La rete elettrica diviene sempre più complessa e capillare, inglobando nuovi soggetti che non sono operatori di rete nel senso tradizionale del termine. Uno scenario che aumenta le possibilità di falle di comunicazione nei nodi di interconnessione e che aumenta dunque l’urgenza dell’intervento sul fronte della sicurezza informatica. Ne parliamo con Giovanna Dondossola del Dipartimento Tecnologie di Trasmissione e Distribuzione di RSE.
Sicurezza informatica: che tipo di minacce si presentano per la rete elettrica?
I tipi di vulnerabilità della rete elettrica sono oggi riconducibili all’estensione delle reti di distribuzione e trasmissione. Siamo in presenza di reti più capillari, con una sempre maggiore integrazione di fonti di generazione distribuita e la necessità di connettere alle infrastrutture di gestione e controllo operatori non di rete come ad esempio gli aggregatori di impianti di rinnovabili o le utenze di tipo industriale. Questa evoluzione comporta l’utilizzo di tecnologie molto più eterogenee, sia dal punto di vista delle reti di comunicazione che dei protocolli utilizzati per la comunicazione. Questi ‘passaggi’ necessitano di una approfondita analisi del rischio per verificare che tutte le interconessioni inglobino le necessarie misure di sicurezza.
Quali sono i gangli che vanno tutelati di più?
Sicuramente la generazione distribuita ma anche le utenze industriali o residenziali di taglia significativa che hanno bisogno di comunicare con le infrastrutture di gestione e controllo della flessibilità della generazione e della domanda di energia. C’è poi un terzo ambito di intervento da sottolineare: la necessità di abbinare alle misure di sicurezza di tipo preventivo, ovvero gli standard di sicurezza integrati nei protocolli di comunicazione, misure di tipo reattivo, di monitoraggio e pronto intervento. Parliamo di un approccio guidato dalla situational awareness. Le misure preventive non possono garantire un livello di sicurezza adeguato, la sicurezza è un mondo dinamico ed evolve in funzione delle vulnerabilità e delle minacce che vengono sfruttate e scoperte. È necessario quindi dotarsi di un’infrastruttura di pronta risposta, in grado di conoscere nel dettaglio lo stato delle comunicazioni per il controllo dei processi energetici.
Che rischi comporta la mancanza di questa infrastruttura di risposta?
Facciamo l’esempio del caso ucraino, uno dei pochi esempi concreti di attacco reale di tipo cyber che ha provocato un’interruzione del servizio anche di parecchie ore. Una delle principali cause va ricercata in quelle operazioni che consentono all’attaccante di recuperare credenziali di accesso a sistemi critici. Il mail phishing è stato anche in questo caso il canale iniziale, un’operazione preliminare che abilita un processo malevolo molto più lento, necessario a portare avanti l’attacco vero e proprio. L’attacco stesso ha avuto quindi il tempo di svilupparsi proprio perché sono mancate le infrastrutture di monitoraggio e di risposta a segnalazioni di allerta o di presenze potenzialmente anomale nel sistema.
Quali sono i progetti di RSE su questo tema?
Lavoriamo su progetti che analizzano gli scenari energetici futuri dal punto di vista della sicurezza cyber, ai quali affianchiamo lo sviluppo di piattaforme sperimentali che possano testare l’efficacia degli standard di sicurezza.
Nell’ambito dei progetti europei, abbiamo coordinato il progetto SoES (Security of Energy System). SoES rientra nel programma di ricerca sulla protezione delle infrastrutture critiche. Abbiamo analizzato diversi tipi di scenario applicativo, sia per quanto riguarda l’utente finale che il controllo della tensione in presenza di generazione distribuita. L’obiettivo era definire i requisiti di sicurezza e le misure standard integrabili in questi tipi di applicazioni. Il progetto puntava a fornire indicazioni per la regolamentazione del settore e a stabilire una policy comune sulla cybersicurezza per gli operatori.
Un altro progetto di rilievo è SmarTc2neT (Smart Control of Energy Distribution Grids over Heterogeneous Communication Networks). All’interno di questo progetto abbiamo sviluppato una piattaforma sperimentale che si concentrava sul controllo di tensione nelle reti in media tensione in presenza di generazione distribuita. La piattaforma prevede un doppio ciclo di controllo: sulla infrastruttura Ict e sul sistema di controllo in cabina primaria. Il primo livello può intercettare le anomalie nelle comunicazioni ed eventualmente intervenire sulla configurazione dei dispositivi della rete Ict. In automatico, può applicare misure di risposta che neutralizzano l’intrusione, consentendo dunque alle comunicazioni di continuare a operare normalmente. Nel nostro caso, abbiamo lavorato su comunicazioni cifrate machine to machine, tra sistemi di rete e sistemi di generazione, in connettività 4G.
Se viene rilevata un’anomalia ma il sistema non riesce nel breve tempo ad applicare un’azione di ripristino dello stato delle comunicazioni, si interviene a un secondo livello. L’algoritmo di controllo della tensione tiene conto del degrado delle comunicazioni verso determinati apparati e quindi controlla la tensione agendo su un set di dispositivi ridotto. In entrambi i casi, si garantisce che il valore della tensione venga mantenuto all’interno dei vincoli tecnici in tutti i nodi della rete di distribuzione.
Che succede se non si riesce a neutralizzare un attacco?
Dipende dall’impatto dell’attacco cyber sul processo fisico. Nel caso peggiore, se l’impatto arriva ad intaccare la stabilità del sistema energetico, occorre attivare le linee di difesa della infrastruttura elettrica di livello superiore. Sicuramente oggi nel codice di rete c’è necessità di un’analisi del rischio di tipo cyber che tenga conto dell’evoluzione della rete e del sistema complessivo. Il settore elettrico si sta muovendo in questa direzione, sia a livello europeo che nazionale, affinché i diversi codici di rete recepiscano i requisiti di sicurezza cyber nelle diverse linee di difesa.