Il 23 dicembre 2015 alcuni hacker hanno violato computer e sistemi di controllo della società elettrica ucraina Kyivoblenergo, disconnettendo diverse sottostazioni e provocando un blackout di circa tre ore, che ha coinvolto 80.000 persone.

È stato il primo attacco informatico pubblicamente riconosciuto al sistema energetico di un Paese.

Nel 2012, un virus battezzato “Shamoon” aveva danneggiato/distrutto circa 30.000 computer di Saudi Aramco, il gruppo statale che controlla l’intera produzione petrolifera dell’Arabia Saudita.

Questi sono solo due esempi di quanto la sicurezza informatica sia estremamente importante in un sistema energetico sempre più basato sull’IT.

Un sistema sempre più vulnerabile

Non c’è praticamente aspetto del nostro sistema energetico che non sia potenzialmente vulnerabile in caso di guasti o attacchi informatici.

Dai sistemi di domotica nelle case, passando per i contatori intelligenti, fino alla rete elettrica e agli impianti di produzione, senza dimenticare la gestione dei mercati energetici, tutto funziona grazie a sistemi informatici connessi in rete.

Un hacker potrebbe causare danni che vanno dal furto di informazioni, magari per estorcere denaro o rivendere brevetti alle aziende concorrenti, fino a vere e proprie minacce alla sicurezza fisica di una nazione.

Immaginiamo ad esempio un cyber-terrorista capace di entrare nella rete informatica di una centrale nucleare, o interessato a sabotare un’intera linea di trasmissione.

Ovviamente utility, governi e gestori dei mercati e delle reti ne sono ben coscienti, stanno riflettendo sul problema (si veda il report del World Economic Council, allegato in basso) e non sono rimasti certo con le mani in mano.

La situazione UE e il nuovo report

C’è però ancora molto da fare e soprattutto a livello europeo manca un approccio sistematico e integrato per difenderci da questi pericoli: nelle politiche UE in materia ci sono 39 “buchi”, cioè aree non coperte dalle normative comunitarie sulle quali è urgente agire.

A rilevarlo è un nuovo rapporto, commissionato dalla Direzione generale Energia della Commissione Europea a la piattaforma europea degli esperti energetici della sicurezza informatica nell’energia (Eecsp), dal titolo “Cyber Security in the Energy Sector” (allegato in basso).

L’UE solo l’anno scorso ha lanciato la sua strategia per la cybersecurity, con la direttiva Nis, ma – fa notare il rapporto – con un approccio intersettoriale che non affronta le problematiche specifiche dell’energia.

Eecsp, creata nel dicembre 2015 e composta da 14 esperti di 9 Paesi (tra cui l’italiana Giovanna Dondossola di Rse), analizza le potenziali minacce alla cybersecurity energetica all’interno della’Unione e suggerisce quattro priorità strategiche: gestione dei rischi, difesa cibernetica, resilienza informatica e competenze tecniche.

Mancano competenze e strategia unitaria

Se per buona parte dei sottosettori dell’energia sono già state introdotte misure di sicurezza – fa notare il nuovo studio – manca ancora un quadro generale, un sistema coordinato e formalizzato per gestire i rischi.

Inoltre – punto non trascurabile – in molti ambiti non ci sono proprio le competenze: è “una priorità strategica” per l’UE, si spiega, promuovere la formazione di competenze adeguate nell’ambito della cybersecurity in campo energetico.

A livello europeo bisogna innanzitutto trovare una metodologia “armonizzata, strutturata e comprensiva” per identificare gli operatori dei servizi energetici essenziali.

Questa metodologia deve poi essere affiancata da una strategia “strutturata” per analizzare e gestire i rischi per il sistema energetico europeo, sempre più interdipendente.

l seguenti documenti sono riservati agli abbonati a QualEnergia.it PRO:

Prova gratis il servizio per 10 giorni o abbonati subito a QualEnergia.it PRO