Alcuni tra i più autorevoli esperti di Cyber Security si sono confrontati lo scorso 29 marzo a Milano in occasione di un tavolo tecnico sulla Cybersecurity nel settore energetico organizzato da Bureau Veritas Italia e da Secura – società del gruppo BV specializzata proprio nella cibersicurezza.
Il tavolo tecnico, composto da massimi esperti Bureau Veritas Italia e della società del gruppo Secura, ha registrato la partecipazione di importanti esponenti nazionali e internazionali sulla tematica: il Comitato elettrotecnico Italiano chiamato ad approfondire il tema del regolamento CEI 016; Colin and Partners, società di consulenza strategica in ambito informatico impegnata sulla direttiva NIS2; il Cyber 4.0, uno degli otto Competence Center nazionali con focus proprio sulla cyber security; GFCC- Genoa Fieldbus Competence Centre, centro specializzato in Cybersecurity e nel settore dell’automazione industriale, che ha presentato casi pratici di valutazione del rischio cybersecurity in ambito Energy.
Indice degli argomenti
Energia settore critico in un paese nel mirino degli hacker
L’Energia è un settore che, considerando le articolate relazioni di filiera, produce a un valore superiore ai 60 miliardi di euro. Ci lavorano oltre 3.800 imprese che danno lavoro a 101 mila dipendenti. Trattandosi di una filiera strategica, la sicurezza non può essere considerata un optional, soprattutto in un’era nella quale – anche in ragione della transizione verso una rete energetica digitalizzata o 4.0 – aumenta l’esposizione ai rischi di cyberattacchi.
I recenti dati emersi dal rapporto Clusit registrano una crescita degli attacchi in Italia molto più rapida rispetto al resto del mondo: verso strutture localizzate nel Belpaese infatti nel 2022 sono stati rilevati il 7,6% degli attacchi globali (contro il 3,4% del 2021). Attacchi che, oltre che essere più frequenti, producono anche conseguenze più gravi, come testimoniato anche dalla Ricerca 2022 dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano dalla quale emerge che il 67% delle grandi imprese ha subito un aumento dei tentativi di attacco rispetto all’anno precedente e che il 14% delle grandi imprese dichiara di aver subito attacchi con conseguenze concrete.
Partendo da queste considerazioni Bureau Veritas Italia, con la partecipazione di Secura, società del gruppo BV specializzata in cybersecurity, ha organizzato un incontro tecnico-informativo con l’obiettivo di approfondire l’evoluzione della Cybersecurity nel settore Energy e i rischi connessi a seguito di un attacco: dalla perdita di dati sensibili, all’interruzione di servizi infrastrutturali con conseguente sospensione della fornitura di energia.
Diego D’Amato, Presidente e Amministratore Delegato di Bureau Veritas Italia, rileva che “la cybersecurity è innanzitutto un fatto culturale: alla luce dei nuovi obblighi normativi, è indispensabile cambiare il mindset delle persone nelle organizzazioni, rivedendo comportamenti e abitudini per proteggersi dalle nuove minacce. E, chiosando una celebre frase dell’ex direttore dell’FBI, è il caso di ricordare che la consapevolezza è la chiave e come si usa dire esistono solo due tipi di aziende: quelle che hanno subito un attacco hacker e quelle che non sanno di essere state attaccate. Oggi più che mai – con minacce che variano continuamente, proprio come un virus – è indispensabile valutare la propria capacità di risposta tenendo conto delle persone, dei processi e delle tecnologie: su questi tre livelli di attenzione è articolata la rosa dei servizi del gruppo Bureau Veritas“.
Secondo Matteo Lucchetti, direttore del Competence Center Cyber 4.0, che ha partecipato all’incontro, “nel settore energia l’aumento dei casi di ransomware andati a segno si inserisce in un quadro in cui l’integrazione delle tecnologie operative (OT) con i sistemi IT ha da tempo sottolineato la necessità indifferibile di gestire la cybersecurity come fattore abilitante che deve sostanziare le strategie del business aziendale”.
Strategie e metodologie efficaci per combattere il rischio cyber
All’incontro hanno partecipato costruttori di apparecchiature, Asset owner e operatori per la trasmissione di energia, mettendo a fattor comune le rispettive competenze ed esperienze con l’obiettivo di condividere strategie efficaci di cybersecurity per uno dei principali settori critici come quello dell’Energia.
Uno dei temi affrontati è quello della nuova direttiva NIS2. Secondo Valentina Frediani (Colin and Partners) la “priorità assoluta oggi rispetto all’entrata in vigore della NIS2 è definire il perimetro degli asset a cui applicarla seguito dalla necessità di verificare le condizioni contrattuali e di cybersicurezza con i fornitori strategici. I tempi tecnici ci sono ma per le aziende occorre partire con l’assessment quanto prima, coinvolgendo varie funzionali aziendale ed affrontando l’obbligo normativo con una visione di insieme con un committment forte”.
Apprezzatissimi gli interventi di Giovanna Dondossola e Roberta Terruggia, rispettivamente Capo Progetto e Ricercatrice Cybersecurity di RSE – Ricerca sul Sistema Energetico, che hanno illustrato nel dettaglio la Norma CEI 0-16 in relazione alla cybersecurity delle infrastrutture energetiche italiane: “Il Controllore Centrale d’Impianto è il primo caso concreto di applicazione di standard internazionali alle comunicazioni tra impianti di generazione distribuita e operatori di rete”, hanno rilevato.
E proprio alla conformità del controllore centrale d’impianto è stato dedicato l’intervento di Micaela Caserza Magro, Direttore Tecnico del GFCC, e di Ulisse Quartucci, Cyber Security Expert e Ethical Hacker – GFCC, che hanno spiegato come vengono eseguite le prove sui dispositivi CCI per verificare l’effettiva rispondenza ai requisiti e prescrizioni delle norme IEC 62443 ed IEC 62351.