Le infrastrutture critiche, tra cui le utility del gas, dell’acqua e in particolare dell’elettricità, sono fra i bersagli preferiti dalle organizzazioni criminali informatiche.
A livello mondiale, il costo medio di tali attacchi ha toccato un nuovo record nel 2022, raggiungendo 4,72 milioni di dollari nel solo settore energetico. E le utility non sempre si sono fatte trovare preparate ad arginare questi attacchi, secondo l’Agenzia internazionale dell’energia (Iea).
I cyberattacchi alle utility sono aumentati rapidamente dal 2018, raggiungendo livelli allarmanti nel 2022, dopo l’invasione dell’Ucraina da parte della Russia.
Recenti attacchi informatici nel settore elettrico, evidenzia la Iea in un articolo di approfondimento sul tema, hanno disattivato i controlli remoti dei parchi eolici, interrotto i contatori prepagati a causa dell’indisponibilità dei sistemi informatici e portato a ricorrenti violazioni di dati che riguardano nomi, indirizzi, conti bancari e numeri di telefono dei clienti.
Le utility fanno sempre più affidamento sulle tecnologie digitali per gestire le reti in modo flessibile e integrare migliaia di risorse energetiche distribuite.
Così aumentano in modo esponenziale i sistemi digitali, le apparecchiature di telecomunicazione e i sensori presenti nel sistema elettrico: sono tutti possibili vettori di attacchi cibernetici, cavalli di Troia involontari attraverso cui le organizzazioni criminali informatiche possono intrufolarsi nel cuore delle infrastrutture.
Più budget per la sicurezza, ma il personale non basta
Le aziende elettriche di tutto il mondo dedicano già budget consistenti alla cybersecurity, in media l’8% del budget IT totale negli Stati Uniti e in Canada, secondo la Iea.
Ma i dati relativi agli annunci di lavoro delle principali aziende elettriche degli Usa, mostrano come queste siano in ritardo nella ricerca di personale qualificato in cybersicurezza, evidenziando una certa mancanza di strategia o pianificazione a lungo termine.
Le aziende più piccole negli Stati Uniti e nelle economie in via di sviluppo potrebbero ritrovarsi in una situazione simile in futuro, muovendosi cioè solo in risposta a nuovi attacchi che si sarebbe potuto evitare. Anche le utility dell’Unione europea, più che prevenire, sono dovute correre ai ripari.
Nonostante le occasionali impennate negli annunci di lavoro nella cybersecurity da parte delle aziende elettriche, i dati degli Usa mostrano una leggera diminuzione dei ruoli per cybersecurity sul totale degli annunci, a partire dal 2010.
Al contrario, nello stesso periodo, la quota di annunci di lavoro per la cybersecurity nelle società finanziarie e assicurative degli Stati Uniti è quasi triplicata e quella nella pubblica amministrazione quasi raddoppiata.
Tendenze molto simili sono state osservate in Canada e nel Regno Unito.
Cause del ritardo
Una parte del divario può essere spiegata dall’eterogeneità tra i vari settori, dalla diversa propensione a ricorrere a un’assistenza specializzata esterna e dalle differenze nei tassi di ricambio della forza lavoro. Tuttavia, la differenza è preoccupante, scrive la Iea.
Le aziende elettriche hanno difficoltà a reclutare e mantenere i dipendenti della cybersecurity per tre motivi principali:
- una carenza a livello mondiale di lavoratori della cybersecurity in tutti i settori, stimata in 3,4 milioni di persone nel 2022;
- i dati disponibili per gli Stati Uniti, il Canada e il Regno Unito indicano che gli stipendi offerti dalle aziende elettriche negli annunci di lavoro nel settore della cybersicurezza sono tra i più bassi per questa professione;
- le società di servizi energetici richiedono competenze specifiche in materia di cybersecurity, adatte alle loro attività tecniche e operative regolamentate.
Nel 2021 e 2022, le aziende elettriche statunitensi offrivano uno stipendio medio annuo lordo di 81.800 dollari, superiore a quello del settore istruzione ma sostanzialmente inferiore a quello di settori di punta come finanza e assicurazioni, che offrivano più di 100.000 dollari.
Data l’ampia gamma di offerte di lavoro, gli esperti di cybersicurezza preferiscono con tutta probabilità settori che pagano meglio.
Gli stipendi offerti per la cybersecurity nelle utility elettriche erano competitivi tra il 2010 e il 2013, e non lontani dai settori più pagati. Tuttavia, negli ultimi tredici anni, i salari offerti dalle utility non hanno tenuto il passo con la concorrenza né con l’inflazione, e le utility elettriche sono progressivamente scese nel gruppo dei comparti con le remunerazioni più basse, assieme alla pubblica amministrazione.
Inoltre, dall’inizio del 2021, il divario salariale per le nuove posizioni di cybersecurity nei settori più pagati, rispetto alle utility, è aumentato ancora di più. Alla luce di questi risultati, non sorprende che le aziende elettriche sembrino avere difficoltà a trovare profili adatti.
Ciò è dovuto in parte anche alla natura molto specializzata delle loro attività e all’elevato grado di digitalizzazione degli ultimi anni, che ha portato a complessi sistemi IT e OT in grado di controllare e gestire da remoto impianti e reti.
Da una recente indagine, è poi emerso che il 62% degli intervistati nell’ambito delle utility non sa o non crede di avere le competenze e gli strumenti necessari per proteggersi dalle minacce informatiche.
Responsabilità per la sicurezza informatica
La responsabilità della sicurezza dei sistemi energetici non ricade esclusivamente sulle aziende elettriche; anche i decisori politici svolgono un ruolo centrale, insieme ai regolatori e ai fornitori di apparecchiature.
Le principali aree d’azione per rendere più sicuri i sistemi elettrici, affermano gli analisti della Iea, sono l’identificazione, la gestione e la mitigazione dei rischi, il monitoraggio dei progressi e la capacità di rispondere alle interruzioni di servizio e ripristinare le normali attività.
Le utility più piccole potrebbero richiedere un sostegno supplementare da parte della politica e dei regolatori, poiché i loro costi fissi per le infrastrutture e i sistemi di cybersicurezza sono più elevati in termini relativi.
Prospettive
Sebbene i dati a lungo termine sui posti di lavoro vacanti sembrino suggerire che la domanda di personale specializzato in cybersicurezza, presso le aziende elettriche statunitensi, sia relativamente stagnante, il settore ha ottenuto buoni risultati in termini di continuità operativa e resilienza, assorbendo i danni ed evitando gravi impatti sugli utenti finali.
Per raggiungere questo obiettivo, molte aziende elettriche si sono affidate al supporto esterno di società specializzate, invece di creare organici di cybersecurity interni.
Le minacce informatiche continueranno a evolversi e a diventare sempre più frequenti e pericolose, vista l’ampia gamma di tecnologie avanzate a disposizione dei cyber criminali. È quindi essenziale che ogni utility elettrica, grande o piccola, includa la cybersecurity come elemento centrale della propria strategia aziendale.
