Utility e Cyber Security: i rischi del settore
Le ultime settimane hanno registrato diversi attacchi ad aziende operanti nel settore utility, settore da sempre considerato di grande interesse se volgiamo lo sguardo anche oltreoceano.
Cerchiamo quindi di capire quali sono i rischi a cui le aziende operanti sono esposte e come queste ultime possono cercare di proteggere le proprie infrastrutture.
Attacchi al settore
Il settore delle utility, e in particolare quello energetico, si è classificato al quarto posto tra quelli più colpiti nel 2021, con l’8,2% di tutti gli attacchi osservati, al quarto posto dopo l’industria manifatturiera, il settore finanziario e quello dei servizi professionali. (Secondo un’analisi di X-Force Threat Intelligence Index 2022)
Parlando di attacchi al settore, non si può non citare quello all’oleodotto di Colonial Pipeline, negli Stati Uniti, che colpì in modo silenzioso le infrastrutture dell’azienda petrolifera, bloccando circa 8.850 chilometri di condutture che garantivano quasi metà degli approvvigionamenti di carburante della East Coast e paralizzando forniture di circa 2.5 milioni di barili al giorno di prodotti petroliferi. Ad oggi, si tratta di uno degli attacchi più gravi mai registrati.
Quanto successo negli Stati Uniti non può considerarsi un caso isolato, poiché sia in America che in Europa sono state tante le aziende colpite, partendo dalla greca DESFA, passando per la lussemburghese Creos e concludendo anche con i recenti attacchi ad aziende italiane.
Questo trend sta aumentando sempre di più anche in seguito al conflitto russo-ucraino e alla cyber war che ne è scaturita conseguentemente.
A livello globale le previsioni di spesa in temi di sicurezza informatica proprio nel settore delle utilities sono comunque in crescita: secondo i risultati di “The State of Cyber & Digital Security”, la spesa globale delle aziende operanti nell’industria e proprietarie di infrastrutture critiche raggiungerà i 23 miliardi di dollari entro la fine del 2022, per superare i 36 miliardi di dollari nel 2027.
Un altro elemento che salta all’occhio riguarda la percezione degli addetti ai lavori riguardo al tema: chi ha subito una violazione è maggiormente propenso ad investire in sicurezza informatica e a prendere decisioni più consapevoli, priorizzando gli investimenti verso servizi altamente qualificati.
Fonte: DNV – The Cyber Priority
In Italia la situazione non si discosta di molto dal resto del mondo. Solo per il settore utility, infatti, gli attacchi registrati sono tra il 5% e il 7% dei totali. Inoltre, le prime 100 utility italiane, negli ultimi tre anni, hanno registrato più di 250 minacce informatiche di entità medio-grave.
Le tipologie di attacco sono principalmente due: quelle che hanno il solo obiettivo di estorcere denaro e quelle che sono volte a disinformare o bloccare le forniture energetiche per motivi di natura politica.
Il settore sta quindi facendo fronte alle crescenti minacce investendo molto in tema di digitalizzazione, in particolare nelle capacità di affrontare ed identificare i punti in cui i loro progetti e le loro operazioni sono esposti alle minacce informatiche, prima che queste vengano scoperte dai cyber criminali. La consapevolezza, però, non procede di pari passo ad un’adeguata strategia di difesa o prevenzione. Il 60% dei manager sono consapevoli che la loro organizzazione risulta vulnerabile, ma solo il 40% prevede di apportare miglioramenti urgenti nei prossimi anni.
Best practice
Esistono alcune best practice per cercare di mitigare il rischio di un attacco informatico e, più nello specifico, l’impatto che questo può avere per il business. Nel caso del settore utility, vanno considerati anche gli eventuali impatti sugli utenti finali, nel caso in cui venissero privati di alcuni servizi ormai ritenuti essenziali per periodi più o meno lunghi, a seconda della gravità dell’attacco.
Alcuni degli aspetti più importanti che vanno considerati nell’implementazione di una strategia security-oriented riguardano quindi :
- l’integrazione di piani di investimenti dedicati all’ambito security all’interno della progettazione dei processi
- la continua creazione di consapevolezza sui rischi e sulle minacce informatiche tra i dipendenti (in un nostro articolo approfondiamo il tema)
- la creazione di modelli di gestione in caso di incident ed emergenze
In Europa si è deciso di investire più decisamente in ambito cyber security in alcuni settori critici, tra cui rientra anche quello delle utility; la Commissione Europea ha così introdotto delle norme sulla sicurezza informatica dei sistemi di rete e di informazione, denominate Direttive NIS 2, ampliando l’ambito di applicazione della Direttiva NIS, in modo da implementare una procedura che fosse uguale per tutti gli stati membri.
L’obiettivo è quello di lavorare su due fronti: da un lato continuare a monitorare il trend degli attacchi da un punto di vista tecnico, dall’altro agire con strumenti di soft law, normative e direttive per allontanare il pericolo di subire le conseguenze disastrose nel caso in cui si subisca un attacco. Questa seconda strategia, in particolare, tenta di normare quelle situazioni in cui è ancora difficile definire il cyber-spazio che, per sua definizione, non ha confini ben chiari.
In conclusione
Nel 2019 le spese per la sicurezza informatica sono state il 15% degli investimenti sui sistemi operativi e, al contrario di quello che ci si potrebbe aspettare, non c’è correlazione tra dimensione aziendale e percentuale degli investimenti destinati alla cyber security. Tuttavia, la correlazione esiste, ed è parecchio robusta, tra il livello di cyber security e gli attacchi subiti: più le aziende hanno subito minacce o attacchi, maggiore è avvertita la necessità di investire su questi temi.
Il raggiungimento di uno stato di maturità inerente questo settore è “work in progress”, anche perché il mondo della sicurezza informatica è esso stesso in continuo cambiamento.
Quali sono quindi i consigli che possiamo dare?
- Allocare all’interno del proprio budget una parte da dedicare alla sicurezza informatica che corrisponda al reale bisogno aziendale, senza compromessi
- Determinare i propri punti di debolezza e cercare di investire per poterli risolvere o quantomeno mitigare
- Investire non solo in nuove tecnologie, ma anche in formazione