrà pubblicato.