Ricreare uno scenario di crisi in cui i partecipanti hanno dovuto rispondere a una serie di attacchi cibernetici contemporanei e diretti contro le infrastrutture energetiche nazionali con ripercussioni multi-dominio, ossia con impatti sia sulla dimensione cibernetica sia su quella fisica: era questo l’obiettivo della settima edizione dell’esercitazione paneuropea e biennale “Cyber Europe 2024” che si è svolta lo scorso 20 giugno 2024.
Alla “Cyber Europe 2024”, organizzata e coordinata dall’European Union Agency for Cybersecurity (ENISA), hanno partecipato 30 agenzie di sicurezza informatica, tra cui la nostra Agenzia per la Cybersicurezza Nazionale (ACN), oltre ad altri organi e reti dei Paesi membri dell’Unione europea.
Indice degli argomenti
Cyber Europe 2024, un test per il settore Energia
Durante l’esercitazione, riporta l’ACN, la capacità di coordinamento e gestione della crisi è stata necessaria per poter affrontare le numerose sfide ad alta complessità susseguitesi con l’avanzare degli scenari e per garantire la continuità operativa delle aziende.
L’ACN ha assunto il proprio ruolo all’interno delle reti europee di gestione delle crisi cyber, cioè il CSIRTs Network e l’EU CyCLONe, e a livello nazionale tramite la propria unità operativa CSIRT Italia, la quale ha fornito supporto alla gestione degli incidenti cyber notificati dai soggetti impattati e partecipando a delle riunioni del Nucleo per la Cybersicurezza Nazionale (NCS).
A rappresentanza di quest’ultimo, hanno partecipato alcune delle Amministrazioni che fanno parte dell’NCS, tra cui Ministero della Difesa, Ministero dell’interno, Ministero delle Imprese e del Made in Italy, Ministero dell’ambiente e della Sicurezza Energetica.
Limitare i danni ed evitare che l’economia europea venga paralizzata, questo è stato l’obiettivo dell’esercitazione.
Perché la scelta del settore energetico come scenario per lo svolgimento dell’esercitazione? L’ENISA ha spiegato che, durante l’ultimo decennio, i dati raccolti tracciano un incremento azioni di hackeraggio condotte da gruppi criminali informatici, hacktivisti, singoli hackers e Advanced Persistent Threat al fine di estrapolare dati sensibili e paralizzare il flusso di approvvigionamento delle risorse.
L’infrastruttura energetica rappresenta un pilastro fondamentale per la crescita e l’esistenza stessa delle attuali società moderne e di conseguenza tale crucialità la rende un obiettivo strategico di prim’ordine, soprattutto se si considerano le implicazioni geoeconomiche e geopolitiche.
L’obiettivo del Cyber Europe 2024
Sono aumentate le minacce e i rischi, è cresciuta la preoccupazione: questo è il messaggio che l’ENISA ha voluto lanciare con Cyber Europe 2024.
La possibilità di attacchi massicci e distruttivi mirati a destabilizzare l’economia europea partendo dalle singole economie nazionali, tutt’altro che immuni e capaci di far fronte individualmente alla gestione di uno “tsunami” di attacchi informatici, è concreta.
Infatti, l’ENISA ha sottolineato che “la propaganda contro l’UE è dilagante e si sospetta che le minacce costanti evolutive e altri gruppi criminali stiano collaborando per spostare l’equilibrio di potere verso i loro alleati politici, prendendo di mira le infrastrutture critiche”.
Anche il commissario europeo per il Mercato interno, Thierry Breton, a margine della sua visita alla sede dell’ENISA e alla sala delle esercitazioni Cyber Europe ha evidenziato il ruolo nevralgico del settore energetico: “solo nel 2023, più di 200 incidenti informatici segnalati hanno preso di mira il settore energetico, e più della metà di essi sono stati diretti specificamente contro l’Europa. Le minacce alla sicurezza informatica nei settori critici possono avere un impatto sulla vita quotidiana dei cittadini, ma anche sulle imprese e sui servizi pubblici in tutta l’UE. Questo tipo di esercitazione è essenziale per testare la nostra resilienza in materia di cybersicurezza con tutti i partner chiave, se vogliamo proteggere i cittadini dell’UE”.
Altri dati che rafforzano le preoccupazioni in questo senso derivano dal rapporto Network and Information Security (NIS) Investments in the EU del 2023 dell’ENISA, in cui è stato rilevato che il 32% degli operatori del settore energetico non ha un solo processo critico di Operation Technology (OT) monitorato da un Security Operations Center (SOC) e che le aree OT e IT sono coperte da un unico SOC per il 52% degli operatori di servizi essenziali nel settore energetico.
Settore energetico a rischio anche negli USA
Una problematica, quella dell’elevata vulnerabilità dell’infrastruttura energetica, condivisa anche oltreoceano dagli Stati Uniti. Infatti, a fine maggio Washington ha annunciato degli sforzi per ristrutturare a fini migliorativi la rete energetica nazionale oramai datata tramite un’iniziativa tra Governo federale e 21 Stati.
Nonostante l’impulso dell’iniziativa era derivato dalle avverse condizioni climatiche che hanno colpito il Paese, come avvenuto in Texas, la necessità di creare un’infrastruttura energetica resiliente alle minacce cibernetiche è al centro del progetto di ristrutturazione.
Esperti di sicurezza cibernetica americani hanno richiamato alla memoria incidenti cibernetici accaduti sul suolo americano: dal 2012 al 2014, agenti dell’FSB russo hanno usato spear phishing e altre tattiche per compromettere la rete aziendale della Wolf Creek Nuclear Operating Corp. in Kansas, che gestisce una centrale nucleare; nel maggio 2021, l’oleodotto Colonial Pipeline è stato bersaglio di un attacco ransomware che ha bloccato i suoi sistemi digitali e ha colpito i clienti lungo la costa orientale.
Non a caso, gli stessi esperti americani hanno riportato le parole di Juhan Lepassaar, direttore esecutivo dell’ENISA, il quale ha evidenziato che il numero di attacchi alle infrastrutture europee è raddoppiato tra fine 2023 e inizio 2024, i quali in varie occasioni erano collegati al conflitto in Ucraina poiché parte della strategia del Cremlino di colpire fisicamente Kiev e nel dominio cibernetico l’Europa.
Uno scenario che si ripropone anche sul versante oltremanica nel Regno Unito, in cui le minacce OT sono in espansione. Secondo l’IBM’s X-Force Threat Intelligence Index 2024, il Regno Unito è stato il Paese con più attacchi subiti in Europa e proprio il settore energetico ne ha sopportato il carico maggiore.
Le agenzie di intelligence inglesi hanno scoperto forum e siti nel dark web che condividono informazioni su come accedere alle organizzazioni del settore dell’energia e dei servizi pubblici e un numero crescente di criminali informatici ha spostato il proprio interesse su come accedere ai sistemi OT del settore energetico.
Conclusione
L’esercitazione Cyber Europe 2024 ha colto esattamente quale sia il settore con i rischi cibernetici e fisici a maggior impatto in un contesto internazionale ad elevata instabilità geopolitica, in cui le minacce cibernetiche possono essere effettuate per colpire lungo la supply chain o all’interno dei confini nazionali senza grossi sforzi da parte dell’aggressore.
Una situazione di per sé complessa che può aggravarsi specialmente se l’infrastruttura bersaglio non possiede requisiti di sicurezza adeguati e/o chi è posto alla sorveglianza di essa non è sufficientemente preparato alla gestione di un macro-scenario di crisi con innumerevoli effetti spesso non prevedibili.
