Conferenza CSE

Smart Grids, Smart Meter e la Cyber Security

519

Quattro contributi sul tema della sicurezza informatica nel settore gas. Raniero Rapone (Aon Italia), Fabio Nardella (Snam), Giovanni D’Alberton (Anie) e Alberto Volpatto (Secure Network) spiegano le strategie di difesa dagli attacchi cyber durante il Forum Cig 2020

Il compito di aprire i lavori della sessione dedicata alla cyber security è toccato a Raniero Rapone, cyber risk manager di Aon Italia.

L’esponente della società di assicurazioni ha ribadito l’importanza strategica, per un’azienda o un’organizzazione, di governare il rischio da attacchi da parte di criminali informatici.

«Le utilities – ha detto Rapone – possono essere particolarmente esposte e soggette ad attacchi di questo tipo. Sappiamo che il trend degli incidenti è in costante aumento da tempo, sia perché si dispone di informazioni inconfutabili circa la natura dolosa degli incidenti, sia perché, finalmente, le aziende e le organizzazioni hanno messo in campo le difese e, di conseguenza, si è notata una tendenza a non nascondere l’attacco, come molto spesso avveniva in passato. Nello specifico, il biennio 2018-19 ha visto triplicare il numero dei cyber-attacchi rispetto al triennio precedente. Si stima che in Italia circa il 66% delle piccole e medie imprese lo scorso anno abbia subìto almeno un danno dovuto ad attacchi informatici».

Rapone ha poi spiegato che solo di recente si è iniziato a effettuare la classificazione degli attacchi in base alla tipologia, alle motivazioni e all’area merceologica di cui le aziende fanno parte.

«L’origine degli incidenti – ha detto – è nel 99-100% dei casi frutto di azioni volontarie, quindi criminose; inoltre, i crimini informatici non sono omogenei: il dominio incide infatti sulle motivazioni del crimine che sta alla base dell’incidente. Per queste ragioni gli accadimenti non sono statisticamente determinabili: un esempio è legato ai settori dell’healthcare e dell’energia, per i quali, alla base delle motivazioni del crimine, vi è la preponderanza del furto di dati piuttosto che la violazione dei siti per finalità di tipo politico». 

L’esponente di Aon ha poi analizzato il modello del rischio cyber.

I principali fattori da tenere in considerazione in questo ambito sono la fattibilità dell’incidente informatico e la sua magnitudo. Il primo elemento è legato alla probabilità che l’attacco generi perdite: in questo caso, la frequenza e l’esposizione al crimine sono le due componenti preponderanti; per quanto riguarda invece la magnitudo, ovvero gli effetti causati dall’incidente informatico, essi sono strettamente legati al business che la relativa tecnologia informatica supporta. 

Rapone ha poi riportato queste nozioni nel campo degli smart meter, evidenziando come un settore in espansione e tecnologicamente avanzato come quello dei contatori intelligenti sarà inevitabilmente soggetto ad attacchi informatici da parte di malintenzionati, specialmente per quanto riguarda il furto di dati a scopi estorsivi. 

Il risk manager di Aon ha infine tracciato una panoramica su altri due aspetti importanti da tenere in considerazione quando si parla di attacchi informatici, ovvero la quantificazione e il governo del rischio cyber.

«La quantificazione consiste nel valutare una serie di fattori di misura dell’esposizione, quali le vulnerabilità, software e non software, del sistema, la struttura organizzativa della sicurezza informatica di un’azienda e il trend degli incidenti in un determinato dominio, oltre che dei danni, quali il tempo di disservizio, il numero dei casi e le metriche economiche del potenziale danno».

Relativamente invece al governo del rischio cyber, Rapone ha spiegato che va condotta in via prioritaria un’approfondita valutazione del sistema di gestione della sicurezza (Isms): tale operazione va operata sulla base di analisi aderenti a determinate linee guida (ad esempio, Nist-SP800, Framework Nazionale e Enisa). Occorre inoltre stabilire una struttura organizzativa della sicurezza in base a modelli sui processi, ad esempio Togaf o Isms3.

Ha concluso il suo intervento illustrando un progetto condotto nell’ambito della sicurezza informatica, nel quale Aon è direttamente coinvolta: si tratta del Progetto Echo, che avviene in collaborazione con 16 tra istituti di ricerca e atenei. Si tratta di uno dei quattro progetti pilota attraverso i quali la Commissione europea mira a sviluppare una strategia di cyber-security comune per tutta l’Europa, che punta a sviluppare un ecosistema europeo di sicurezza informatica finalizzato a sostenere la cooperazione sicura del mercato continentale, nonché a proteggere i cittadini dell’Unione da minacce e incidenti informatici. Il progetto mira a una definizione chiara dei bisogni in un contesto multisettoriale di cyber risk assessment, oltre a un’attività di marketing e comunicazione e alla definizione di approfondite analisi di mercato.

Per Snam, la vera sfida è l’IoT

Il secondo intervento in materia di cyber security è di Fabio Nardella, Global security & cyber security expert di Snam.

Il dirigente Snam ha illustrato i processi interni di sicurezza informatica dell’azienda, che interessano tutti i settori di business aziendali, in particolare quelli relativi a trasporto, stoccaggio, rigassificazione, mobilità sostenibile ed efficienza energetica. 

Nardella ha posto l’accento sull’importanza della cyber security, un campo di attività in cui le grandi aziende stanno e devono dedicarsi fortemente, in quanto, se così non fosse, la sicurezza dei dati e di conseguenza il patrimonio economico e intellettuale dell’azienda potrebbe essere seriamente compromesso. La tecnologia, quindi, se da una parte aiuta a progredire dall’altra rappresenta un fattore di rischio, se non si adottano le adeguate misure di difesa.

Non a caso il World Economic Forum, già da alcuni anni, dal punto di vista delle criticità, identifica lo spazio cyber alla stregua degli spazi fisici ponendolo, in una scala di rischio, prossimo ai danni provocati da eventuali disastri ambientali. 

Nardella ha poi illustrato le caratteristiche della cyber-security: anche per Snam è stato necessario adeguarsi all’evoluzione della complessità degli attacchi, alla profilazione di diverse tipologie di attaccanti e all’estensione della superficie potenziale di attacco, soprattutto per le tematiche legate all’IoT, oltre che all’adozione di tecnologie sempre più sofisticate e alle richieste sempre più stringenti date dalle normative. In Snam è stato quindi ripensato e rivoluzionato l’approccio alla sicurezza informatica: sono stati creati quattro dipartimenti, denominati rispettivamente Cyber Security Defence Center, Security Assessment & Guidelines, Information Sharing & Partnership Pubblico/Privato e Awarness & Training. 

Per quanto riguarda il primo dipartimento, si tratta di un centro specialistico-operativo, che racchiude un sistema integrato di tecnologie, persone e processi che ha come obiettivo l’identificazione, l’analisi, la risoluzione e la prevenzione di incidenti inerenti la cyber-security. In pratica vengono immagazzinati i dati attraverso una pletora di fonti informatiche e non; che vengono poi elaborati da piattaforme Siem dedicate alla raccolta e all’elaborazione e alla gestione delle regole di correlazione tra eventi che, abbinati a sistemi di intelligenza artificiale, vengono utilizzati per rilevare i potenziali attacchi informatici. 

La divisione Security Assessment & Guidelinessi è articolata, a sua volta, in cinque settori: il Vulnerability Assessment, che ha lo scopo di individuare le vulnerabilità, ordinate per priorità in base alla loro gravità e al livello di rischio assegnato all’asset soggetto ad analisi.

Vengono utilizzati strumenti specifici, come ad esempio i Vulnerability Scanner, per la verifica di vulnerabilità e dello stato di aggiornamento dei sistemi. Vi è poi il Targeted Security Assessment, con cui si conduce un’analisi specifica allo scopo di delineare la postura di sicurezza degli asset-in-scope attraverso l’utilizzo combinato di differenti tecniche di verifica. I Penetration Test invece simulano gli attacchi reali atti a dimostrare come un attaccante malintenzionato potrebbe eludere le difese e sfruttare le vulnerabilità per accedere ai dati o addirittura prendere il controllo del sistema.

In questi test vengono utilizzati strumenti specifici e, a differenza dei Vulnerability Assessment, vengono sfruttate le vulnerabilità trovate in modo da raggiungere l’obiettivo finale. I Laboratory Testing conducono poi delle analisi di device business critical o custom allo scopo di verificare in modo approfondito la sicurezza di tutte le componenti, sia hardware che software, degli asset oggetto di verifica. A differenza di un Penetration Test, vengono attuati processi di attacco anche invasivi. Infine vi è una divisione Guidelines & Compliance, con lo scopo di garantire e promuovere la conformità alle normative nazionali e internazionali afferenti la security, come ad esempio la Gpdr e gli standard di settore.

A seguito di questi processi, ogni anno viene redatto un piano delle verifiche tecniche, aggiornato sulla base di criteri specifici, che possono variare in base ai diversi scenari da analizzare o in base al periodo storico.

Per quanto riguarda la terza area, essa rappresenta un tassello importante nella gestione della sicurezza aziendale e prevede il coinvolgimento di altre aziende ed enti governativi nello scambio di informazioni di interesse per la cyber security.

«In Snam – ha spiegato Nardella – investiamo non tanto nella reattività connessa alla rilevazione di un attacco informatico, quanto alla sua prevenzione. Cerchiamo cioè di mantenere aggiornate le difese informatiche. Ciò avviene attraverso l’implementazione e l’analisi delle misure derivanti dagli indicatori di compromissione (Ioc) scambiati all’interno di questa rete di collaborazione; l’ampiezza di questa rete aiuta a mantenere e a garantire la rapida diffusione di queste informazioni. Esistono poi dei protocolli standard che permettono una rapida condivisione degli indicatori direttamente tra sistemi informatici».

L’area Awareness & Training, infine, mira alla creazione di una cultura della sicurezza aziendale: essa prevede l’istituzione di corsi interni e pubblicazioni di news di percorsi formativi, il cui scopo è rendere allineato il personale aziendale circa le minacce informatiche sia dentro che fuori l’azienda. 

Il manager di Snam ha concluso il proprio intervento parlando delle sfide future in ambito informatico che l’azienda si prepara ad affrontare. In particolare Snam mira allo sviluppo di soluzioni in grado di abilitare l’evoluzione digitale delle reti energetiche grazie al cloud e all’Internet of Things. In generale, Snam ha intrapreso lo sviluppo di un’infrastruttura evoluta che le consentirà di fare leva su una maggiore capacità di elaborazione dei dati e sull’IoT per gestire la propria rete in modo efficiente e flessibile, con benefici sia dal punto di vista dell’affidabilità e della sicurezza sia in ottica di transizione energetica.

La cyber security in alcuni Paesi europei

Nel suo intervento (Lo smart metering e la cybersecurity in EuropaGiovanni D’Alberton, product marketing di MeteRSit e componente dello Smart Meetering Group di Anie Csi, ha fornito un quadro della situazione della cyber security nelle attività di smart metering in alcuni paesi europei, Gran Bretagna, Germania e Olanda in particolare, e offerto indicazioni anche per le prospettive riguardanti il nostro Paese.

«L’approccio britannico a questi temi può definirsi piuttosto ambizioso e, aggiungo, assai oneroso – ha detto D’Alberton -. La Gran Bretagna ha prodotto un’architettura, lo Smart Meter Implementation Programme, che comprende un’area locale, in cui sono presenti i contatori elettrici e del gas, e un’applicazione di gestione dei dispositivi di casa. La security britannica ha scelto un approccio organico al tema. Nel 2011 sono iniziati infatti i lavori sul sistema di certificazione di sicurezza, il Cpa, il Commercial product assurance, con il coinvolgimento della Ncsc, l’agenzia nazionale di cyber security. Tre anni più tardi sono stati prodotti gli standard di security degli smart meter, con requisiti sul prodotto e sul processo di certificazione, requisiti poi aggiornati lo scorso anno. Nel 2016 è stato attivato il sistema go-to-live di Dcc, un sistema unico di acquisizione dati e gestione contatori, che ha permesso di immettere sul mercato i primi smart meter certificati Cpa. Tale scelta, se da un lato ha garantito maggior sicurezza, dall’altra ha rallentato di molto il roll-out dei contatori. In definitiva la certificazione si è rivelata una scelta assai onerosa e con un iter piuttosto lungo».

Il prodotto certificato Cpa garantisce l’integrità dei dati e la sicurezza della comunicazione contro il rischio di frodi e attacchi cyber e la certificazione valida anche l’integrità dei processi aziendali in tutte le fasi del ciclo di vita: dalla progettazione alla produzione, dall’operatività allo smaltimento a fine vita.

Anche in Germania, come nel Regno Unito, dal 2013 si è deciso di coinvolgere l’ente federale, il Bsi, il Bundesamt für Sicherheit in der Informationstechnik, per i definire i requisiti di sicurezza. Per i tedeschi il roll-out è iniziato nel 2019, ma solo sugli apparecchi elettrici a consumo elevato (≥6.000 kWh/anno) e senza consentire l’utilizzo della valvola sui gas meter. La procedura decisa ha previsto la certificazione di security Bsi sullo smart meter gateway e sull’utilizzo della security chip, come avvenuto in Gran Bretagna.

«L’Olanda invece ha scelto una soluzione intermedia e il roll-out è quasi ultimato sia per i meter elettrici che per quelli a gas – ha proseguito il product marketing di MeteRSit -. È stato scelto un metodo piuttosto radicale, che non ha previsto la valvola sui gas meter, requisiti high-level sulla security, aggiornati poi nel 2015, una valutazione di security tramite laboratori esterni, la costituzione di una struttura di controllo e di gestione della privacy e della security degli smart meter».

Per quanto riguarda l’Italia, D’Alberton ha indicato i passi necessari per procedere verso la seconda generazione di meter.

«A oggi – ha concluso il componente dello Smart Meetering Group di Anie Csi – nei contatori di design più recente si è pensato di migliorare la safety conservando l’impianto di security della Uni Ts 11291-10:2013. Teniamo però conto che nei prossimi dieci anni la potenza di calcolo per attacchi e frodi crescerà a dismisura. La sfida quindi sarà rendere solida, future-proof, la security ent-to-end nel settore gas. Ma come? In che direzione? Attraverso il coinvolgimento di un’agenzia nazionale per uno schema di certificazione oneroso sui modelli britannico e tedesco? Oppure attraverso una revisione dei requisiti dell’Uni Ts 11291-10 a partire dal Protection Profile for Smart Meter Cen/Cenelec/Ets del 2019 e la costituzione di una struttura di controllo sul modello olandese? A mio giudizio questa seconda soluzione sarebbe preferibile. Però, in generale, dico che serve uno scatto in avanti di tutta la normazione di settore».

L’analisi dei fattori di rischio

L’ultimo contributo della sessione dedicata alla cyber security è stato di Alberto Volpatto, direttore esecutivo di SecureNetwork, azienda specializzata nella sicurezza dei sistemi, delle applicazioni e delle infrastrutture informatiche.

Il direttore esecutivo di SecureNetwork ha svolto alcune utili considerazioni frutto dell’esperienza maturata dalla sua azienda.

«Se consideriamo una generica infrastruttura informatica è facilmente comprensibile come possano essere diversi i punti di attacco da parte degli aggressori. Per mettere in sicurezza il sistema nel suo complesso occorre sempre considerare diversi fattori tra cui il potenziale scenario di attacco. Se ad esempio prendiamo un dispositivo IoT, che potrebbe avere limiti di sicurezza tollerabili e lo inseriamo in un ecosistema più complesso, noteremmo che l’interazione con altri elementi produrrebbe rischi che dovrebbero essere considerati. L’esperienza maturata sul campo ci indica che occorre sempre prevedere un insieme di accessori utili a sventare l’aggressione informatica».

Interessante, nell’esposizione di Volpatto, la classificazione delle tipologie di aggressore e l’individuazione per ciascuna di esse delle differenti motivazioni con il grado di rischio e di danno che da esse possono derivare.

Diversi infatti possono essere gli autori di aggressioni e minacce ai sistemi informatici: il cliente che accede a una determinata area di un sistema, l’utente internet che ha accesso a tutte le risorse presenti sulla rete, anche il cliente di un servizio potrebbe rappresentare una minaccia, come anche un soggetto concorrente oppure anche uno stato ostile, che grazie ai servizi segreti potrebbe minare il sistema informatico di un altro Paese.

«Si tratta di esempi che aiutano a far comprendere i numerosi fattori che devono essere considerati per mettere in sicurezza un sistema – ha concluso il direttore esecutivo di SecureNetwork – avendo un approccio focalizzato a gestire i rischi del prodotto e andando a scorporare ogni suo singolo elemento».

Articolo tratto dalla rivista Cig Magazine N21/2020

Lascia una risposta

L'indirizzo email non verrà pubblicato.