Reti elettriche e nuove sfide
Le infrastrutture per la fornitura di energia elettrica di un Paese risultano sempre più spesso un obiettivo particolarmente attraente per i cybercriminali a causa del loro impatto sull’economia e sulle infrastrutture di comunicazione del Paese. I cyberattacchi mettono alla prova la resilienza delle infrastrutture operative, minano la disponibilità degli impianti e l’integrità dei dati, causano gravi danni finanziari e possono impattare persino sulla determinazione del prezzo dell’energia sul mercato.
Gli aggressori approfittando della crescente adozione di oggetti connessi e ambienti cloud a fronte della trasformazione digitale del comparto energetico, in concomitanza con infrastrutture OT obsolete alla luce del rispettivo ciclo di vita tra i 25 e i 50 anni. Da un lato, le utility elettriche e i produttori di energia beneficiano degli sviluppi tecnologici, che permettono loro di anticipare eventuali interruzioni del servizio e di gestire meglio la capacità (smart grid); dall’altro lato, i criminali informatici si rallegrano dell’accresciuta superficie di attacco.
Forte regolamentazione
Data la crescente sofisticatezza delle minacce informatiche contro le reti elettriche, il settore dell’approvvigionamento energetico si è dotato di una vasta gamma di standard e norme per gestire questi rischi e nel tempo è diventato uno dei comparti più regolamentati in materia di sicurezza informatica. In Europa, le aziende che operano nel settore energetico sono soggette alla direttiva sulla sicurezza delle reti e delle informazioni (NIS) quali infrastrutture critiche. In termini di standard, tra i più comuni figurano, per esempio, IEC 62645 (misure per prevenire, rilevare e rispondere ai cyber-attacchi ai sistemi informatici nelle centrali nucleari), IEC 62859 (gestione delle interazioni tra sicurezza fisica e cybersecurity), ISO 27019 (raccomandazioni di sicurezza per i sistemi di controllo dei processi dell’industria degli operatori energetici) e IEC 61850 (uno standard di comunicazione per i dispositivi di protezione delle sottostazioni di alimentazione).
Garantire la cyber-resilienza dell’infrastruttura operativa
Nonostante la massiccia regolamentazione, il settore energetico – con alcune eccezioni – è tutt’altro che cyber-resiliente. Lo specialista di cybersecurity Stormshield cita quattro elementi che, se adeguatamente protetti, potrebbero rafforzare significativamente l’intero costrutto.
- Proteggere i sistemi operativi e le applicazioni obsolete nell’infrastruttura OT: Questo problema dovrebbe essere affrontato quanto prima. Una soluzione basata su meccanismi di protezione profonda sarebbe essenziale per bloccare le richieste sospette al sistema e reagire in tempo reale contro minacce che sfruttano le vulnerabilità a livello applicativo, senza dover sostituire i sistemi a questo scopo. Anche i comandi e le informazioni scambiate sulla rete operativa dovrebbero essere monitorati, poiché i sistemi di sottostazione, inizialmente indipendenti tra loro, sono sempre più tenuti a condividere informazioni e a interconnettersi. In questo contesto, è essenziale isolare le varie reti l’una dall’altra attraverso un’adeguata segmentazione.
- Ridurre la superficie di attacco: l’accesso a una singola stazione di lavoro o a un gruppo di stazioni di lavoro dovrebbe essere limitato a utenti/gruppi specifici. Data la criticità dei sistemi di sottostazione, è anche consigliabile applicare ulteriori misure di protezione, come il filtraggio della rete a livello di IED (Intelligent Electronic Device) per consentire un accesso limitato entro una finestra temporale molto specifica. In alcuni casi d’uso, è anche possibile effettuare controlli a livello utente per ottenere informazioni precise su chi si è collegato alla stazione di controllo in quale momento.
- Connessione e manutenzione a distanza: la comunicazione tra apparecchiature elettriche, IED e stazioni di monitoraggio dovrebbe essere adeguatamente protetta. Se un cybercriminale riesce a stabilire una connessione remota con un dispositivo fisico o una stazione di monitoraggio remoto, può analizzare la rete, capire la sua struttura e inviare comandi manipolati. Per gestire questo tipo di rischio, si dovrebbero utilizzare sonde industriali, sistemi IDS (Intrusion Detection System) o IPS (IntrusionPreventionSystem), ad esempio, per verificare la coerenza e la correttezza delle informazioni scambiate tra i dispositivi e i livelli superiori di gestione, e per assicurarsi che i comandi inviati non compromettano alcun processo. La soluzione scelta dovrebbe supportare i protocolli IT e OT per proteggere adeguatamente i meccanismi di controllo delle apparecchiature elettriche. Infine, il collegamento remoto per la manutenzione dovrebbe aver luogo solo tramite tunnel VPN o connessioni TLS sicure per mantenere la riservatezza dei dati.
- Il fattore umano: gli utenti e i manutentori sono spesso inconsapevoli delle regole di cybersecurity di base. L’uso di password simili indipendentemente dalla criticità del sistema o l’uso di chiavette USB private per scopi aziendali sono solo alcuni esempi. Sarebbe auspicabile controllare e monitorare le postazioni di lavoro in modo più rigoroso, consentire solo dispositivi di archiviazione specifici o utilizzare soluzioni per analizzare tali dispositivi di archiviazione dei dati, rifiutando i profili non autorizzati. Inoltre, sensibilizzare utenti e manutentori in merito a tematiche legate alla cybersecurity è essenziale per evitare errori o azioni involontarie che potrebbero minare i processi industriali.
Questi pochi esempi sono già di per sé rappresentativi del fatto che occorre un approccio integrato che tenga conto di tutti i principi di sicurezza e contempli più livelli di protezione per proteggere efficacemente i sistemi di produzione delle aziende che operano nel settore dell’approvvigionamento energetico.
