Il 2017 è l’anno in cui stati, organizzazioni internazionali e aziende hanno preso coscienza della vastità del rischio cyber anche nel settore energetico ed hanno intensificato attenzione, sforzi e programmi per garantire la sicurezza informatica dei servizi essenziali di pubblica utilità.
La quarta Conferenza CSE (Cyber Security Energia) che si è svolta oggi a Roma è nata con l’obiettivo di verificare, confermare e comunicare quanto fatto per contrastare la minaccia cibernetica. Uno sforzo già in atto che coinvolge il settore dell’energia, imprese, utility, consulenti, fornitori di beni e servizi, stanno operando sotto la pressione della regolazione e non solo. In discussione non è più la sicurezza di un’impresa o di un impianto, ma la sicurezza stessa delle popolazioni.
L’Italia è scesa in campo con la riforma di obiettivi e governance della cyber security in generale, ed in particolare con l’inserimento dell’argomento, per la prima volta, nella Strategia Energetica Nazionale.
A seguire l’avvio del recepimento della Direttiva europea “Network information system” (NIS), che vede al primo posto il settore energia e che dovrà essere legge entro il 9 maggio del prossimo anno. La Direttiva prevede per gli operatori obblighi coordinati di intervento e comunicazioni.
Particolarità italiana la numerosità dei soggetti coinvolti, tra trasportatori e distributori di gas, elettricità, prodotti petroliferi, gestori di impianti, porti, depositi e armatori. Sullo sfondo la produzione diffusa dell’energia, che riguarda centinaia di migliaia di soggetti tutti connessi a reti sempre più informatizzate. L’attenzione ormai non interessa più le sole infrastrutture critiche ma le intere catene di approvvigionamento, fino al singolo cittadino e ai suoi dispositivi elettronici personali come ad esempio i misuratori elettronici di consumo. Da qui gli altri interventi europei come il codice di rete per la cyber security e l’impegno per l’interazione e il coordinamento con la direttiva per la protezione dei dati, per evitare duplicazione di obblighi e tutelare integralmente sia le infrastrutture sia i soggetti di qualsiasi dimensione ad esse collegati. Impegni e interventi urgenti in linea con la risoluzione ONU di febbraio 2017 che comprende la cyber security tra le difese dal terrorismo, come poi affrontati anche in sede G20 2017, G7 governativo e in particolare nel G7 Energia 2017 gestito proprio dal nostro Paese.
Tutte queste iniziative sono frutto di lavori avviati già negli scorsi anni, ma i recenti attacchi alle reti energetiche, come ad esempio in Ucraina, quelli all’industria petrolifera e del gas come in Norvegia e in Arabia saudita, e le nuove e continue minacce, hanno portato ad una nuova consapevolezza e volontà di difesa. La gestione delle carenze nelle competenze, la capacità di risposta ad attacchi e incidenti, la confluenza tra Information Technology e Internet of Things, l’integrazione della sicurezza in rete, sono gli aspetti che diventano adesso più urgenti, di fronte alla pervasività della capacità di attacco.