La digitalizzazione ha introdotto innegabili vantaggi nel settore energetico in termini di flessibilità e ottimizzazione della rete di distribuzione. Allo stesso tempo, però, ha generato significative vulnerabilità, che si traducono in ulteriori punti di intrusione in un'area già fisicamente estesa tra produzione, trasmissione e distribuzione dell'energia. Ecco perché le infrastrutture energetiche, essenziali e vitali per la nostra economia, sono sempre più esposte al rischio di attacchi informatici.
Cosa possiamo fare per proteggere i numerosi punti di accesso a queste infrastrutture critiche? Come ridurre al minimo i danni, dall'interruzione delle operazioni alla distruzione fisica delle apparecchiature? Grazie a una migliore comprensione dei vari metodi utilizzati dai criminali informatici, dei tipi di attacco più comuni e delle soluzioni disponibili, i gestori delle infrastrutture potranno prepararsi al meglio e affrontarli.
Una superficie di attacco estesa
Anche prima del passaggio al digitale, le infrastrutture energetiche presentavano una particolare ripartizione geografica, basata su diversi centri di produzione e su una rete di distribuzione frammentata. Di conseguenza, la superficie di attacco risulta già estesa e lo diventerà ancora di più con l'arrivo di innumerevoli sensori, automi e oggetti connessi, l'interconnessione delle reti e l'accesso agli ambienti cloud.
Le postazioni di lavoro, i vari dispositivi connessi e persino i flussi di comunicazione sono tutti potenziali punti di intrusione per i criminali informatici. Questo perché le infrastrutture energetiche sono vecchie di decenni, così come alcuni dei loro impianti. Si ritiene che in generale abbiano superato i 50 anni, ma solo la parte informatica si è mantenuta al passo con le tendenze e ha ammodernato le proprie strumentazioni. La parte operativa (OT) invece, è rimasta generalmente allo stato originale... Al punto che (troppi) macchinari funzionano ancora oggi con versioni di software vecchie e obsolete che non sono state aggiornate in merito alle ultime vulnerabilità. Con sistemi scollegati e/o reti private all'interno di impianti e centrali elettriche, il rischio è stato ridotto al minimo. Ma la (nota) convergenza IT/OT ha messo in discussione questo isolamento già fragile. Al contempo, i vari dispositivi utilizzati nelle centrali elettriche, idroelettriche e termiche non sono stati progettati con un approccio di Cybersecurity-by-Design. Tutti questi sensori, siano essi IED (Intelligent Electronic Devices), RTU (Remote Terminal Units) o altri, non appena collegati si trasformano in punti di intrusione facilmente accessibili ai criminali informatici. Come se non bastasse, questi ambienti spesso utilizzano sistemi "chiavi in mano" che non sono stati progettati per ricevere le patch di sicurezza.
Al di là di questi punti di accesso iniziali, i protocolli di comunicazione utilizzati nel settore energetico rappresentano un'altra grande criticità in termini di sicurezza informatica. Questo perché sono stati spesso sviluppati in un periodo in cui la sicurezza non era una priorità. Il protocollo IEC-104, ad esempio, è comunemente utilizzato per la telemetria nel settore della produzione di energia. Ma non dispone di alcun meccanismo di autenticazione o crittografia, il che lo rende estremamente vulnerabile agli attacchi informatici. Lo stesso vale per il protocollo GOOSE (Generic Object Oriented Substation Events, una funzionalità dello standard IEC 61850). Originariamente progettato per limitare i controlli (che richiedono tempo) e accelerare la resilienza del sistema in caso di guasto, questo protocollo può essere facilmente sfruttato per introdurre pacchetti malevoli. Tale vulnerabilità interessa anche le connessioni remote, come nel caso della telemanutenzione. Essenziali, ad esempio, per l'efficienza operativa delle sottostazioni, queste connessioni possono anche essere sfruttate per l'accesso non autorizzato (e malevolo) alla rete.
Per raggiungere più facilmente questi diversi punti, i criminali informatici possono sfruttare diversi vettori di attacco : di rete, software, fisico o addirittura umano. Un vettore umano è ancora più sensibile nel settore dell'energia, caratterizzato dalla presenza di un gran numero di subappaltatori.
Attacchi informatici polimorfi
Per colpire il settore energetico, i criminali informatici utilizzano diversi tipi di attacco. Trattandosi di un segmento in cui la continuità operativa è fondamentale, gli attacchi Denial of Service (DDoS) e i ransomware costituiscono parte integrante dell'arsenale offensivo classico.
Ma lo spionaggio e il sabotaggio delle infrastrutture energetiche possono assumere altre forme. O seguire anche altri percorsi, come la catena di approvvigionamento. Questo tipo di attacchi hanno quindi la particolarità di colpire i fornitori e i partner commerciali del settore energetico. Attraverso queste realtà, molto meno sicure e quindi più vulnerabili, i criminali informatici ottengono un accesso indiretto alle reti delle aziende energetiche. Questi attacchi sono particolarmente insidiosi perché sfruttano il legame di fiducia tra le aziende energetiche e i loro fornitori di servizi.
In aggiunta a questo già consistente arsenale, esse devono affrontare un ulteriore rischio: la natura altamente sensibile del settore suscita infatti l'interesse degli attori statali nell'ambito di conflitti geopolitici. Si arriva persino a investire in minacce informatiche specializzate, programmate per colpire apparecchiature o processi operativi specifici. Stuxnet nel 2010, BlackEnergy nel 2015 e Industroyer nel 2016 costituiscono tutti esempi di rilievo. Il malware Industroyer, ad esempio, è in grado di rilevare e sfruttare i protocolli di comunicazione utilizzati in una rete industriale e può colpire efficacemente i sistemi energetici.
Più recentemente, i malware Industroyer.V2 e Cosmicenergy hanno spostato l'attenzione sulla protezione dell'OT, mentre altri attacchi informatici si concentrano sul settore IT. Scoperto dai team di Mandiant nel 2023, il malware Cosmicenergy intercetta i comandi passati attraverso il protocollo IEC-104 per interagire con le RTU e la rete OT. "Con questo accesso, un aggressore può inviare comandi da remoto per influenzare il funzionamento degli interruttori e dei disgiuntori della linea elettrica al fine di interrompere l'alimentazione", si legge nell'articolo dei ricercatori. Questo malware non è stato rilevato in seguito a un attacco, ma è stato... scaricato da una utility pubblica di analisi dei malware. Che si tratti di un colpo di fortuna o di un passo falso, questo episodio dimostra che i criminali informatici stanno concentrando le loro ricerche su malware che prendono di mira i protocolli energetici industriali.
Protezione nel settore energetico
Di fronte a questa situazione e a tali minacce, come possiamo proteggere il settore dell'energia? 2018, Guillaume Poupard, all'epoca direttore generale dell'ANSSI, si è presentato davanti alla commissione francese per gli affari esteri, la difesa e le forze armate per mettere in guardia sulle conseguenze di un attacco alle reti di distribuzione energetica di un Paese.
Per garantire una protezione efficace di questi sistemi complessi e interdipendenti, è essenziale un approccio globale e multilivello. In presenza di diversi punti di accesso, è indispensabile mettere in atto un'adeguata strategia di difesa, che va dall'implementazione di strumenti informatici adeguati alla formazione continua dei dipendenti e dei fornitori di servizi. Questo perché ogni tipo di attacco presenta problematiche uniche in termini di rilevamento, prevenzione e, soprattutto, risposta. I sistemi di mitigazione e filtraggio del traffico, la segmentazione dettagliata della rete, l'implementazione di sistemi di rilevamento delle intrusioni e i back-up regolari sono solo alcuni esempi di un elenco non esaustivo di elementi essenziali per la sicurezza informatica industriale. "Sul campo, possiamo notare che il settore energetico francese ha già implementato una serie di sistemi di sicurezza su misura per le proprie attività - spiega Khobeib Ben Boubaker, Head of Industrial Security Business Line presso Stormshield. Un approccio che sta iniziando a dare i suoi frutti in termini di sicurezza informatica. “
In questo ambito, i professionisti del settore energetico devono attingere al concetto di difesa avanzata, tanto caro all’ANSSI. Tale concetto è illustrato in dettaglio nella la norma IEC 62443, uno standard trasversale che promuove la sicurezza di ogni sottoinsieme del sistema. L'aspetto normativo costituisce un ulteriore aiuto per il settore energetico, in quanto è estremamente esaustivo in materia. Tra gli standard figurano lo IEC 62645, un insieme di misure per prevenire, rilevare e reagire agli attacchi malevoli ai sistemi informatici delle centrali nucleari; lo IEC 62859, che fornisce un quadro per la gestione dell'interazione tra sicurezza fisica e sicurezza informatica; l'ISO 27019, che contiene raccomandazioni di sicurezza applicate ai sistemi di controllo dei processi utilizzati dall'industria degli operatori energetici; e infine lo IEC 61850, già citato in precedenza in questo documento, come standard di comunicazione utilizzato dai sistemi di protezione delle sottostazioni nel settore della produzione di energia. Dall'altra parte dell'Atlantico, lo standard americano NERC-CIP, ad esempio, definisce una serie di norme per la messa in sicurezza degli asset necessari all'operatività delle infrastrutture di rete elettrica in Nord America, analogamente alla Legge sulla programmazione militare (LPM) in Francia. Infine, la NIS2, la seconda versione della Direttiva europea sulla sicurezza delle reti e dei sistemi informativi, si rivolge agli attori della catena di fornitura (subappaltatori e fornitori di servizi) con accesso alle infrastrutture critiche. Questi dovranno poi rispettare le misure di sicurezza relative alla protezione delle reti degli operatori di servizi essenziali (OSE).
Con gli esempi di BHI Energy (USA), Energy One (Australia) e HSE (Slovenia), gli attacchi informatici contro il settore energetico sono più attuali che mai. A fronte dell'aumento degli attacchi e della loro complessità, la questione della sicurezza informatica nel settore dell'energia è diventata una priorità assoluta per il 2024 e per gli anni a venire. La protezione richiede una vigilanza costante e una stretta collaborazione tra aziende del settore, governi ed esperti di sicurezza informatica.
