Intervista a Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera
TIG. Quando è nata l’esigenza di integrare la gestione del rischio cyber con l’ERM aziendale? Quali sono state le azioni svolte, le misure implementate e i risultati ottenuti?
Stefano Scoccianti. L’esigenza è sorta naturalmente con l’avvio dell’attività relativa all’Enterprise Risk Management, quale processo strutturato aziendale volto a integrare in una cornice coerente le analisi dei vari rischi a cui il gruppo è esposto. Tuttavia l’esigenza di dare opportuna visibilità a tale specifica tipologia di rischi si era già manifestata da alcuni anni ed i relativi risultati sono stati regolarmente rappresentati nel Comitato Rischi, organismo deputato all’attività di supervisione dei rischi di gruppo. L’ERM si è inoltre reso necessario per evitare la settorializzazione dei processi di valutazione e gestione dei rischi e la loro rappresentazione ”a silos”. Proprio per soddisfare l’esigenza di portare a sintesi coerente le varie tipologie di rischio ed avere su di essi una efficace visione d’insieme, che consentisse inoltre di individuare quelli prioritari, è nata meno di 2 anni fa la funzione di Enterprise Risk Management. In questo modo le decisioni di gestione ed allocazione delle risorse per la mitigazione sono assunte nel modo più efficiente ed efficace.
TIG. Come si configura oggi la governance dei rischi in Gruppo Hera?
Stefano Scoccianti. Abbiamo una governance articolata su due livelli. Il CdA ha la leva decisionale riguardo la propensione al rischio e il profilo di rischio aziendale, definiti mediante un processo periodico adeguatamente strutturato Il secondo livello di governance vede il Comitato Rischi quale organo di supervisione e controllo dell’andamento dei rischi di gruppo. In questo modo si garantisce che, attraverso l’indicazione del profilo di rischio del Gruppo e il suo controllo, gli obiettivi strategici declinati nel Piano Industriale dal punto di vista dei rischi siano adeguatamente solidi e opportunamente presidiati. L’implementazione dell’approccio ERM alla gestione dei rischi è stata realizzata massimizzando il patrimonio organizzativo e metodologico esistente, consentendo una maggiore focalizzazione del Vertice sugli aspetti di interazione dei rischi e di loro sintesi, ai fini della definizione del profilo di rischio. In assenza di tale governance le singole strutture avrebbero continuato ad effettuare analisi del rischio specifiche. Il riferimento centrale è servito per dare la coerente vista d’insieme, la corretta priorità ed una validazione metodologica ai vari approcci.
TIG. Quali sono le peculiarità nella gestione del rischio cyber di una multiutility?
Stefano Scoccianti. Nel Gruppo Hera opera già da diversi anni una funzione deputata alla Sicurezza Logica che, oltre ad occuparsi degli ambienti ICT gestionali (amministrazione, CRM, personale) è anche deputata a definire gli opportuni standard di sicurezza degli ambienti ICT industriali utilizzati a supporto dei processi di produzione e distribuzione di energia / acqua / gas e per la gestione dei rifiuti. Questa funzione ha operato su due direttrici: da un lato adottando metodologie e criteri di analisi, valutazione e misurazione dei rischi cyber, dall’altro lato predisponendo istruzioni operative basate su standard internazionali e best practices di cyber security rivolte a tutta l’ICT di gruppo la quale opera nel ruolo di risk owner/action owner e che provvede a implementare le misure di sicurezza previste. Con riferimento in particolare agli ambienti ICT industriali, le problematiche di gestione delle minacce cyber e i rischi connessi sono molteplici. Un utilizzo sempre più diffuso di Reti TCP/IP per i sistemi SCADA che, nati per operare in modo isolato, sono stati collegati e integrati nel corso del tempo a sistemi di nuova concezione per mezzo di reti aperte ha aumentato il rischio di Malware e l’esposizione a minacce sia esterne che interne (attacchi via Internet, intercettazioni, accesso da remoto agli apparati di campo, persone non autorizzate in Sala Controllo, dispositivi USB). Inoltre sistemi sempre più “aperti” hanno introdotto la necessità di condividere in tempo reale informazioni sullo stato degli Impianti con le squadre di Pronto Intervento, ponendo nuove sfide alla sicurezza. Infine, non va trascurato che i sistemi alla base dei processi industriali richiedono una continuità operativa 24×7 (Fault-Tolerance e Disaster Recovery).
TIG. Come è stata formalizzata la gestione del rischio cyber in Gruppo Hera?
Stefano Scoccianti. Oltre agli aspetti di analisi e redazione di istruzioni operative, già detti, abbiamo le prescrizioni tecniche/organizzative e gli aspetti di monitoraggio.
A livello tecnico, per quanto riguarda le reti di telecomunicazione sono prescritte e scelte soluzioni per interconnessioni sicure (firewall, host virtualization, scambio dati offline) e soluzioni per la segregazione tra i vari “ambienti di rete”. A livello di sistemi e loro resilienza: controllo degli accessi, tracciamento degli utenti, Business Continuity, integrità, disponibilità e riservatezza delle informazioni, backup dei dati. Per quanto riguarda gli utenti, sono stati stabiliti criteri specifici per l’utilizzo di postazioni di lavoro, utilizzo di risorse di rete, aderenza alle norme e a un codice etico.
Con riferimento al telecontrollo degli impianti, già dal 2009 ci siamo dotati di indirizzi e politiche di gestione del rischio cyber, con criteri specifici per la costruzione di nuove reti dedicate alla sensoristica, al telecontrollo e al metering (reti proprietarie, reti mobili GPRS su APN privati, configurazione di canali privati su infrastrutture di rete pubblica).
Per quanto riguarda invece il monitoraggio dei rischi cyber, da un lato sono stati costruiti degli indicatori target (misure di esposizione al rischio) definiti per tutto l’arco del Piano Industriale, valutati periodicamente, rappresentati in Comitato Rischi e inseriti nel Risk Assessment di Gruppo (ERM). Dall’altro lato, sono effettuati periodicamente degli assessment di sicurezza, attestando alla rete di telecontrollo degli impianti una postazione di test appositamente attrezzata con cui i Sistemi vengono analizzati, rilevandone le vulnerabilità presenti e individuando le necessarie azioni di remediation, implementate dall’ICT di gruppo.
TIG: Quali saranno le evoluzioni della sicurezza, pensando in particolare alla possibilità che nuovi device siano collegati in rete, come ad esempio i contatori del gas?
Stefano Scoccianti. Il tema ci riguarda da vicino in quanto l’Autorità del settore energetico ha chiesto ai distributori gas di garantire nel giro di alcuni anni un passaggio ai sistemi di telelettura dei contatori gas. Nel nostro caso si parla già di alcune decine di migliaia di installazioni effettuate in via sperimentale e a regime si dovrebbe traguardare il milione. I dati di consumo vengono inviati tramite onde radio verso concentratori, che poi provvedono ad inviarli attraverso un gateway ai sistemi di backend. Sono già incorso attività di sperimentazione di diverse tecnologie relativamente ai vari aspetti rilevanti. Inoltre il Gruppo Hera partecipa anche a diversi gruppi di lavoro, insieme ad altri operatori del mondo Energy, nella definizione di nuovi standard di sicurezza per i sistemi industriali.
A cura di: Elena Vaciago, The Innovation Group