Reti elettriche e cybersecurity: capire i rischi per affrontarli

backPrinter-friendly versionSend to friend

aspeniainternal

A digital data center

Quando si parla di cybersecurity viene alla mente la questione delle frodi, dei furti di informazioni, tutt’al più si pensa allo spionaggio; ma, oltre a questi fenomeni, esistono ormai intense e consolidate attività di cyberwarfare. Da circa quindici anni, alcune grandi potenze si sono dotate di una capacità rilevante di attacco e difesa cibernetica: Stati Uniti, Russia, Cina, Israele, Gran Bretagna, ma probabilmente anche paesi come l’Iran. In effetti, una recente ricerca della McAfee – società a molti nota grazie all’antivirus per personal computer che porta lo stesso nome – ha stimato che ci sono circa 120 stati dotati di una qualche capacità di attacco cibernetica.

Su questo sfondo, un fattore decisivo è il nesso tra le reti elettriche e la sicurezza dei sistemi economici avanzati: per infliggere un serio danno economico a un Paese si possono attaccare il sistema bancario e i server che gestiscono le transazioni finanziarie, ma ciò che senza dubbio può paralizzare un intera nazione è il blocco dell’infrastruttura di rete elettrica. Questa è l’infrastruttura essenziale su cui le economie mondiali si sono sviluppate: senza rete elettrica, non esistono mercati che funzionano, ma neppure trasporto aereo, logistica, telefonia, illuminazione, sicurezza. Un recente studio dei Lloyd’s di Londra ha simulato uno scenario di attacco cyber agli Stati Uniti che portasse una quindicina di Stati in blackout per 24 ore – con circa 93 milioni di persone al buio: il danno economico è stato stimato tra i 250 e i 500 miliardi (mezzo trilione) di dollari.

Fino a oggi, in Italia e in Europa, non sono stati registrati eventi di cybercrime che abbiano causato danni ingenti alle infrastrutture elettriche. Tuttavia, a livello mondiale, vari casi concreti sono utili a mostrare come negli ultimi anni l’offesa cibernetica sia riuscita a passare attraverso la “barriera” logica che distingue e separa la realtà digitale e da quella fisica. Ad esempio, un test condotto dal governo americano nel 2007 – chiamato Aurora Generator Test – ha verificato concretamente la possibilità per un sofisticato team di hacker  di provocare un danno fisico a un generatore di corrente attraverso la manomissione del software di controllo: il danno fisico obbligherebbe il generatore a un fuori servizio di diversi mesi e richiederebbe interventi di riparazione del costo decine di milioni di dollari.

Per passare da una simulazione a una vera aggressione, l’attacco russo all’Ucraina del 23 dicembre 2015 sarà ricordato come il primo attacco “cyber-warfare” su vasta scala contro una rete elettrica. Nel periodo più acuto della crisi fra Russia e Ucraina sono state infatti attaccate tre società di distribuzione e trenta sottostazioni elettriche (che hanno subito anche danni fisici), causando la disalimentazione per 12 ore di circa 230.000 clienti industriali e residenziali, ma anche di ospedali, centri di logistica, canali di comunicazione e installazioni militari. Il tutto è partito da un “virus” contenuto in un banale documento Word che è penetrato su un computer di un dipendente della utility Ucraina. Peraltro, per quanto possa sembrare paradossale, il danno è stato contenuto a sole 12 ore proprio perché il livello tecnologico, certo non all’avanguardia, della rete ucraina ha consentito in quel caso di ridare alimentazione con comandi e azionamenti manuali; in molti paesi più avanzati gli interventi sarebbero, paradossalmente, più lenti e difficili. Nel settore elettrico, infatti, si va sempre più verso una fortissima digitalizzazione che produce maggiore efficienza ma che, se non accoppiata a standard elevatissimi di sicurezza informatica perennemente aggiornati, espone teoricamente a maggiore vulnerabilità e a un aumento dei punti di potenziale intrusione informatica.

Nella digitalizzazione del sistema elettrico, l’Italia ha una storia di successo. Le reti elettriche dei nostri player nazionali (Enel e Terna in testa) sono state realizzate con sistemi informatici altamente sicuri. Ciò ha permesso di accumulare un’esperienza rilevante anche dal punto di vista della sicurezza, compresa quella informatica. Dal punto di vista legislativo, inoltre, nel 2015 l’Italia si è dotata del primo Framework Nazionale per la sicurezza dello “spazio cibernetico”, definito anche sulla base dell’esperienza avanzata del National Institute of Standards and Technology (NIST) statunitense. Lo scopo del framework è condividere un approccio omogeneo tra tutti gli attori interessati a contrastare il cyber risk. L’approccio si focalizza soprattutto sull’analisi del rischio piuttosto che sull’implementazione di tecnologie specifiche, precisando le categorie di rischio e di intervento su cui basare la futura regolamentazione. Infine, più  recentemente, nel marzo del 2017, è stato approvato dalla Presidenza del Consiglio il primo “Piano Nazionale per la Protezione cibernetica e la sicurezza informatica” che individua piano di azione, indirizzi operativi e centri di coordinamento per tutte le infrastrutture chiave, potenzialmente esposte a rischio di cyberwarfare.

Cosa si sta facendo in questo senso in Europa? Nel 2016, la Commissione ha adottato due direttive: la Network and Information Systems Directive e la General Data Protection Regulation. Sono inquadramenti trasversali che coprono diversi settori mentre la Direzione Generale Energia della Commissione si sta occupando dell’attuazione in campo energetico. Intanto, a febbraio 2017, un panel ad hoc di esperti – dopo un anno di lavoro – ha prodotto un rapporto sulle vulnerabilità della rete elettrica europea.  Sono stati qui identificati 39 punti di debolezza e tre linee di azione:

 - un sistema di risk management, formalizzato a livello europeo, per identificare quali sono gli attori principali e quali le “infrastrutture critiche” (tenendo conto che la rete elettrica del continente è molto interconnessa ed esiste quindi il rischio che, con un attacco informatico ben mirato, un blackout in un paese-membro possa trasmettersi anche ad altri);

 - una capacità di diffusione delle informazioni relative agli attacchi cibernetici in maniera sicura e controllata. Condividere, difatti, i dettagli di un attacco subìto è uno strumento importante di difesa comune;

 - un rafforzamento della resilienza delle reti elettriche ad attacchi cibernetici, partendo anche da sistemi stringenti di qualificazione di “sicurezza” dei fornitori di componenti, sistemi tipici dell’industria della difesa ma non ancora diffusi nel settore elettrico.   

Da questo quadro generale emerge chiaramente come si debba urgentemente e concretamente affrontare sia la questione della sicurezza della supply chain (ad es.: i fornitori stranieri “non-NATO” sono sicuri?) sia quella del coordinamento tra i vari paesi che sono parte della rete elettrica interconnessa europea.

La “guerra cibernetica” pone gravi problemi anche perché mancano ancora standard testati che siano paragonabili allo jus ad bellum e alla jus in bello dei conflitti “tradizionali”. Non è ancora stato definito, infatti, cosa costituisca un atto di guerra nel settore cibernetico: immettere virus, bloccare una rete elettrica, paralizzare un sistema finanziario? Inoltre, un attacco cibernetico può essere difficilmente tracciabile, soprattutto se avviene tramite una cosiddetta “botnet” – una rete comandata a distanza per cui un server o alcuni computer sono infettati e usati per l’attacco — che può mascherare la reale identità e localizzazione geografica dell’attaccante. A ciò si aggiunge la velocità della trasmissione dei segnali digitali, che può essere di  frazioni di secondo, complicando molto la logica della possibile deterrenza basata sulla certezza di una risposta commisurata all’attacco (“mutual assured destruction” di epoca nucleare). Intanto, una fondamentale barriera di accesso alla guerra cibernetica si sta abbassando, cioè quella del costo delle tecnologie, in particolare i “virus” (che in termini di guerra cibernetica si identificano meglio come “bombe logiche”); questo è un dato che purtroppo tende a favorire l’attacco, rispetto alla difesa.

In teoria, una via d’uscita da questa situazione potrebbe essere l’ulteriore diffusione della generazione e storage elettrico distribuito per cui la manomissione di un singolo punto non pregiudica il funzionamento o dell’intero sistema; ma va ricordato che perfino un piccolo generatore per produrre energia localmente può essere “hackerato”, se non adeguatamente protetto, come, per altro, alcuni elettrodomestici di ultima generazione che possono essere trasformati in “schiavi” di una “botnet” straniera o in strumenti di violazione della privacy, grazie ai loro sensori “always-on” e alla loro connessione wi-fi (famoso, ad esempio, il caso recente di una smart TV). D’altra parte, tornare al caminetto e a un’economia di sussistenza sembra un modo davvero troppo radicale di mettersi al riparo...e l’alternativa è probabilmente ancora peggiore se si guarda al caso della Cina che ha inserito un “superfiltro” per sganciare totalmente il paese da Internet e funzionare, sotto attacco, come una rete “Intranet” isolata. Il problema è che tale superfiltro è utilizzato quotidianamente per limitare la libertà di accesso all’informazione globale dei propri cittadini.

In estrema sintesi, così come per guerre e terrorismo, è improponibile puntare alla “sicurezza assoluta” rispetto a possibili attacchi cibernetici, ma la raccomandazione di fondo che ci sentiamo di suggerire è di rafforzare ulteriormente, e con grande prontezza, il coordinamento dei vari attori, sia a livello nazionale che internazionale: non solo grandi aziende elettriche e regolatori, ma anche aziende elettriche minori, aziende componentistiche della filiera produttiva del settore elettrico, oltre che le Istituzioni deputate alla difesa nazionale. È essenziale anche un importante sforzo sovranazionale per un ulteriore, concreto, rafforzamento dell’armonizzazione degli standard di sicurezza, interoperabilità e qualificazione dei fornitori.

In ogni caso, il punto fermo da cui partire è che le libertà, nei diritti, nei movimenti, nelle opinioni e nelle informazioni, di cui godiamo nelle nostre democrazie, non devono renderci perdenti, a fronte dei rischi di cyberwar, ma continuare a essere un fattore di sviluppo e progresso.