Energy & Utilities Security Summit: le risposte delle aziende al cybercrime

Energy & Utilities Security Summit, come le Utilities e le aziende del settore dell’Energia stanno combattendo il cybercrime

Con una crescita di attacchi gravi pari al 40% nel 2020 rispetto all’anno precedente, le Infrastrutture Critiche si confermano tra i bersagli più colpiti dal cybercrime, come confermato dai dati del Rapporto Clusit 2021. In particolare, le Utilities e le imprese che operano nel settore dell’Energia si trovano oggi ad operare in uno scenario in cui la pandemia ha avuto un forte impatto e in cui è sempre più rilevante una logica di sicurezza della supply chain, anche a fronte dell’evoluzione della normativa italiana ed europea. Clusit, Associazione Italiana per la Sicurezza Informatica, con AIPSA, Associazione Italiana Professionisti Security Aziendale e Utilitalia, Associazione delle imprese idriche energetiche e ambientali, ha organizzato oggi, per affrontare questi temi, l’ Energy & Utilities Security Summit 2021.

Nel corso dell’evento, rivolto alle utilities e aziende italiane dell’energia, sono stati presentati con Trend Micro, partner di ricerca, i dati relativi all’impatto del cybercrime nel settore ed affrontate alcune delle problematiche di sicurezza più rilevanti per la continuità del business delle utilities: a partire dall'evoluzione della cyber security nel periodo della pandemia, alla necessità sempre maggiore di consapevolezza e formazione; in primo piano sarà anche l'evoluzione della normativa italiana ed europea. Sono stati approfonditi i temi della supply chain security, dell’ICT security e la sicurezza delle Operational Technologies, insieme a Data Protection e Security by Design.

Il crescente numero di attacchi cyber diretti alle imprese di questo settore - Imprese e Pubbliche Amministrazioni - impone un adeguato sviluppo tecnologico e digitale dei processi produttivi, al fine di garantire la continuità delle attività aziendali. “Ribadiamo più che mai in questo contesto l’importanza di Ricerca e l’Innovazione e di investimenti in formazione dei dipendenti sui rischi cyber, ma anche l’imprescindibilità di programmi volti a formare una nuova generazione di professionisti della sicurezza, favoriti da iniziative d’impresa nell’ambito della cybersecurity. La collaborazione con AIPSA e con Utilitalia è un passo in avanti per coinvolgere concretamente i decisori aziendali”, afferma Gabriele Faggioli, presidente Clusit.

“Per affrontare al meglio i rischi aziendali in ambito sicurezza, riteniamo fondamentale che gli esperti del settore condividano tra loro esperienze e best practice. Come Associazione crediamo fortemente che la condivisione svolga in tal senso un ruolo centrale. Il lavoro sinergico con Clusit e Utilitalia va proprio in questa direzione“, dichiara Andrea Chittaro, presidente AIPSA.

Il VicePresidente di Utilitalia e Presidente di Estra, Francesco Macrì nota come “la rapida evoluzione della digitalizzazione dei processi produttivi delle utility e la responsabilità che i gestori di servizi essenziali hanno nei confronti dei cittadini pone gli Operatori industriali di fronte alla necessità di implementare costantemente tutte le azioni deputate alla security aziendale. Il rafforzamento di tali funzioni consentirà alle utility di coinvolgere anche nuove professionalità, con speciale attenzione verso i giovani”.

Con questo obiettivo si sono Con questo obiettivo, si sono confrotnati oggi nel corso di una tavola rotonda Alessandro Cattelino, Responsabile Sicurezza ICT, Iren; Massimo Cottafavi, Head of Cyber & Operations Security, Snam; Alessandro Fontana, Trend Micro; Francesco Macrì, Vicepresidente di Utilitalia e Presidente di Estra; Davide Manconi, Cyber Security Manager / CISO,  Eni Gas e Luce; Alessandro Manfredini, Group Security & Cyber Defence, A2A; Francesco Morelli, socio Aipsa .

Energy & Utilities Security Summit, l’intervento di Alessandro Cattelino, Iren

Alessandro Cattelino, Iren: “Iren ha approciato questa tematica come un percorso, perché coinvolge tutta l’aziednda su più tematiche e più fronti. Il nostro metodo si può suddividere sotto vari aspetti: il primo è che il percorso deve essere progettuale, devono essere adottate delle metodologie, gli obiettivi, piuttosto che definirne una panificazione e un’organizzazionedi chi opera all’interno delle tematiche di formazione di awareness. Il mio spunto parlando di ruoli è che non deve essere un progetto guidato da chi si occupa di formazione ma da chi si occupa di sicurezza, perché non è una formazione classica, deve essere legato alla sensibiità di chi vive quotidianamente queste tematiche e trasmettere all’azienda o alle terze parti, supportate dalla formazione per le tecnologie più classiche. Essendo un progetto bisogna farsi aiutare con strumenti che sono specializzati nel fare awareness in termini di sicurezzae da chi è specialista in questi campi. I risultati devono essere misurati. I destinatari di un progetto di questo genere deve essere in primis tutta l’azienda compreso il top management, poi c’è un tema di timing, per imporstare un progetto di questo genere bisonga apartire da lontano e creare consapevolezza. Noi l’abbiam fatto introducendo nella nostra Cyber policy il fatto che la formazione awareness era lo strumento prinicpale per mitigare i rischi Cyber, in modo che la sensibilizzazione delle persone diventa un tema centrale nella politica di mitigazione del rischio Cyber. Deve durare nel tempo, il nostro dura 3 anni, perché l’ awareness vuol dire cambiare i comportamenti delle persone, non è imparre una nozione tecnica.
Per quanto riguarda gli strumenti, noi ne abbiamo adottati 3: domande molto semplici a tutti i dipendenti dal presidente agli operai, perché ogni singolo si può misurare su cosa sta apprendendoo in questo percorso pluriennale e possiamo vedere un trend della società e capire come siamo posizionati da questo punto di vista. Un altro strumento sono le simulazioni. Facciamo delle simulazioni di phishing di USB, questo permette al singolo di capire quando sbaglia e permette a noi di misurare l’apprendimento. Poi c’è il concetto più tipico di formazione awareness, una formazione specializzata per il top management con delle sessioni di un’ora di due anni in cui si apprendono dei concetti variegati: da quelli legali, agli scenari cyber piuttosto che nozioni base di tipo tecnologico. Poi c’è la formazione diffusa, delle piccole dosi di formazione customizzate sul singolo in relazione alle risposte ai questionari e alle campagne di phishing.”

Energy & Utilities Security Summit, le parole di Massimo Cottafavi, Snam

Massimo Cottafavi, Snam: “La Supply Chain Security non è nuova nell’Energy né nei settori produttivi e industriali, è un tema ormai consolidato nelle culture aziendali. Nel mondo più stretto dell’Information Security questi temi sono già trattati da molti anni. Quello che è attuale è l’attenzione verticale sui temi Cyber connessi alla Supply Chain. L’anno scorso era stata presentata una ricerca dedicata a questo tema ed era emerso che era esplosiva la concentrazione su quei temi non soltanto in termini di percezione ma di soluzioni. Una delle leve è sicuramente il tema dell’indirizzo normativo, oggi sia a livello italiano che europeo, ci sono normative che pongono in capo a determinate aziende di grandi dimensioni con impegno sociale e delle responsabilità a livello di sistema paese, un insieme di obblighi nei confronti della propria filiera, questo è un elemento per il quale tutti gli organi di governo di un’azienda anche al di fuori della Security si sono andati a concentrare. Sono temi che sono arrivati a livello di Cda. La parte normativa ha fatto esplodere l’attenzione rispetto a questo tema. Una seconda leva è l’incremento di consapevolezza rispetto ai problemi connessi alla compenetrazione e interconnessione sempre più stretta dei sistemi, tanto a livello IT classico quanto a livelllo OT. Una consapevolezza che gli addetti ai lavori hanno da tanto tempo che si è diffusa per divesi motivi: non da ultimo la risonanza mediatica di eventi. È un momento di attenzione mediatica che sta forzando la mano. Dall’altro c’è una maturità degli organi preposti alla gestione della security che riescono a rappresentare ai board di quello che succede veramente. Quando si comincia a far capire ai propri interlocutori che effettivamente gli attacchi identificati o quelli potenzialmente identificati una parte è legata a delle esposizioni verso la filiera e la catena, questo diventa un elemento sul quale possono essere fatte delle riflessioni sulle quali possono essere prese in atto delle risoluzioni condivise.”

Energy & Utilities Security Summit, le dichiarazioni di Davide Manconi, Eni Gas e Luce

Davide Manconi, Eni gas e luce: “Per noi l’approccio by design è molto importante su entrambi i filoni che sono quello della sicurezza che quello della protezione del dato. Abbiamo un elemento di complicazione che è quello di lavorare quasi esclusivamente in modalità agile, che rispetto all’approccio waterfall non aiuta. Riteniamo che tutta la fatica che mettiamo nella nostra attività per approcciare i progetti con un approccio di security by design sia fondamentale perché crediamo che il by design sia efficace ed efficiente nello stesso modo, al di la delle spinte dirette e indirette delle normative, non è solo una questione di framework ma in alcuni casi ci sono spinte normative che fanno in modo che il concetto by design debba essere affrontato. Cerchiamo di farlo attraverso la awarnesse con le sinergie e le vedute di intenti con chi si occupa della data protection che di solito non è nella stessa struttura aziendale di chi si occupa di data security, in questo modo raggiungiamo i nostri obiettivi di Security e privacy by design"

Energy & Utilities Security Summit, l’intervento di Alessandro Manfredini, A2A

Alessandro Manfredini, A2A: “L'evoluzione e la spinta alla forte digitalizzazione ha trasformato le nostre aziende 'multiutility', noi in particolare in questa trasformazione non riteniamo più di chiamarci 'multiutility', ma "Life company". Proprio perché ci occupiamo di servizi e beni di primaria e fondamentale importanza per la vita quotidiana dei nostri clienti. Quindi è fondamentale porre la dovuta attenzione a quelle che sono le conseguenze sulla vita quotidiana dei nostri clienti. La minaccia cyber ha comunque una conseguenza sul mondo reale e fisico. Sicurezza, nel mondo delle energy company, è un concetto che era sempre legato alla disponibilità, quello di scongiurare un blackout. Il paradigma della sicurezza rivolta alla protezione, oggi, vuole garantire la continuità del servizio, quello che va di moda definire 'resilienza'. Ovviamente le reti di processo sono quelle fondamentali, sono le nervature importanti che ci concedono di garantire questi servizi essenziali di pubblica utilità. Il percorso che abbiamo fatto in azienda è stato quello di una forte convergenza tra IT e OT, cercando di accelerare un processo di evoluzione della sicurezza. Se per la sicurezza informatica tradizionale c'è un livello di maturità abbastanza consolidato, quando si va a parlare di cyber security sui sistemi ICS e Scada, o si entra timidamente in una centrale di telecontrollo della distribuzione dell'energia elettrica o in una cabina primaria, si viene sempre visti con un po' di diffidenza. Quindi si è partiti proprio da un aspetto di security by design e by default, grande condivisione e grande coinvolgimento dei colleghi di esercizio, che ovviamente hanno dimostrato subito una grande sensibilità. All'interno di alcuni domini bisogna avere una postura diversa rispetto a quella che è la tradizionale city security”

Energy & Utilities Security Summit, le dichiarazioni di Francesco Morelli, socio Aipsa

Francesco Morelli, Terna: “Per quanto riguarda il contesto della minaccia, annualmente ho due letture che non riesco ad evitare, quella di Marzo del rapporto sulla sicurezza e le informazioni del DIS e il raporto Clusit. Quest’anno per far combaciare i dati ho fatto un po’ fatica: c’è stato un incremento degli episodi dal primo semestre 2020 900 attacchi siamo a rivati a circa 1000. La prevalenza sono target pubblici e amministrazioni locali, però leggendo il Clusit sono aumentati gli attacchi alle istituzioni scolastiche e sanitarie, questo è un dato importante. Quello che ho notato a livello complessivo è che c’è stato un fortissimo momento degli attacchi in particolare ad aziende sanitarie e ospedali, non solo in Italia. Questo è un fatto importante, uno dei motivi è sicuramente legato alla pandemia che ha messo in evidenza quali sono le problematiche della gestione dsei dati sanitari che sono tra i più sensibili. Si parla da di un aumento di azioni di matrice non  identificabile che, leggendo la relazione annuale, è la cosa più preoccupante. Dal clusit si legge un +28,5% di aggregato tra spionaggio, sabotaggio e guerriglia cibernetica. Il clusit ha letto in questo modo questi attacchi di matrice non identificata e sinceramente è un passaggio che a livello intelligence non hanno potuto fare, l’attribuzione è molto complicata, ma quello che lascia sottintendere questa affermazione è che la capacità di operare sta diventando sempre più complicata. Un altro rischio da tenere in considerazione è quello dei rischi che l’innovazione tecnologica si porta dietro, che deriva da come è cambiato il contesto lavoratico, prima si proteggeva l’edificio, la rete di palazzo. Adesso l’ufficio è a casa, il computer esce, al momento chi non ha raggiunto paradigmi nuovi utilizza molto ma VPN e aziende di settore hanno dimostrato come portatili cche utilizzano VPN sono pericolosissimi. Un altro puntu su cui ragionare è sulle nuove tecnologie di protezione basate sull’intelligenza artificiale. È un grande passo in avanti, ma siamo sicuri che non siano ingannati i sistemi? Ho letto un paio di tesi del Politecnico di Milano su come ingannare i sistemi di machine learning in ambiti di video sorveglianza, e questi anche in un nuovo contesto lavorativo dobbiamo monitorare con attenzione.”