Cybersecurity, la ricerca vigila sulle reti elettriche

Impianti elettrici, fonti rinnovabili, prosumer: in un mercato in evoluzione la cybersecurity è cruciale, spiega Giovanna Dondossola, esperta nazionale di RSE

Cybersecurity ricerca vigila sulle reti elettriche

Giovanna Dondossola RSE«La tematica della cybersecurity per il settore energy è in forte sviluppo e in una fase di “alta tensione da parte di istituzioni, operatori e di tutti gli interlocutori interessati». Lo rileva Giovanna Dondossola, leading scientist in RSE nel Dipartimento delle Tecnologie di Trasmissione e Distribuzione, è la rappresentante italiana del gruppo di esperti della Energy Expert Cyber Security Platform (EECSP) della Commissione Europea. Vanta una pluriennale esperienza nel settore, avendo avviato fin nei primi anni Duemila un laboratorio specifico, il Power Control System-Resilience Testing (PCS-ResTest Lab) di cui è la responsabile.

È lei a illustrarci il lavoro svolto dal gruppo: «L’iniziativa, condotta a livello europeo, è stata avviata a fine 2015, prima dell’adozione e dell’approvazione ufficiale della Direttiva Europea 2016/1148 NIS (Network and Information Security) dedicata appunto alla sicurezza dei sistemi delle reti e dell’informazione, ed è proseguita oltre proprio perché ne ha assunto i riferimenti. Mentre la direttiva si occupa di infrastrutture e di reti informatiche, rivolgendosi anche agli enti pubblici e che forniscono servizi al cittadino, il lavoro della piattaforma è focalizzato sul settore energy a tutto tondo».

I risultati del lavoro svolto, finalizzato a individuare i gap e le raccomandazioni migliorative, ha identificato quattro priorità relative a:

  • l’introduzione di un sistema di gestione del rischio, quindi di un framework che si occupa di focalizzare i possibili rischi e le criticità associate, prevedendo anche uno scambio di informazioni sulle vulnerabilità note in ambito energy;
  • la creazione di una infrastruttura efficace per la risposta agli incidenti specifici, che richiede di rinforzare la cooperazione a livello regionale e anche una coordinazione internazionale focalizzata alla gestione delle emergenze, nell’ottica di una cooperazione attiva;
  • il continuo miglioramento della resilienza del sistema cyber fisico, finalizzato a individuare una metodologia e degli strumenti per valutare il livello di maturità della sicurezza di un’infrastruttura mediante standard dedicati, comprendendo le azioni e le contromisure utili al miglioramento;
  • la necessità di un’adeguata formazione di capacità e competenze, a livello pubblico e privato, riconoscendo una certa carenza nel settore energy.

Conferma che nelle politiche UE in materia ci sono 39 “buchi”, cioè aree non coperte dalle normative comunitarie sulle quali è urgente agire?
Confermo che c’è molta disomogeneità tra i vari Stati membri e quindi c’è necessità di condurre un’azione di coordinamento per arrivare a un livello di cybersecurity accettabile. Le lacune citate sono quelle rilevate dall’EECSP.

A un anno dalla pubblicazione del rapporto “Cyber Security in the Energy Sector”, commissionato dalla Direzione generale Energia della Commissione Europea alla piattaforma EECSP come si stanno muovendo l’Europa e i Paesi membri sulla questione?

schneider electricIl lavoro a livello europeo sta proseguendo nell’ambito dell’Expert Group 2 EG2 della Smart Grid Task Force. Partendo dai risultati raggiunti, EG2 è già arrivato a stilare un interim report, alla fine dello scorso anno, focalizzandosi sul comparto elettrico, che riguarda gli operatori delle reti di trasmissione e distribuzione. Vuole offrire dei suggerimenti agli organi preposti per l’implementazione di un Codice di Rete in ambito elettrico sulla cybersecurity, rappresentando un’anteprima assoluta in questa materia in termini di network code.

L’attività avviata nel 2017 proseguirà durante tutto il 2018; per ora sono stati individuati gli obiettivi, ovvero proteggere i sistemi elettrici dalle cyber minacce presenti e future, fornire dei piani efficaci per assicurare la capacità di gestione di potenziali crisi, creare le condizioni per infondere fiducia e partnership tra operatori, produttori e venditori di componenti e integratori di sistemi, ovvero chi sviluppa e implementa i dispositivi utili per il funzionamento della rete stessa, raggiungere una maturità e una resilienza per la cyber security armonizzata all’interno dell’Europa. L’approccio del gruppo è basato sull’analisi di scenari di rischio, per arrivare alla pubblicazione nel rapporto finale delle di linee guida per la stesura di un Codice di Rete sulla cybersecurity a livello europeo.

Gli scenari legati allo sviluppo della rete elettrica vanno sempre più nella direzione delle smart grid e, ancor più, verso la digital energy. Come gruppo di esperti state lavorando alla loro cybersecurity?

Certamente sì. Il lavoro della piattaforma europea aveva lavorato ad ampio spettro nel settore energia, coprendo i diversi sotto settori quali elettricità, gas, petrolio ed energia nucleare. E quando si parla di convergenza IT/OT (Information Technology/Operation Technology), ovvero delle infrastrutture digitali preposte al controllo della rete elettrica, va detto che esse sono centrali nello sviluppo delle smart grid.

Oggi parlare di smart grid e ancor più di digital energy significa occuparsi del rischio cyber a livello organizzativo, procedurale e tecnologico.

A maggior ragione quando la smart grid traguarda le tecnologie dell’Internet of Things, oggi ancora segregate dalle funzioni di controllo delle reti intelligenti, ma che assumeranno un ruolo maggiore nel prossimo futuro.

A proposito di impianti da fonti rinnovabili e della loro connessione in rete, quali criticità determinano e come si sta agendo per porli in cyber sicurezza?

A livello di azioni, le disposizioni EECSP e in particolare la Direttiva NIS hanno indirizzato tutti i soggetti interessati all’evoluzione dei sistemi energetici quali i gestori delle reti di distribuzione e di trasmissione e le imprese elettriche che esercitano attività di fornitura, tra cui rientrano i proprietari di impianti fotovoltaici ed eolici di taglia significativa.

A livello italiano è in corso lo sviluppo di una normativa, la CEI 0-16, che definisce le regole tecniche per la connessione di utenti attivi alle reti in alta e media tensione, la quale recepisce anche gli standard di cybersecurity più recenti e prevede la messa in sicurezza delle comunicazioni tra il controllore dell’impianto fotovoltaico o eolico e i soggetti esterni che vi possono accedere da remoto, per esempio un soggetto aggregatore. A livello italiano c’è quindi un’attenzione specifica alla cyber security di questi impianti.

Riguardo alle loro criticità, se guardiamo alla casistica delle vulnerabilità note possiamo rilevare che è molto preoccupante: i dati estraibili dai motori di ricerca rilevano che diversi impianti sono piuttosto esposti, visibili e controllabili da Internet senza alcun grado di protezione. C’è quindi una disparità di livello di sicurezza tra i sistemi di controllo della rete tradizionali e quelli degli operatori dei sistemi per le rinnovabili.

Il livello di maturità in termini di sicurezza di questi impianti è inferiore al livello medio utilizzato per la gestione dei rischi cyber degli apparati di rete classici.

Si parla sempre più di prosumer, prefigurando un ruolo sempre più attivo degli utenti finali nella gestione dell’energia. Anche a questo proposito sono pensate misure specifiche?

La norma CEI 0-16 nasce come specifica per i controllori centrali di impianti di generazione fotovoltaici ed eolici o di sistemi di accumulo, ma in prospettiva si prevede un’evoluzione della norma per renderla applicabile anche ai cosiddetti carichi flessibili e ai consumatori che sono anche produttori, perché dotati, per esempio, di impianti di co-generazione o di sistemi di accumulo energetico. I prosumer destano interesse perché dispongono di una capacità di alleggerimento del carico dovuta a una gestione flessibile della domanda, ma anche alle potenzialità di auto generazione in funzione delle esigenze di efficienza energetica.

La normativa per la partecipazione della domanda flessibile a questi nuovi mercati prevede che anche questi nuovi interlocutori siano soggetti a vincoli di cybersecurity per le comunicazioni verso gli operatori di rete o gli aggregatori.

schneider cybersecurity impianto elettrico

L’Italia quale contributo offre sulla cybersecurity?

Il nostro Paese è in prima linea. A livello istituzionale, la Strategia Energetica Nazionale (SEN) fa riferimento allo schema nazionale di cybersecurity, partendo dal Decreto della Presidenza del Consiglio dei Ministri (DPCM Gentiloni del 17 febbraio 2017) che ne definisce l’architettura e i ruoli delle istituzioni preposte alla sua implementazione in collaborazione con i fornitori dei servizi essenziali, e di fatto costituisce una prima attuazione della Direttiva NIS.

Quindi, l’Italia non solo sta dando prova di osservare la direttiva europea, avendo contribuito tra l’altro alla sua stesura, ma di averla attuata con tempestività. Nel nostro Paese è anche in fase di costituzione il Centro di Valutazione e Certificazione Nazionale (CVCN) per la verifica dell’affidabilità della componentistica ICT utilizzata nelle infrastrutture critiche e strategiche, promosso dal DPCM citato. Quindi in Italia si dà la giusta enfasi alla certificazione dei prodotti, ulteriore elemento chiave nello sviluppo della sicurezza informatica, perché coinvolge in particolare i venditori dei dispositivi e gli stessi operatori, e affida la gestione del Centro all’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico, che vigila sulla sicurezza dei prodotti utilizzati nelle infrastrutture critiche come quelle elettriche

A livello di ricerca, la stessa SEN nel capitolo dedicato alla cybersecurity, sottolinea come prima linea di azione la necessità di svolgere attività di ricerca e sviluppo e vede RSE coinvolta in primo piano nello svolgimento del principale programma pubblico di ricerca e sviluppo.

Il piano della ricerca nel settore elettrico affronta aspetti di cyber security negli scenari energetici futuri, che comprendono impianti di generazione da fonti rinnovabili, aggregatori, prosumer, valutando la resilienza dei nuovi schemi di controllo, l’integrazione di nuove tecnologie e standard di cyber security per fornire una risposta adeguata a eventuali nuove minacce.

Quali problemi sconta il nostro Paese?

Forse, ravviso una certa lentezza nel recepire gli schemi di mercato, o meglio nel contestualizzare in ottica di mercato aperto le misure di sicurezza sopra citate. Che è un limite, perché non permette la piena attuazione delle regole di applicazione che coinvolgono i nuovi interlocutori.

Andrea Ballocchi
Informazioni su Andrea Ballocchi 92 Articoli
Giornalista freelance, si occupa da anni di tematiche legate alle energie rinnovabili ed efficienza energetica, edilizia e in generale a tutto quanto è legato al concetto di sostenibilità. Appassionato praticante di ciclismo, è autore del libro “Una vita da gregario” (La Memoria del Mondo editrice, prefazione di Vincenzo Nibali) e di un manuale “manutenzione della bicicletta”, edito da Giunti/Demetra.