La transizione energetica è un percorso inevitabile e il Green Deal europeo attraverso il pacchetto “Pronti per il 55%” mira a tradurre in normativa gli obiettivi di questa transizione, procedendo a tappe forzate verso gli obiettivi fissati al 2030. La crisi tra Russia e Ucraina si è innestata in questo scenario e ha aggiunto criticità a un quadro di ripresa già ampiamente messo sotto pressione, soprattutto per il settore gas, nel periodo post pandemico dalla “rincorsa alla ripresa” delle principali economie mondiali. E ben prima della scadenza del 2030 si collocano gli obiettivi previsti dal programma “REPowerEU” per rendere l’Europa indipendente dai combustibili fossili russi.
In questo quadro si trovano a operare anche i principali attori del settore energetico in Italia, sia nel segmento dell’upstream che in quelli del mid e downstream.
Analizzare lo scenario
Per analizzare tendenze, necessità e favorire percorsi verso una transizione energetica cyber resiliente, Clusit, Associazione Italiana per la Sicurezza Informatica, con AIPSA, Associazione Italiana Professionisti Security Aziendale e Utilitalia, Federazione delle imprese idriche, energetiche e ambientali, organizza la terza edizione di Energy & Utilities Security Summit. Un appuntamento pensato come approfondimento confronto dedicato a un settore fondamentale per la sicurezza di dati e informazioni di aziende e cittadini. Energy & Utilities Security Summit si sviluppa a partire dall’esperienza ultradecennale di Security Summit per creare uno spazio di approfondimento sui rischi cyber e sulla necessità di gestire gli stessi attraverso un approccio olistico con i protagonisti del mercato.
Il rapporto Clusit
L’incontro è stato introdotto da alcuni dati del rapporto Clusit 2023 sulla sicurezza ICT in Italia e nel mondo Il numero di attacchi che hanno colpito il settore Energy & Utilities andati a buon fine è raddoppiato negli ultimi 4 anni. A livello mondiale, quasi metà delle vittime (45%) sono basate in Europa, sia sul campione 2022 che nel Q1 2023. Il malware è stato e resta la principale causa di attacco, passando dal 47% al 78%, con un 66% di crescita in valore assoluto. Estremamente rilevante il 13% di incidenti 2022 che hanno come “punto di ingresso” la presenza di vulnerabilità. Gli incidenti con impatto Critical passano da oltre metà a quasi due terzi. Si noti la totale assenza di incidenti con impatti bassi. Da notare la rilevanza di attacchi a matrice Information Warfare del 2022, che nel 2023 va azzerandosi; al contrario, nel Q1 2023 raddoppiano gli attacchi a matrice Hacktivism.
Queste variazioni non devono stupire, in quanto nell’analisi di un incidente la fase di attribution è sempre tra le più complesse; rispetto a fenomeni come l’Information Warfare ovviamente il rischio di operazioni “undercover”, per spostare su altri l’attribution, è sempre un rischio concreto.
Dal dialogo tra i vari manager è emerso come in questo scenario di transizione e di conflitti che impattano sulla distribuzione e il costo dell’energia il settore energetico è rimasto tra quelli più esposti alla possibile “weaponization” con il contestuale, potenziale ricorso all’arma cibernetica da parte dei diversi attori, statuali e non, per ampliare ancor più l’instabile assetto geopolitico venutosi a creare e questo rappresenta una grande sfida. I piani di cyber resilience giocheranno un ruolo fondamentale nelle strategie di business delle Società in un contesto normativo e regolatorio in continua evoluzione.
Il ruolo del PNRR
In questo contesto il PNRR può e deve essere l’occasione per rafforzare la resilienza cibernetica delle infrastrutture dei servizi essenziali del nostro Paese e accompagnare tutto il settore industriale delle PMI lungo un percorso di maggiore sicurezza dei sistemi IT e OT. Gli interventi hanno sottolineato come questo inevitabile passaggio debba essere graduale e soprattutto tenendo conto della dimensione delle varie aziende e come l’introduzione di una normativa dedicata possa aiutare questa transizione, proprio perché anche le piccole e medie imprese saranno costrette a fare i conti con i nuovi rischi e con la necessità di garantire la sicurezza informatica della propria azienda. Sicuramente si tratta di una sfida che tocca tutta la comunità europea, ma nella quale ogni singolo Paese deve fare la sua parte e per questa ragione è stato apprezzato che, per la prima volta in Italia, nel nuovo Codice degli Appalti sia stato inserito un riferimento alla cybersecurity e che verrà premiato il soggetto che saprà garantire le migliori procedure di sicurezza cibernetica a difesa delle infrastrutture o della gestione dei servizi essenziali. Passaggio graduale del sistema paese.