Governi e organizzazioni internazionali hanno preso coscienza della vastità del rischio cyber anche nel settore energetico e si sono mossi per garantire la sicurezza informatica dei servizi essenziali di pubblica utilità. In Italia la cybersecurity, per la prima volta, viene trattata nella Strategia Energetica Nazionale. A Francesco Morelli, responsabile Tutela Aziendale di Terna, gestore unico della rete di trasmissione nazionale, abbiamo chiesto quali attività sono state attivate per prevenire cyber attacchi.
Terna non deve solamente fare fronte ai rischi di effrazione, furti e danni agli impianti ma anche a cyber attacchi. Qual è la struttura che sovrintende alla sicurezza della rete elettrica per assicurate la continuità del servizio?
Terna si è dotata già da diversi anni di una struttura fondamentale per la sicurezza della rete, il Security Operations Center (SOC), che costituisce il centro nevralgico operativo per il monitoraggio istantaneo delle aree di rischio del Gruppo e presidia il coordinamento fra queste aree e la sicurezza integrata in tempo reale.
La struttura che l’azienda ha concepito originariamente si è trasformata nel corso degli anni ed è in continua evoluzione. Rispetto alla sua prima configurazione, all’operatività del SOC si sono gradualmente aggiunte nuove capability in ambito cybersecurity che hanno portato alla creazione di una struttura di Computer Emergency Readiness Team (CERT), all’implementazione ed estensione della capacità di monitoraggio e di risposta cyber 24 ore al giorno per 365 giorni all’anno, alla definizione delle procedure operative e delle istruzioni di lavoro per le attività di Real Time Security Monitoring e Incident Handling (Playbook), allo sviluppo di nuove soluzioni e metodologie nei centri di Cyber Security Engineering e di Cyber Security Assessment.
Oggi la cyberdefence di Terna è realizzata attraverso un’architettura multilivello (defence-in-depth) che utilizza differenti tipologie di tecnologie per l’analisi e la prevenzione delle minacce.
Quali sono le azioni di Terna per rimanere costantemente aggiornata sui rischi e sulle minacce potenziali?
Terna adotta un modello di “Information Security Governance” basato su un quadro normativo di policy e procedure, coerente col “Framework Nazionale per la Cyber Security”, supportato da un programma operativo di Information Risk Management (“IRM”). Tale programma considera tutti i fattori di rischio (organizzativo, tecnico e tecnologico, fisico-ambientale, cyber-threat, ecc.) cui è esposto il complesso ecosistema ICT del Gruppo, comprese le conformità alle leggi in materia di trattamenti di dati e di lotta ai reati informatici.
Sul piano operativo, in virtù del crescente scenario di cyber risk e del nuovo contesto normativo su tematiche di cybersecurity e data protection, Terna ha avviato un processo di evoluzione delle proprie capability di cybersecurity proprio attraverso la costituzione del Computer Emergency Readiness Team (CERT). Tra i principali obiettivi del CERT rientra il monitoraggio centralizzato in tempo reale dello stato di cybersecurity delle piattaforme ICT del Gruppo, la gestione di processi e procedure di comunicazione (“Cyber Security Situational Awareness”) ed escalation interne ed esterne in occasione di incidenti di sicurezza cyber e coordinamento delle azioni di risposta, nonché lo sviluppo e la gestione di strumenti di “Threat Intelligence”per il monitoraggio del livello complessivo di cybersecurity.
Nel 2016 Terna ha avviato le attività di implementazione di un nuovo e più avanzato sistema integrato di gestione e rappresentazione degli eventi di sicurezza denominato SETA. A che punto è la sua operatività?
Il Sistema Evoluto di Tutela Aziendale (SETA) è finalizzato alla realizzazione di un sistema integrato di gestione delle minacce e delle emergenze aziendali basato su un’unica infrastruttura di controllo e supporto resa disponibile agli operatori del Security Operations Center (SOC). Questo sistema serve a garantire la copertura integrata di una molteplicità di rischi. Tra questi possiamo ricordare quelli relativi a: sicurezza fisica, cybersecurity, safety del personale interno e dei cantieri, sistemi di controllo accessi, monitoraggio ed early warning sull’evoluzione meteo, segnalazioni di incendi e terremoti.
Nel corso del 2017 sono proseguite le attività di integrazione di fonti dati meteo e sistemi per la safety, in particolare: attivazione di 25 stazioni meteo in altrettanti siti Terna per fornire un’indicazione tempestiva delle condizioni meteorologiche a supporto delle attività del personale;avvio della fase sperimentale del progetto “Ghiaccio e Neve” per dotare il personale che opera in condizioni avverse di kit di comunicazione satellitare di emergenza e di dispositivi di segnalazione e richiesta di aiuto.Infine, a supporto del vertice, è stata avviata la realizzazione di una rappresentazione cartografica e geo localizzata degli asset e degli elementi di rete Terna, nonché delle strutture di emergenza (Carabinieri, Polizia, Protezione Civile, VV.F., Ospedali, ecc.) chiamata “Tavolo Tattico”.
Ovviamente Terna non opera in solitario. Quali sono i rapporti con organismi di sicurezza esterni sia a livello nazionale che internazionale?
Terna, per il suo ruolo di gestore unico della rete di trasmissione nazionale, si interfaccia quotidianamente con gli organismi di sicurezza nazionali e internazionali, non solo per questioni legate all’energia, ma anche per la sicurezza fisica e cyber dei propri asset. Tali collaborazioni, suggellate nella maggior parte dei casi con protocolli di intesa (Polizia di Stato, Arma dei Carabinieri, Vigili del Fuoco, Guardia di Finanza, Prefetture, Ministero dell’Interno), stanno diventando parte integrante (spesso obbligatoria) dei provvedimenti normativi.
Terna, con la recente riorganizzazione, ha internalizzato i recenti cambiamenti di scenario in atto in ambito sicurezza. In particolare, con l’istituzione del CERT ha formalizzato l’interazione costante a livello operativo con gli enti di sicurezza a livello nazionale (CNAPIC, CERT Nazionale, Forze dell’ordine, DIS) e internazionale, per prevenire e contrastare attacchi o danneggiamenti contro le infrastrutture del Gruppo. A livello europeo, sebbene non sia strettamente ascrivibile alla sicurezza cyber, Terna collabora con i propri omologhi all’interno dell’associazione dei TSO Europei ENTSO-E (istituita dalla stessa Commissione Europea), condividendo best practices, analisi e informazioni non sensibili.
Numerose, infine, le collaborazioni non formalizzate che vertono soprattutto sull’info-sharing (percepita come opportunità e non obbligo) sia a livello nazionale sia internazionale, con istituzioni comela NATO, la Commissione Europea, ma anche enti di ricerca e università che stanno indirizzando i propri sforzi (e corsi di studi) verso le nuove tematiche legate alla sicurezza cyber a livello globale.