Gli attacchi informatici nel settore elettrico non si limitano più al solo mondo digitale: sempre più spesso attraversano il ponte dal dominio digitale a quello fisico. Un esempio è il Trojan BlackEnergy che nel 2016 è stato la causa dell’interruzione della fornitura di energia elettrica in Ucraina. Un altro esempio è il malware Triton che mirava invece a disabilitare i sistemi di sicurezza industriale in una centrale elettrica in Medio Oriente.
Questi eventi evidenziano la necessità di estendere una robusta governance della resilienza cibernetica dal mondo IT (Information Technology) a quello delle infrastrutture OT (Operational Technologies). Tuttavia, istituire una governance della sicurezza in grado di integrare IT e OT è più facile a dirsi che a farsi. Gli ambienti IT e OT sono infatti funzionalmente diversi: priorità diverse all’interno di un’azienda; diversi requisiti funzionali; diverse culture lavorative; diversi Risk Appetite.
Dalla diversità degli ambienti IT e OT nascono anche diversi requisiti di sicurezza: mentre per l’IT la priorità va di solito ad aspetti di confidenzialità (dato che si può trattare di informazioni critiche e riservate), per l’OT le priorità sono il funzionamento, quindi l’integrità e la disponibilità delle macchine: questi elementi sono fondamentale se si vuole ad esempio garantire la continuità nell’erogazione di energia elettrica.
Oltre ad esserci quindi delle differenze sostanziali tra i due ambienti, IT e OT, l’integrazione trova anche molti ostacoli legati alla scarsa comunicazione tra gli operatori dei 2 mondi, che possono avere, oltre a skill diversi, modalità di reporting e governance divergenti. Queste barriere ad un’efficiente collaborazione diventano estremamente rischiose quando si tratta di gestire un’emergenza legata a un cyber incident.
Come affrontare al meglio quindi questi temi?
In un recente Report del WEF, “Cyber Resilience in the Electricity Ecosystem: Principles and Guidance for Boards”[1], viene indicata la best practice di Enel, un esempio per tutti su come affrontare e risolvere le complessità legate ad ambienti con diversi requisiti di sicurezza.
La complessità organizzativa del Gruppo Enel e i numerosi ambienti che racchiude (dati, persone e mondo industriale) espongono le risorse dell’organizzazione a una vasta gamma di attacchi informatici. Per far fronte a ciò, il Gruppo Enel ha adottato un modello di gestione del rischio cyber (“Cyber Security Framework“) basato su una visione olistica e “sistemica”, che integra sia la tradizionale area IT con l’ambito OT specifico del mondo industriale, e anche l’IoT, facendo riferimento in questo caso alla messa in rete di oggetti intelligenti.
Il Framework di Enel, una policy di gruppo emanata dallo stesso CEO, ha definito tutti i processi in modo da guidare e gestire le attività collegate alla cybersecurity. Il Framework facilita un coinvolgimento attivo e profondo da parte di tutte le aree del business, oltre a incorporare i requisiti regolatori e legali, l’uso di tecnologie all’avanguardia e una forza lavoro informata. In questo modo, le decisioni e le attività relative alla cybersecurity sono allineate con i bisogni del business, e le misure di sicurezza sono incluse by-default nel disegno e nello sviluppo di applicazioni, processi e servizi, lungo il loro intero ciclo di vita. Il tutto è fondato su una struttura organizzativa globale, che si basa su un approccio risk based in modo da bilanciare i vantaggi che arrivano dalla progressiva digitalizzazione di sistemi IT/OT/IoT con i rispettivi rischi e potenziali impatti negativi sul business.
Da notare poi che gli sforzi di Enel in ambito cyber risk management non si fermano qui: dal 2017 il gruppo Enel si è infatti dotato di un suo Cyber Emergency Readiness Team (CERT), accreditato presso le comunità nazionali e internazionali, in modo da indirizzare una risposta efficace al tema della gestione dei rischi e degli incidenti cyber. La Global Control Room del Cyber Emergency Readiness Team (CERT) di Enel, inaugurata il 7 novembre a Torino, è un baluardo di ingegneria, esperienza e strategia per la difesa da attacchi cibernetici di dati e sistemi informatici, risorse umane, asset industriali e infrastrutture critiche del Gruppo.
Gli analisti del CERT di Enel operano oggi attraverso un approccio proattivo che mira a prevenire possibili attacchi informatici, grazie a un sistema di monitoraggio continuo, coordinando le attività di risposta in sinergia con tutte le funzioni del Gruppo. “Un modello operativo frutto di un percorso avviato da tempo, risultato dal confronto delle migliori pratiche e tecnologie e dal coinvolgimento di oltre 20 aree di business”, ha spiegato Yuri Rassega, Responsabile Cyber Security di Enel.
Altro elemento chiave della strategia di Cyber Security Enel è la collaborazione aperta con istituzioni, enti e altre aziende. In tutti paesi in cui il Gruppo gestisce infrastrutture critiche importanti, come Italia, Spagna, Romania, Sud America, sono state stabilite diverse relazioni strutturate con i CERT nazionali, impegnati proprio a garantire la protezione cibernetica del Paese in cui operano. Il CERT di Enel, inoltre, fa parte del Trusted Introducer, che comprende oltre 300 CERT in più di 60 Paesi, e dal settembre scorso del FIRST (Forum of Incident Response and Security Teams), la comunità più estesa e importante del settore con oltre 400 iscritti in più di 80 nazioni.
————————————————-
Grazie alla presenza come Speaker di Yuri Rassega, Responsabile Cyber Security di Enel, il tema di come impostare una Cybersecurity Governance ottimizzata per ambienti industriali e IoT sarà al centro dei lavori del “CYBERSECURITY SUMMIT 2019” di The Innovation Group, il prossimo 19 marzo a Roma.
Il Summit si pone l’obiettivo di fare il punto sull’odierno stato di maturità della sicurezza, nell’ambito degli Operatori che erogano servizi essenziali (OSE), delle imprese, delle pubbliche amministrazioni. La partecipazione delle Istituzioni che si occupano della Cyber Defense nazionale e dei migliori Esperti italiani e internazionali, crea un’occasione unica di scambio di esperienze e di networking, per approfondire le esigenze emergenti di sicurezza, il nuovo panorama delle minacce, e per comprendere come abilitare un utilizzo più sicuro di Cloud e di tecnologie emergenti quali AI, machine learning, blockchain.
Accedi al sito del CYBERSECURITY SUMMIT 2019 per iscriverti all’evento!