Un nuovo kit di strumenti per proteggere le reti energetiche dalle minacce e dagli attacchi alla cibersicurezza
Le perturbazioni intenzionali dell’energia elettrica e dei sistemi energetici sono un tipo di attacco rivoluzionario. Nel 2015, in Ucraina, il malware BlackEnergy ha consentito di lanciare campagne mirate di spear phishing contro alcune aziende di produzione di energia: gli hacker hanno effettuato l’accesso all’interno della rete delle società elettriche per poi apprendere le operazioni e utilizzare l’appropriata funzionalità di sistema di gestione della distribuzione in modo da disconnettere dalla rete le sottostazioni, lasciando più di 225 000 clienti senza energia. «L’energia elettrica e i sistemi energetici sono presi di mira con maggior frequenza da attacchi informatici quali phishing, ingegneria sociale, whaling, attacchi distribuiti di negazione del servizio (DDoS, distributed denial-of-service), malware e ransomware. La minaccia continua a evolversi in quanto gli hacker cercano di accedere a sistemi di controllo industriale tramite terze parti. Sono pertanto necessari sforzi maggiori per gestire i rischi legati alla sicurezza informatica», afferma Otilia Bularca, responsabile di progetto presso l’azienda rumena Software Imagination & Vision SRL e coordinatrice del progetto EnergyShield, finanziato dall’UE. «Le comunità tecniche e scientifiche lavorano congiuntamente per innovare, progettare e distribuire tecnologie più resilienti, in grado di offrire una protezione più elevata. EnergyShield sta affrontando le minacce informatiche poste al settore dell’energia adattando e integrando in un kit di strumenti a fini difensivi tecnologie per la valutazione della vulnerabilità, la supervisione e la protezione», aggiunge Bularca.
Una serie di moduli differenti
La soluzione di EnergyShield combina un’ampia serie di strumenti che contribuiscono ad aumentare la resilienza contro diversi tipi e livelli di attacchi informatici e alla privacy, nonché di violazioni di dati. Uno strumento di analisi del comportamento relativo alla sicurezza valuta l’attuale livello di sicurezza di un’organizzazione, consentendo agli operatori di individuare i punti di accesso, la cosiddetta superficie di attacco umano che deriva in gran parte dalla mancanza di consapevolezza o da un controllo degli accessi inadeguato. Uno strumento di valutazione della vulnerabilità valuta la resilienza alla cibersicurezza attraverso la modellizzazione delle minacce e simulazioni di attacchi. Esso determina il più plausibile percorso seguito dall’hacker e calcola la probabilità con cui potrebbe raggiungere la risorsa. Il modulo di mitigazione degli attacchi distribuiti di negazione del servizio difende il sistema dall’eccessivo traffico in entrata. Questo strumento sfrutta algoritmi basati sull’apprendimento automatico per rilevare e mitigare attacchi DDoS a livello di applicazione sulle infrastrutture di comunicazione. Il modulo di rilevamento delle anomalie analizza il traffico di rete e mette in evidenza gli eventi imprevisti. Esso rileva le anomalie a livello di tecnologia operativa, proteggendo le infrastrutture di controllo dagli attacchi «man in the middle» o dai replay attack. Infine, uno strumento di gestione degli eventi e delle informazioni sulla sicurezza consente agli operatori di infrastrutture critiche di condividere allerte precoci sui rischi e gli incidenti legati alla sicurezza informatica, nonché di riportare gravi violazioni che si verificano nell’ambito dei loro servizi principali. Tutti questi strumenti sono gestiti da un coordinatore federativo centrale e da membri di federazione dislocati localmente. Il componente centrale è responsabile del mantenimento di norme e standard per un’elaborazione comune, mentre i membri della federazione sono tenuti a svolgere i compiti di elaborazione e raccolta dei dati a livello locale.
Dimostratori tecnologici
I risultati del progetto saranno dimostrati in due siti pilota per convalidare i modelli, le soluzioni di sicurezza informatica e gli algoritmi innovativi. In Bulgaria è stato proposto un dimostratore online a livello cittadino volto ad approfondire gli effetti a cascata dei ciberattacchi nella catena del valore dell’energia elettrica e del sistema energetico, inteso inoltre ad analizzare i rischi alla sicurezza informatica associati alla catena di distribuzione cibernetica. In Italia è in fase di preparazione un dimostratore offline più piccolo, dove verrà simulato un attacco informatico su un sottosistema di controllo della rete. I risultati del progetto fungeranno da unità di misura per lo sviluppo di migliori pratiche, orientamenti e metodologie, incoraggiando un’adozione diffusa degli strumenti del progetto nel settore dell’energia.
Parole chiave
EnergyShield, sicurezza informatica, kit di strumenti, violazione di dati, attacco informatico, valutazione della vulnerabilità, DDoS
