Eolico europeo e cybersecurity: le principali minacce

CATEGORIE:

I rischi per il settore, con l'Europa che studia un divieto per i dispositivi che non rispettano requisiti minimi. Alcune considerazioni dell'associazione di categoria WindEurope.

ADV
image_pdfimage_print

Oltre alle valutazioni sulle tariffe anti-dumping, un altro fattore si sta imponendo nella valutazione dei meccanismi europei di tutela nei confronti del settore dell’eolico: la sicurezza informatica.

L’Ue sta cercando di vietare le turbine straniere per motivi di cybersecurity, sulla scia delle norme che hanno portato il blocco dei 27 ad escludere la cinese Huawei dalle reti 5G comunitarie.

L’industria ha iniziato ad alzare la voce sull’argomento quando alla fine del 2023 un produttore cinese di turbine eoliche si è aggiudicato una gara d’appalto in Serbia. Il Ceo di WindEurope Giles Dickson evidenziò in quell’occasione l’esigenza di tutelare “interessi di sicurezza più ampi”.

WindEurope è la voce dell’industria eolica europea, con 500 membri provenienti dall’intera value chain: produttori di turbine, fornitori di componenti, utility elettriche e sviluppatori di parchi eolici, istituzioni finanziarie, istituti di ricerca e associazioni nazionali.

L’associazione è tornata a protestare dopo che la compagnia energetica tedesca Luxcara ha annunciato a inizio luglio un accordo di “fornitura preferenziale” con il produttore cinese di turbine eoliche Ming Yang Smart Energy, per 16 aerogeneratori offshore da 18,5 MW da installare entro il 2028 nei pressi dell’isola di Borkum, nel Mare del Nord.

Luxcara ha assicurato che la commessa è stata assegnata a Ming Yang dopo aver svolto tutte le verifiche necessarie, che hanno riguardato, oltre agli aspetti tecnologici, finanziari, contrattuali e ambientali, “la supply chain, la conformità Esg allineata alla tassonomia Ue e la sicurezza informatica, verificata dai consulenti indipendenti internazionali Dnv e Kpgm”.

Il vicecancelliere della Germania, Robert Habeck, che è anche ministro dell’Economia e del Clima, in seguito all’annuncio ha detto di voler impedire alla Cina di ottenere il controllo dei dati generati dagli impianti di energia eolica, e ha avviato un’indagine sulla vicenda.

La minaccia cyber

“Le principali minacce informatiche legate alle turbine eoliche cinesi ci preoccupano su più fronti”, spiega a QualEnergia.it un portavoce di WindEurope. Lo spionaggio e il furto di dati sono rischi significativi, con le turbine che potrebbero ospitare backdoor o software maligni per l’accesso non autorizzato ai dati.

Un altro problema importante riguarda la manipolazione del sistema di controllo, grazie alla quale gli attacchi informatici potrebbero interrompere la produzione di energia.

Le vulnerabilità della supply chain presentano ulteriori rischi, in quanto le minacce informatiche possono essere introdotte in qualsiasi fase, dalla produzione alla distribuzione, rendendone difficile il rilevamento.

Dato il loro ruolo nelle infrastrutture critiche, le turbine costituiscono obiettivi primari per attacchi che potrebbero portare a interruzioni di corrente e interrompere alcuni servizi essenziali.

Il furto di proprietà intellettuale rappresenta un altro pericolo, potenzialmente in grado di compromettere i vantaggi competitivi, mentre lo spionaggio economico potrebbe fornire informazioni sul consumo energetico e sulle priorità strategiche di un Paese.

Inoltre, le capacità di controllo da remoto e il software di queste turbine potrebbero essere sfruttati per sabotaggi o operazioni non autorizzate.

Il quadro normativo europeo

Per proteggersi l’Ue sta rafforzando le sue norme. Le misure in esame includono il divieto di vendita delle turbine di produzione straniera, in particolare quelle provenienti dalla Cina, a meno che non soddisfino rigorosi standard di cybersicurezza.

“A partire dal 2026, in base al Net Zero Industry Act, i parchi eolici che richiedono sostegni governativi dovranno rispettare norme di cybersecurity più severe”, ci spiega la fonte di WindEurope.

Il Piano d’azione europeo per l’energia eolica prevede inoltre l’attuazione di criteri di pre-qualificazione per i progetti eolici che prendono parte alle aste. In base a questi criteri soltanto i progetti che garantiscono un’elevata protezione dei dati possono partecipare.

In generale, l’Europa sta facendo “passi da gigante” nella protezione delle sue infrastrutture critiche. I quadri normativi di riferimento sono la direttiva NIS2 e la Legge sulla sicurezza informatica dell’Ue, “due iniziative che riflettono un forte impegno in questo senso”.

La NIS2, entrata in vigore nel 2023, aggiorna le norme dell’Ue in materia di cybersicurezza introdotte nel 2016, modernizzando il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce (per approfondire, la nostra intervista ad Alessandro Manfredini, presidente Aipsa).

La direttiva impone nuovi obblighi di sicurezza informatica alle aziende a decorrere da ottobre 2024. A differenza della NIS, in base alla quale gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS2 definisce due macro-categorie di soggetti interessati, all’interno di diversi settori di applicazione.

L’energia rientra tra i settori considerati essenziali, insieme a sanità, acqua, pubblica amministrazione, finanza, trasporti.

“Tuttavia, l’efficacia di queste misure dipende da un’attuazione proattiva, da un continuo adattamento alle minacce in evoluzione e da una solida collaborazione tra pubblico e privato. Sebbene l’Europa sia sulla strada giusta, la vigilanza continua e le strategie dinamiche sono essenziali per garantire una protezione completa”, insiste WindEurope.

Gli attacchi recenti

Secondo quanto risulta all’associazione, non ci sono state violazioni di dati direttamente collegate a produttori cinesi che siano state riportate pubblicamente. Tuttavia, ci sono stati negli ultimi anni attacchi informatici significativi che hanno colpito alcune aziende europee di turbine.

La danese Vestas Wind Systems ha subìto un attacco ransomware (un tipo di malware che blocca in modo permanente l’accesso ai dati personali, ndr) nel novembre del 2021 che ha portato all’arresto di diversi sistemi informatici e alla compromissione dei dati interni. Gli hacker hanno poi diffuso online i dati rubati.

L’incidente ha evidenziato per primo la vulnerabilità delle aziende produttrici di turbine eoliche alle minacce informatiche.

Nel marzo 2022, la tedesca Nordex è stata colpita da un “attacco Conti” che ha colpito principalmente i suoi sistemi interni. Questo malware, una volta insediatosi nel dispositivo della vittima, non solo ne crittografa i dati, ma si diffonde anche ad altri dispositivi sulla rete, nascondendo la sua presenza e fornendo all’aggressore il controllo da remoto sulle azioni dell’obiettivo.

L’azienda è stata costretta a chiudere i propri sistemi informatici e a disabilitare l’accesso da remoto alle turbine gestite per evitare la diffusione del danno.

Venendo alla distribuzione spaziale degli attacchi, secondo l’ultimo rapporto del Clusit, l’Associazione italiana per la sicurezza informatica, nel settore Energy&Utilities a livello mondiale, Europa e Americhe si dividono equamente l’80% dei casi di attacchi informatici esaminati.

Nel primo trimestre del 2024 colpisce il notevole calo dell’Asia (da 13% a 4%) e il balzo dell’Africa, che dopo essere scomparsa nel 2023, ha raddoppiato il valore del 2022 portandosi al 7%.

ADV
×
0
    0
    Carrello
    Il tuo carrello è vuotoRitorna agli abbonamenti
    Privacy Policy Cookie Policy