Mercati

Quali i rischi cyber della filiera Energy?

La crescente digitalizzazione del settore Energy implica l’integrazione di due mondi storicamente separati, Operation Technology (OT) e Information Technology (IT), introducendo nel primo le tipiche minacce cyber del secondo con un impatto su molti aspetti. Mentre Abu Dhabi si prepara già ad accogliere i rappresentanti di oltre 150 paesi per il 24° World Energy Council Congress, riportiamo alcune indicazioni emerse dal Report Energy Cybersecurity dell’Energy & Strategy Group del Politecnico di Milano

Pubblicato il 06 Feb 2019

Patrizia Fabbri

I rischi cyber della filiera energy

Considerato come una sorta di Stati generali dell’energia a livello mondiale, il 24° World Energy Council Congress si svolgerà dal 9 al 12 settembre ad Abu Dhabi. La capitale degli Emirati Arabi Uniti si sta preparando a ricevere gli attesi 10.000 partecipanti, i rappresentati di oltre 150 paesi per l’evento triennale che riunisce ministri, CEO, politici, esperti, ONG e aziende di tutto il globo per discutere degli sviluppi critici del settore energetico e all’interno del quale il tema della cybersecurity avrà un ruolo centrale.

Il World Energy Council, network nato nel 1923 e accreditato presso l’ONU per i temi dell’energia, ha da tempo sottoposto all’attenzione dei propri aderenti l’estrema criticità della cybersecurity per questo settore e in occasione della precedente edizione aveva dedicato il report annuale World Energy Perspective a The road to resilience: managing cyber risk, tutt’oggi molto attuale nelle sue parti di analisi del fenomeno e dei punti di attenzione per realizzare infrastrutture resilienti ai rischi cyber.

La digitalizzazione pervasiva del settore, cloud, mobility e, soprattutto, Internet of Things porta con sé, insieme agli innegabili vantaggi e alle nuove opportunità, l’estendersi al mondo fisico delle infrastrutture critiche, come quelle energetiche, dei rischi che arrivano dal cyberspazio. Ne è ben conscio l’Energy & Strategy Group del Politecnico di Milano che nei mesi scorsi ha presentato il primo Report sull’Energy Cybersecurity.

Quali sono i trend evolutivi del settore Energy

Il Report si focalizza sull’energia elettrica evidenziando tre trend principali:

  1. crescente peso delle fonti rinnovabili: la potenza installata da fonti rinnovabili ha raggiunto nel 2017 in Italia i 53 GW, contribuendo a coprire il 36,2% della produzione annua (103,4 TWh); l’impatto di queste fonti è destinato ad aumentare nel futuro (la percentuale dovrebbe salire al 60% entro il 2030); la conseguenza è un aumento vertiginoso degli attori in gioco al quale si associa un minore livello di maturità dei sistemi di gestione dei rischi cyber;
  2. diffusione del modello “prosumer”: proprio lo sviluppo delle fonti rinnovabili ha portato alla nascita di un utente elettrico che è contemporaneamente produttore e consumatore (prosumer appunto); la diffusione di queste figure pone un problema di cybersecurity nei confronti della rete elettrica perché aumenta la superficie di attacco di eventuali soggetti malintenzionati;
  3. digitalizzazione diffusa che coinvolge tutti gli attori della filiera i cui impatti principali sono fondamentalmente 3:
    1. sviluppo delle smart grid, le reti intelligenti, che consentono migliore gestione della rete elettrica, maggiore efficienza nella trasmissione dell’elettricità, riduzione dei costi operativi, migliore integrazione tra i grandi impianti di produzione e i piccoli impianti dei prosumer;
    2. ottimizzazione della produzione e miglioramento della manutenzione preventiva grazie a tecnologie di big data analysis che consentono, da un lato, di stimare i consumi di energia e, di conseguenza, bilanciare la produzione e dall’altro di prevedere eventuali situazioni critiche sulle quali si può intervenire prima che si manifesti il problema, riducendo quindi il downntime degli impianti;
    3. per gli end user la possibilità di contenere i consumi di energia (un esempio sono i termovalorizzatori) e ottimizzare gli investimenti in efficienza energetica (soprattutto per gli utenti industriali che, grazie all’implementazione di tecnologie digitali, possono ottenere una maggiore visibilità sull’effettivo funzionamento del processo produttivo aumentando la propria efficienza energetica con interventi mirati).

Questi trend contribuiscono alla necessità di integrare due mondi storicamente separati, Operation Technology (OT) e Information Technology (IT), introducendo nel primo le tipiche minacce cyber del secondo con un impatto su molti aspetti.

“Quello che emerge dall’analisi – ha commentato Paolo Maccarrone, responsabile scientifico dell’Osservatorio Energy Cybersecurity dell’Energy&Strategy Group – è uno scenario in evoluzione, caratterizzato da notevoli differenze: se i grandi operatori sembrano essere molto più strutturati e spesso direttamente coinvolti nei vari gruppi di lavoro nazionali e internazionali, i piccoli dimostrano invece una sensibilità piuttosto limitata, così come vi è ancora scarsa consapevolezza dei rischi da parte degli end-user industriali, sia in veste di puri consumatori che in qualità di prosumer. Ciò desta qualche preoccupazione, soprattutto alla luce degli sviluppi disegnati dalla Strategia Elettrica Nazionale, che prevede un ulteriore incremento del peso delle fonti rinnovabili e una transizione sempre più marcata verso la generazione distribuita, nonché una crescente diffusione delle tecnologie digitali a tutti gli stadi della filiera”.

Quali sono i principali rischi cyber per i diversi operatori

In questo primo report sull’Energy Cybersecurity, il Politecnico si è focalizzato sulle tematiche della sicurezza delle macchine fisiche e dei dati energetici da esse derivanti, tralasciando tutta la tematica relativa alla difesa dei dati aziendali e della gestione della privacy relativa ai dati finali dei clienti.

La figura 1 illustra l’articolazione della filiera elettrica nella quale si individuano i seguenti operatori:

  1. player della generazione, che possiedono e gestiscono gli impianti di produzione
  2. Trasmission System Operator e Distribution System Operator, che gestiscono la rete di trasmissione e quella di distribuzione
  3. retailer, che vendono l’energia ai clienti finali
  4. prosumer, i consumatori e produttori di energia
  5. utenti finali, residenziali o industriali.
Figura 1 – Articolazione della filiera elettrica – Fonte: Report Energy Cybersecurity dell’Energy & Strategy Group del Politecnico di Milano

Lo studio ha identificato i rischi per ciascun operatore (ad esclusione dei puri retailer di energia) analizzandone i possibili impatti su attività e asset e i conseguenti danni economici per poi spostare l’attenzione sul rischio “di sistema” ossia la possibilità che attacchi di natura cibernetica possano mettere in crisi la stabilità della rete elettrica nazionale.

Nella figura 2 sono schematizzati rischi e impatti economici per i player della generazione di energia e per i prosumer (nella loro veste di produttori).

Figura 2 – Rischi cyber e impatti economici per i player che generano energia – Fonte: Report Energy Cybersecurity dell’Energy & Strategy Group del Politecnico di Milano

Per quanto riguarda la specifica infrastruttura elettrica italiana vengono individuate due differenti tipologie di reti:

  • rete di trasmissione ad alta tensione (380kV-220kV-150kV) che consente il trasporto dell’energia elettrica su lunghe distanze su tutto il territorio nazionale, dalle centrali di produzione alle stazioni di collegamento con la linea di distribuzione. I Trasmission System Operator hanno in carico la gestione della rete di trasmissione e dei flussi che transitano sulla stessa. Sono 10 i player presenti in Italia all’interno di questa categoria, il maggior operatore è Terna-Rete Elettrica Nazionale;
  • rete di distribuzione che conclude la filiera con la consegna dell’elettricità in media e bassa tensione agli utenti finali. I Distribution System Operator hanno in carico la gestione della rete di distribuzione e la consegna dell’energia elettrica ai clienti finali. In Italia sono presenti 135 operatori, ma la quota maggiore della capacità installata è detenuta da Enel Distribuzione (85%)

Nella figura 3 rischi e impatti economici per Trasmission System Operator e Distribution System Operator dove, nonostante le peculiarità che caratterizzano le due tipologie di operatori, non sono emerse particolari differenze in relazione ai rischi di natura cyber.

Figura 3 – Rischi cyber e impatti economici per Trasmission System Operator e Distribution System Operator – Fonte: Report Energy Cybersecurity dell’Energy & Strategy Group del Politecnico di Milano

Nella figura 4 vengono infine riassunti i rischi e gli impatti per consumatori residenziali e industriali.

Figura 4 – Rischi cyber e impatti economici per consumatori residenziali e industriali – Fonte: Report Energy Cybersecurity dell’Energy & Strategy Group del Politecnico di Milano

Come abbiamo accennato, lo studio del Politecnico ha realizzato anche delle simulazioni per verificare il rischio “di sistema”; nello specifico è stato simulato un attacco agli impianti di produzione fotovoltaici ed eolici per verificare l’impatto che una loro indisponibilità potrebbe avere a livello di mancata produzione elettrica o di extra-costi per il ribilanciamento tra domanda e offerta.

“In particolare – ha spiegato Maccarrone – gli approfondimenti hanno riguardato i costi derivanti da attacchi ripetuti e distribuiti tali da compromettere temporaneamente il funzionamento degli impianti, con conseguente necessità da parte di Terna di ribilanciare la rete facendo ricorso al Mercato dei Servizi di Dispacciamento [strumento attraverso il quale Terna si approvvigiona delle risorse necessarie alla gestione e al controllo del sistema elettrico ndr], e il rischio di black-out per l’improvviso mancato apporto di energia da impianti a fonte rinnovabile a causa di un incidente di natura cyber in un momento di picco di domanda, nelle ore di punta di un giorno feriale estivo con alte temperature”.

Nel caso di attacchi che portino a una riduzione del 50% della potenza erogata per il 10% delle ore medie annue di funzionamento, gli extra costi sono stati stimati in circa 264 milioni di euro.

La (poca) consapevolezza dei rischi OT

Dopo una focalizzazione sul quadro normativo nazionale e internazionale e sugli standard di riferimento, l’ultima parte del report si è focalizzata sugli end-user industriali ed era mirata a valutare il livello di consapevolezza sui rischi OT (cioè legati all’operation technology) derivanti dalla crescente digitalizzazione. Il tessuto industriale italiano ha consapevolezza di questi rischi? Se ne preoccupa? Stando all’indagine empirica svolta dall’Osservatorio, sembrerebbe proprio di no.

La survey è stata data a un campione di circa 700 imprese di varie dimensioni e di diversi settori. Le risposte sono state 93, un numero già di per sé significativo, con una prevalenza di imprese operanti nel settore della ceramica e vetro (26%), dell’automotive, della chimica e petrolchimica (entrambe al 13%). “Tutti i rispondenti dichiarano che il tema è già molto sentito, o che la sua rilevanza crescerà notevolmente in futuro – ha spiegato Paolo Maccarrone – ma in realtà appena la metà di essi svolge attività di risk analysis in modo sistematico. Ancor più significativo il dato sugli investimenti: solo il 23% dei rispondenti dichiara di avere investito nella cybersecurity OT”.

Infine, si è voluto valutare la sensibilità nei confronti dei rischi di natura cyber delle imprese del campione classificabili come prosumer, e che quindi ricoprono il duplice ruolo di generatori e consumatori di energia: solo il 6% di essi ritiene che l’operatività degli impianti possa essere compromessa da attacchi cibernetici, mentre il 35% pensa che gli strumenti di sicurezza inseriti dai fornitori siano sufficienti a garantirne la copertura. Tale percezione, unita al numero ancora ridotto di casi di attacchi volti a boicottare l’operatività degli impianti di generazione distribuita (almeno stando ai dati pubblici), fa sì che le aziende per ora orientino le scelte di investimento in altre direzioni.

Settore Energy & Utility


Casi Utente, analisi di mercato, tecnologie, news. Leggi tutti gli articoli

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Caso Utente

    IT ibrida e orchestrazione cambiano l’IT di SNAM

    24 Gen 2019

    di Piero Todorovich

    Condividi

  • Guida

    Industrial cybersecurity: un obbligo per fare Industria 4.0

    05 Dic 2018

    di Riccardo Cervelli

    Condividi

  • Video Digital360 Awards

    Wiit: un progetto di cybersecurity per il settore Oil&Gas

    29 Ott 2018

    Condividi

Prossimo

IT ibrida e orchestrazione cambiano l’IT di SNAM

Articolo 1 di 4