Energia, perché gli attacchi informatici sono una minaccia concreta

Ne parliamo con Stefano Zanero del Politecnico di Milano.

Le utility dell’energia sono sempre più esposte ai rischi informatici, destinati a crescere con il proliferare delle smart grid, le reti elettriche “intelligenti” con migliaia di utenze interconnesse.

In particolare, le aziende sono molto vulnerabili ai cyber-attacchi che potrebbero colpire gli impianti di generazione elettrica, come emerge da un recente sondaggio di Ernst & Young sulla sicurezza delle utility (Why wait for a cyber catastrophe to prepare for a cyber attack?), che ha coinvolto circa 1.200 rappresentanti delle principali compagnie a livello mondiale.

La maggioranza delle società interpellate, infatti, ritiene difficile sorvegliare un “ecosistema digitale” in continua espansione; così, nonostante un’elevata consapevolezza delle potenziali minacce, le utility sono impreparate a rispondere a eventuali intrusioni nei loro sistemi di gestione e controllo.

Che cosa rischiano le imprese energetiche? Come possono difendersi? QualEnergia.it ha approfondito il tema con Stefano Zanero, docente di sicurezza informatica al Politecnico di Milano.

Professor Zanero, quali minacce informatiche possono essere dirette contro le utility dell’energia?

Bisogna distinguere tra due grandi categorie di attacchi informatici. La prima categoria è comune a tutte le aziende, quando l’aggressore punta a violare il ramo amministrativo di una società.

Per questo si parla di “attacchi economicamente motivati”: il pirata informatico vuole ricavare un guadagno dalla sua intrusione, ad esempio dirottando il denaro su un conto corrente o rubando delle informazioni industriali da rivendere alle aziende concorrenti.

E la seconda categoria cosa riguarda?

Riguarda gli impianti industriali “critici”, come le centrali elettriche e le reti di trasmissione. La caratteristica preoccupante delle utility è che sono esposte a dei rischi aggiuntivi, perché possono diventare bersagli per aggressori con motivazioni di tipo militare o terroristico.

Ci racconta un episodio di cyber-attacco su vasta scala?

Gli attacchi pubblicamente riconosciuti sono pochissimi. Il caso più noto riguarda l’Ucraina: nel dicembre 2015 fu colpito il sistema elettrico del paese, provocando un esteso blackout.

Gli intrusi lanciarono un malware sui computer dei dipendenti delle utility, poi battezzato “Black Energy”, molto simile ai programmi che infettano i Pc per ottenere i codici dei conti bancari, riuscendo invece a carpire login e password con cui accedere alle VPN (Virtual Private Network) di manutenzione degli impianti. Ottenute le credenziali, gli aggressori manipolarono il firmware degli UPS, cioè le “istruzioni” che governano il funzionamento dei gruppi di continuità, per spegnerli e lasciare al buio una vasta area.

Perché, allora, le utility sono così impreparate a difendersi?

Le utility sono state tra le prime aziende a informatizzarsi, ma ora manca lo stimolo al rinnovamento. Moltissime utility usano apparecchiature che funzionano benissimo dal punto di vista industriale, che però sono datate dal punto di vista informatico.

Un altro problema è la scarsa formazione del personale: spesso, infatti, è un ingegnere elettrico, e non un esperto dell’area informatica, a controllare e sovrintendere ogni giorno i computer che gestiscono un impianto di produzione o un elettrodotto. In questi casi, è molto più difficile accorgersi in tempo di eventuali minacce e intrusioni nei sistemi di controllo.

Cosa possono fare le aziende per proteggere i loro sistemi informatici?

Per quanto riguarda le aggressioni economicamente motivate, al pari delle altre aziende, le utility possono difendersi attivando un processo olistico, che raggruppa una serie di misure: non solo installare software di protezione sui computer, ma anche, ad esempio, formare il personale in tutti i settori coinvolti dalle operazioni IT e “segmentare i privilegi”.

Significa, in sintesi, che ogni addetto può accedere solo a un certo numero di dati e informazioni per svolgere il proprio lavoro.

Questi rimedi funzionano anche per un eventuale attacco a un impianto industriale?

Gli impianti industriali sono molto più difficili da proteggere, perché si rischia un conflitto di priorità tra sicurezza informatica e interventi di manutenzione o per gestire delle emergenze “fisiche”.

La segmentazione dei privilegi quindi può essere un’arma a doppio taglio: da un lato, contribuisce ad aumentare le difese contro le cyber-violazioni, dall’altro può rallentare determinate operazioni sulle reti o sugli impianti, che invece andrebbero eseguite con la massima velocità da parte del personale.

Anche l’aggiornamento continuo dei software delle apparecchiature, spesso, è visto con una certa resistenza dai tecnici e ingegneri delle utility, perché un eventuale blocco dei computer potrebbe avere delle conseguenze anche gravi sul normale funzionamento degli impianti.

L’evoluzione dell’energia è verso le smart grid, reti intelligenti con migliaia o milioni di apparecchi interconnessi. Quali sono i rischi aggiuntivi per i sistemi digitali di questo tipo?

Nella teoria informatica, si parla di “comportamento emergente”, quindi non programmato o previsto: scopro quello che succede quando succede. Nei sistemi cyber-fisici, aumenta in modo esponenziale il numero di oggetti informatici da controllare.

Una griglia smart dell’energia avrà tantissimi dispositivi - contatori, impianti eolici e solari, batterie di accumulo e così via - collegati tra loro, dentro un mercato energetico molto più fluido, governato da algoritmi scritti da diverse utility.

Lo stesso avviene sui mercati finanziari, dove circa metà delle transazioni è regolata da algoritmi, che possono avere delle risposte impreviste, di fronte a certe oscillazioni di borsa. Allora la domanda è: cosa succederà quando i nostri sistemi informatici dovranno “girare” con altri sistemi non progettati da noi? Per questo, la sicurezza delle smart grid resta un campo molto aperto, da investigare ampiamente.