Le utility elettriche sono state particolarmente colpite dal forte aumento dei cyberattacchi. Dopo una serie di attacchi all’industria energetica negli ultimi cinque anni c’è stato un parziale ripensamento sulla cybersicurezza.
Su questo argomento Stormshield, produttore di soluzioni per la protezione delle infrastrutture critiche, spiega quali elementi contribuiscono alla cyber-resilienza delle utility elettriche colpite dal forte aumento dei cyberattacchi.
Reti elettriche e nuove sfide
Le infrastrutture per la fornitura di energia elettrica di un Paese risultano sempre più spesso un obiettivo particolarmente attraente per i cybercriminali a causa del loro impatto sull’economia e sulle infrastrutture di comunicazione del Paese.
I cyberattacchi mettono alla prova la resilienza delle infrastrutture operative, minano la disponibilità degli impianti e l’integrità dei dati, causano gravi danni finanziari e possono impattare persino sulla determinazione del prezzo dell’energia sul mercato.
Gli aggressori approfittando della crescente adozione di oggetti connessi e ambienti cloud a fronte della trasformazione digitale delle utility elettriche, in concomitanza con infrastrutture OT obsolete alla luce del rispettivo ciclo di vita tra i 25 e i 50 anni.
Da un lato, le utility elettriche e i produttori di energia beneficiano degli sviluppi tecnologici, che permettono loro di anticipare eventuali interruzioni del servizio e di gestire meglio la capacità (smart grid); dall’altro lato, i criminali informatici si rallegrano dell’accresciuta superficie di attacco.
Utility elettriche e forte regolamentazione
Data la crescente sofisticatezza delle minacce informatiche contro le reti elettriche, il settore dell’approvvigionamento energetico si è dotato di una vasta gamma di standard e norme per gestire questi rischi e nel tempo è diventato uno dei comparti più regolamentati in materia di sicurezza informatica.
In Europa, le aziende che operano nel settore energetico sono soggette alla direttiva sulla sicurezza delle reti e delle informazioni (NIS) quali infrastrutture critiche. In termini di standard, tra i più comuni figurano, per esempio, IEC 62645 (misure per prevenire, rilevare e rispondere ai cyber-attacchi ai sistemi informatici nelle centrali nucleari), IEC 62859 (gestione delle interazioni tra sicurezza fisica e cybersecurity), ISO 27019 (raccomandazioni di sicurezza per i sistemi di controllo dei processi dell’industria degli operatori energetici) e IEC 61850 (uno standard di comunicazione per i dispositivi di protezione delle sottostazioni di alimentazione).
Garantire la cyber-resilienza dell’infrastruttura operativa in 4 mosse
Nonostante la massiccia regolamentazione, il settore energetico – con alcune eccezioni – è tutt’altro che cyber-resiliente.
Per questo, Stormshield cita quattro elementi che, se adeguatamente protetti, potrebbero rafforzare significativamente l’intero costrutto.
Proteggere i sistemi operativi e le applicazioni obsolete nell’infrastruttura OT
Questo problema dovrebbe essere affrontato quanto prima. Per le utility elettriche una soluzione basata su meccanismi di protezione profonda sarebbe essenziale per bloccare le richieste sospette al sistema e reagire in tempo reale contro minacce che sfruttano le vulnerabilità a livello applicativo, senza dover sostituire i sistemi a questo scopo. Anche i comandi e le informazioni scambiate sulla rete operativa dovrebbero essere monitorati, poiché i sistemi di sottostazione, inizialmente indipendenti tra loro, sono sempre più tenuti a condividere informazioni e a interconnettersi. In questo contesto, è essenziale isolare le varie reti l’una dall’altra attraverso un’adeguata segmentazione.
Ridurre la superficie di attacco
L’accesso a una singola stazione di lavoro o a un gruppo di stazioni di lavoro dovrebbe essere limitato a utenti/gruppi specifici. Data la criticità dei sistemi di sottostazione, è anche consigliabile applicare ulteriori misure di protezione, come il filtraggio della rete a livello di IED (Intelligent Electronic Device) per consentire un accesso limitato entro una finestra temporale molto specifica. In alcuni casi d’uso, è anche possibile effettuare controlli a livello utente per ottenere informazioni precise su chi si è collegato alla stazione di controllo in quale momento.
Connessione e manutenzione a distanza
La comunicazione tra apparecchiature elettriche, IED e stazioni di monitoraggio dovrebbe essere adeguatamente protetta. Se un cybercriminale riesce a stabilire una connessione remota con un dispositivo fisico o una stazione di monitoraggio remoto, può analizzare la rete, capire la sua struttura e inviare comandi manipolati. Per gestire questo tipo di rischio, si dovrebbero utilizzare sonde industriali, sistemi IDS (Intrusion Detection System) o IPS (IntrusionPreventionSystem), ad esempio, per verificare la coerenza e la correttezza delle informazioni scambiate tra i dispositivi e i livelli superiori di gestione, e per assicurarsi che i comandi inviati non compromettano alcun processo. La soluzione scelta dovrebbe supportare i protocolli IT e OT per proteggere adeguatamente i meccanismi di controllo delle apparecchiature elettriche. Infine, il collegamento remoto per la manutenzione dovrebbe aver luogo solo tramite tunnel VPN o connessioni TLS sicure per mantenere la riservatezza dei dati.
Il fattore umano
Gli utenti e i manutentori sono spesso inconsapevoli delle regole di cybersecurity di base. L’uso di password simili indipendentemente dalla criticità del sistema o l’uso di chiavette USB private per scopi aziendali sono solo alcuni esempi. Sarebbe auspicabile controllare e monitorare le postazioni di lavoro in modo più rigoroso, consentire solo dispositivi di archiviazione specifici o utilizzare soluzioni per analizzare tali dispositivi di archiviazione dei dati, rifiutando i profili non autorizzati. Inoltre, sensibilizzare utenti e manutentori in merito a tematiche legate alla cybersecurity è essenziale per evitare errori o azioni involontarie che potrebbero minare i processi industriali.
Questi pochi esempi sono già di per sé rappresentativi del fatto che occorre un approccio integrato che tenga conto di tutti i principi di sicurezza e contempli più livelli di protezione per proteggere efficacemente i sistemi di produzione delle aziende che operano nel settore dell’approvvigionamento energetico.