Al Security Summit Energy & Utilities, è stato presentato il nuovo rapporto Clusit sul settore energia, da cui emerge che i cyber attacchi sono raddoppiati nell’arco del primo trimestre del 2024 rispetto a tutto l’anno scorso.
Tuttavia, l’annus horribilis del comparto è stato il 2022, ma ci sono segnali positivi. “Infatti, il 2023 vede una decrescita, anno su anno, rispetto al 2022. E quindi l’anno scorso è andato meglio. Il problema è che nel primo trimestre del 2024 abbiamo osservato la metà degli incidenti del 2022, l’anno peggiore”, commenta Alessio Pennasilico del Comitato Scientifico Clusit.
“La tendenza che emerge dal rapporto Clusit sul settore Energy & Utilities, nel primo trimestre dell’anno”, afferma Enrico Morisi, ICT Security Manager, “è estremamente allarmante e dovrebbe scuotere le ‘fondamenta’ delle organizzazioni di questo comparto affinché acquisiscano maggiore consapevolezza dell’importanza strategica che assume lo sviluppo di un opportuno programma di sicurezza delle informazioni, per il perseguimento degli obiettivi di business”.
“I dati sugli attacchi cyber riportati nel Rapporto Clusit 2024 sul settore Energy & Utilities rivelano uno scenario particolarmente sfidante”, conferma Davide Manconi, Cyber Security Manager di Plenitude.
Ecco come il settore può correre ai ripari per mettere in sicurezza le infrastrutture critiche.
Indice degli argomenti
Report Clusit: settore energia sotto attacco
Secondo gli esperti di Clusit, Associazione Italiana per la Sicurezza Informatica, di AIPSA, Associazione Italiana Professionisti Security Aziendale e di Utilitalia, Federazione delle imprese idriche, energetiche e ambientali, sono raddoppiati gli attacchi a buon fine nel corso dell’ultimo quadriennio.
A destare preoccupazione è il fatto che nel primo trimestre 2024 si è registrata oltre la metà degli incidenti rispetto all’intero anno precedente.
“Se il trend venisse confermato, nel 2024 si correrebbe il rischio di superare il peggiore degli anni, il 2022”, mette in guardia Pennasilico. “Ma nel primo quarter, tuttavia, per la prima volta si è visto un calo degli impatti ‘Critical’, sebbene la gravità degli attacchi classificati come ‘High’ rimanga a livello d’allarme, segno che o gli incidenti sono stati meno gravi o le aziende li hanno gestiti meglio. Comunque, hanno creato minori conseguenze”.
Il report ha rilevato l’assenza di incidenti con impatto basso.
Tuttavia, le infrastrutture critiche sono nel mirino dei cyber criminali. Il comparto Energy & Utilities è allertato nella cyber difesa, soprattutto perché è un settore sensibile a livello geopolitico e sta affrontando una complessa fase di transizione energetica, in cui le risorse servono a conseguire gli obiettivi di sostenibilità indicati dall’Agenda 2030 e del REPowerEU della Commissione Europea.
I dettagli
Il 96% degli attacchi è da imputare alle attività di cyber crimine, mentre il 3,7% degli attacchi complessivi al settore è da attribuire ai fenomeni di Hacktivism.
Secondo il Rapporto Clusit, Europa e Americhe hanno archiviato il primo trimestre 2024, suddividendosi equamente l’80% dei casi analizzati, con un declino degli incidenti in Asia, ma un significativo incremento in Africa.
“La speranza è che la tendenza alla diminuzione della gravità degli attacchi registrata nel primo trimestre si confermi anche su tutto il resto dell’anno ed inizi in futuro a spostare gli impatti da High e Medium”, ha affermato Alessio Pennasilico: “Rispetto alla tendenza complessiva degli incidenti cyber monitorata da Clusit, l’andamento in questo settore appare poco prevedibile: è quindi ancor più importante che le organizzazioni del comparto Energy e Utilities non abbassino la guardia e considerino la strategia cyber prioritaria per la loro efficienza e per gli impatti possibili verso cittadini ed il Sistema Paese nella sua interezza”.
Come proteggersi
Alla tavola rotonda “Connettere Cybersicurezza e Sostenibilità nella prospettiva dei valori ESG e della transizione energetica”, è emerso che la cyber security rappresenta un fattore accelerante per implementare tecnologie energetiche innovative e sostenibili, quali le reti intelligenti e le piattaforme di energie rinnovabili.
“Non potendo escludere che gli incidenti si verificheranno, bisogna imparare a contenere gli impatti“, averte Pennasilico, “adottando una strategia moderna basata sulla prevenzione, sull’aumentare l’awareness delle persone, sul contrastare gli attacchi DDoS, adottare la crittografia eccetera”.
Un approccio zero trust e una postura di sicurezza, basata sulla consapevolezza dei rischi, uniti all’adozione delle best practice, sono la migliore arma di difesa anche per il settore Energy & utilities.
Infatti “in Plenitude siamo consapevoli di quali siano gli ambiti di cyber security su cui porre maggiore attenzione”, spiega Davide Manconi: “Per questo continuiamo ad investire in un modello Zero Trust e in sistemi di protezione basati sull’intelligenza artificiale ed effettuiamo un capillare controllo sulle terze parti, specie per i sistemi in cloud“.
“Ma la compliance aiuta le aziende aaìd aumentare la resilienza”, conclude Pennasilico, anche se non basta: “Le aziende grandi la anticipano, le piccole aspettano”.
Inoltre “è fondamentale che la cultura della sicurezza raggiunga in primis i consigli di amministrazione, per poi permeare l’intero tessuto aziendale“, conferma Morisi, “in quanto senza una forte sponsorship del board e del top management qualsiasi sforzo orientato al potenziamento della security posture di un’organizzazione sarebbe vano e destinato ad un inesorabile fallimento”.
“Le grandi aziende, anche grazie al forte impulso conseguente all’emanazione dalla direttiva europea NIS2, potrebbero svolgere un ruolo determinante, propulsivo e di traino, per le piccole e medie imprese, caratterizzate tipicamente da una maggiore inerzia, favorendo la ‘discesa’ nella filiera dei valori e dei principi propri della cultura della sicurezza”, continua Morisi.
Infine “è evidente che i framework di compliance, i capitali da investire, i commitment e, in definitiva, le sensibilità possono essere anche molto diverse. E proprio per questo, da un lato le grandi aziende dovrebbero adoperarsi per compiere un percorso insieme ai partner, con l’obiettivo sfidante di definire una visione comune, dall’altro è opportuno che la PMI divenga consapevole del fatto che trascurare la gestione dei rischi nell’ambito della sicurezza delle informazioni potrebbe rivelarsi una vera e propria ‘barriera’ d’ingresso nei mercati, concretizzandosi anche in un pessimo posizionamento nei ranking di selezione dei partner”, conclude Morisi.
“In parallelo, la gestione delle vulnerabilità e la formazione per tutto il personale, IT e non IT, rimangono temi fondamentali per mantenere un livello di protezione adeguato rispetto agli scenari attuali di attacchi sempre più diffusi”, conclude Davide Manconi, Cyber Security Manager di Plenitude.
