È un quadro dalle molte sfumature quello tratteggiato da un recente studio su come, a livello globale, le aziende Energy avvertono il cybercrime e su come sentono di potervi fare fronte, considerando atteggiamenti errati, gap e carenza di talenti.

TAKEAWAY

  • Tra chi – in azienda – il mestiere della sicurezza lo esercita e chi, invece, è spettatore, esistono delle differenze nel modo di percepire il rischio, con ricadute sul modo di trasferire ai dipendenti l’input a collaborare alla prevenzione del crimine cyber: è uno dei dati che l’indagine a cura di DNV sulla cybersecurity nel settore Energy pone in evidenza, in riferimento agli esperti di IT security e C-level.
  • La sicurezza informatica del comparto energetico soffre di alcune problematiche, tra cui un atteggiamento piuttosto passivo in fatto di prevenzione, il divario tuttora esistente tra sicurezza IT e OT, una generale carenza di competenze e una serie di vulnerabilità nella catena di approvvigionamento, emersa dall’indagine come l’anello più debole della security delle aziende del settore.
  • Tra le azioni da mettere in pista per sciogliere tali nodi, innanzitutto un approccio proattivo sostenuto da budget destinati alla sicurezza IT e OT, un focus sulle aree più a rischio (possibilmente prima del focus degli hacker) e la ricerca di un equilibrio tra investimenti negli aggiornamenti tecnologici e l’ampliamento dei programmi di formazione in materia di cybersecuity.

Che cosa accadrebbe se, nel nostro paese, si verificasse un improvviso attacco sul fronte cybersecurity a una delle maggiori aziende nel settore energetico, depredandola di dati e di informazioni sensibili dai suoi ambienti IT e – cosa ancora più grave – minacciando tutta la parte tecnologica connessa e in rete, deputata alla gestione e al monitoraggio di processi, dispositivi e infrastrutture, provocando, in tutta la penisola, interruzioni nell’erogazione dei suoi servizi?

Una vaga idea la suggerisce quanto accaduto a maggio del 2021 a uno dei principali gasdotti degli Stati Uniti – Colonial Pipeline – vittima di un attacco ransomware che ha costretto la società a interrompere per giorni, in tutta la costa est degli USA, la fornitura di benzina, diesel, carburante per aerei e per le forze armate e di gasolio per il riscaldamento domestico, con tutte le conseguenze che ne sono derivate.

A livello globale, i professionisti del settore Energy hanno ben chiara la portata dei cyber-attack ai danni del comparto, al punto da «non farsi illusioni sull’entità della minaccia cyber che l’industria dell’Energia, in generale, si trova a dovere affrontare», si legge in “The cyber priority. The state of cyber security in the energy sector”, studio a cura di DNV – società attiva in ambito assurance e gestione del rischio – sul modo in cui le aziende del settore energetico percepiscono il pericolo derivante dal cybercrime e sul loro grado di preparazione nel farvi fronte.

Il documento – pubblicato a maggio 2022 – riporta i dati di un sondaggio e di una serie di interviste realizzati tra febbraio e marzo 2022, ai quali hanno preso parte 948 professionisti, compresi esperti di sicurezza IT e dirigenti presso aziende Energy con sede in Europa, Americhe, Medio Oriente, Africa e Asia Pacifico.

Più in particolare, le società prese in esame sono sia quotate in borsa che private, impegnate nella trasmissione e fornitura di energia, energie rinnovabili, petrolio e gas, con un fatturato che va dai 100 milioni di USD o meno (34%) ai 500 milioni e più (25%) durante l’ultimo anno fiscale.

Cybersecurity nel settore energetico: la percezione del rischio da parte di esperti IT e C-level

Un primo dato su cui riflettere, emerso dall’indagine in tema di cybersecurity nel settore energetico, riguarda la diversa percezione del rischio cyber da parte di due figure professionali protagoniste centrali del sondaggio e delle interviste.

In sostanza – rispetto ai dirigenti – è emersa una visione più negativa da parte degli esperti di sicurezza IT circa le minacce ai danni dalle proprie aziende.

«Coloro che possiedono un sapere specifico in materia di sicurezza informatica hanno una conoscenza diretta – e non una semplice visione di insieme – dei punti di forza e dei punti critici della propria organizzazione in fatto di IT security. Ed è tale sapere che rende queste figure maggiormente a disagio riflettendo sul potenziale rischio che un attacco informatico alla propria attività potrebbe causare alle persone, all’ambiente e ai profitti» spiegano gli analisti DNV.

Qualche dato numerico emerso: otto esperti IT su 10 (80%) concordano sul fatto che un cyber-attack creerebbe perdite finanziarie significative, rispetto al 76% dei dirigenti, mentre il 43% ritiene che potrebbe causare gravi danni ambientali (contro il 29% dei C-level).

Grafico che illustra la percezione del rischio di cyber-attack e delle sue dirette conseguenze da parte di tutti gli intervistati, degli esperti di sicurezza e dei soli dirigenti (Fonte: “The cyber priority. The state of cyber security in the energy sector” - DNV - https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).
La percezione del rischio di cyber-attack e delle sue dirette conseguenze da parte di tutti gli intervistati, degli esperti di sicurezza e dei soli dirigenti (Fonte: “The cyber priority. The state of cyber security in the energy sector” – DNV – https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).

I vertici delle aziende Energy, insomma, sono, a livello globale, consapevoli dei rischi, ma con un sentire e un’intensità che non sono quelli dell’urgenza. Il che potrebbe riflettersi negativamente sulla comunicazione interna, con un messaggio più debole da trasferire a dipendenti e collaboratori in merito alla necessità stringente di proteggere i propri sistemi informatici da minacce esterne.

Sentire e intensità che sono, tuttavia, aumentati – fanno notare gli autori del report – con lo scoppio del conflitto in Ucraina, il quale ha ispirato a tutto il comparto Energia un generale sentimento di preoccupazione e di incertezza.

Con l’inizio della guerra, «il 77% degli intervistati afferma che la sicurezza informatica è diventata una priorità più alta per la propria organizzazione rispetto a due anni fa (72%). Proporzioni più elevate anche per la preoccupazione che la propria azienda non stia facendo abbastanza per la cybersecurity (dal 41% al 46%) o che abbia investito in modo insufficiente nella sicurezza della sua tecnologia operativa (dal 36% al 40%)».

Quattro criticità sulle quali intervenire

Come spesso accade quando si realizzano ricerche qualitative, che non puntano a “misurare”, bensì a esplorare, a comprendere il perché di un dato fenomeno, a studiare le dinamiche interne di un dato settore, emergono alcuni chiaroscuri che, se interpretati nel modo corretto e correlati all’insieme, aiutano a rendere più preciso il quadro complessivo al quale si sta lavorando.

In particolare, l’indagine in tema di cybersecurity nel settore energetico ha rilevato aspetti, a prima vista, contraddittori, come già emerso a proposito della percezione del rischio: elevata se riferita all’insieme dei professionisti che operano nel settore, moderata, invece, se riferita a due figure professionali distinte.

Un’altra apparente incoerenza è data dalla poca reattività – da parte delle aziende che hanno preso parte alla ricerca – nel loro approccio alla sicurezza informatica, pur consci della minaccia cyber sempre più crescente.

Ma vediamo insieme, una ad una, le quattro criticità alle quali – in base ai dati raccolti dall’indagine – è necessario fare fronte per elevare il livello di sicurezza delle aziende Energy.

1) La convinzione di essere inattaccabili

In tema di cybersecurity nel settore energetico, sei dirigenti intervistati su dieci riconoscono che la propria azienda – rispetto al passato – è più vulnerabile agli attacchi, eppure, di questi, solo il 44% prevede di apportare miglioramenti urgenti nei prossimi anni, per prevenire cyber-attack. Addirittura:

«Un dirigente su tre (35%) afferma che la propria organizzazione dovrebbe essere colpita da un grave incidente prima di spendere altro denaro per le sue difese. Pensiero, questo, più diffuso in Medio Oriente e Africa (44%) che in Europa (29%) e nelle Americhe (39%), nonostante gli intervistati in Medio Oriente abbiano maggiori probabilità di aspettarsi, nei prossimi anni, un grave incidente informatico nel settore»

Una spiegazione di questa apparente passività a investire nella security risiede nel fatto che la maggior parte dei C-level ritiene la propria attività come invincibile, inattaccabile da parte di cyber criminali.

Si tratta, in realtà, di un meccanismo psicologico teso a rimuovere il problema ricorrendo alla fatalità: “non investo in ulteriori soluzioni di cybersecurity, perché non ne ho bisogno, perché, finora, alla mia azienda, non è mai accaduto nulla”. Questo è l’assioma. E infatti, nel report si legge:

«Meno di un dirigente su quattro (22%) afferma che la propria organizzazione è stata oggetto di una grave violazione negli ultimi cinque anni. Inoltre, percentuali relativamente basse affermano di aver subito impatti negativi da tentativi di violazione sui propri ambienti IT (40%) e OT (28%)»

2) Cybersecurity nel settore energetico: il gap tra sicurezza IT e OT (Operational Technology)

In tema di cybersecurity nel settore energetico, un’altra non-linearità emersa dal sondaggio – spiegano gli analisti DNV – riguarda il divario tra la maturità dell’ambiente IT e quella dell’Operational Technology (OT), ossia della parte relativa alle tecnologie operative, comprendente hardware e software, per la gestione e il monitoraggio di processi, dispositivi e infrastrutture inerenti alla trasmissione e alla fornitura di energia.

Nel settore, da sempre, notano gli autori del sondaggio, «esiste un abisso di maturità tra i due domini, che corrisponde a circa quindici anni di sviluppo e di investimenti». «Per quanto riguarda i dati e le informazioni, le priorità, sotto il profilo della sicurezza, sono la riservatezza, l’integrità e la disponibilità. Dal lato OT, invece, sono sicurezza, affidabilità e produttività delle macchine, tradizionalmente gestite da ingegneri, il cui core business non è mai stato la sicurezza informatica».

Solo quattro intervistati su dieci ritengono che la propria organizzazione sia ben preparata per un attacco al proprio ambiente OT. E meno della metà (47%) considera la propria sicurezza OT forte quanto quella IT. Di conseguenza, quattro su dieci (38%) ammettono di non aver investito quanto necessario nella sicurezza dell’Operational Technology.

Grafico che illustra le percentuali di coloro che - suddivisi per segmenti del settore Energy - affermano che la sicurezza OT della propria azienda è solida quanto la sicurezza IT (Fonte: “The cyber priority. The state of cyber security in the energy sector” - DNV - https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).
Percentuali di coloro che – suddivisi per segmenti del settore Energy – affermano che la sicurezza OT della propria azienda è solida quanto la sicurezza IT (Fonte: “The cyber priority. The state of cyber security in the energy sector” – DNV – https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).

3) La carenza globale di competenze

Se la carenza di competenze in materia di cybersecurity rappresenta una sfida globale in tutti i settorinel comparto Energia, dove c’è richiesta di talenti che possiedano conoscenze specifiche sia nella sicurezza di domini IT che OT, lo è in modo ancora più evidente.

Circa il 78% degli intervistati afferma di ritenere «la formazione una priorità di spesa nei propri budget per la sicurezza informatica, attualmente superiore a quella relativa all’assunzione di nuovi specialisti IT (65%) e OT (55%)».

Più in generale, i risultati del sondaggio pongono in evidenza la necessità, per il settore Energy, di incorporare un numero sempre maggiore di esperti di sicurezza informatica all’interno della forza lavoro. Ma con delle differenze.

«Alcune aziende del comparto hanno a malapena un team IT.  Ed è il segmento delle energie rinnovabili – sottolineano gli analisti – quello maggiormente carente sotto questo aspetto, col rischio che i dipendenti commettano un passo falso in fatto di security, con solo un intervistato su cinque che afferma di sapere esattamente come intervenire in caso di minaccia cyber».

Una possibile soluzione in risposta a tale criticità – osservano gli autori dello studio – potrebbe derivare dal fare in modo che la sicurezza informatica diventi “la priorità” di tutti i dipendenti, una materia che, chi opera nel business, debba necessariamente conoscere, un sapere trasversale in azienda.

Grafico che illustra percentuali di coloro che - suddivisi per segmenti del settore Energy - affermano di sapere esattamente che cosa fare di fronte a un potenziale attacco informatico (Fonte: “The cyber priority. The state of cyber security in the energy sector” - DNV - https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).
Percentuali di coloro che – suddivisi per segmenti del settore Energy – affermano di sapere esattamente che cosa fare di fronte a un potenziale attacco informatico (Fonte: “The cyber priority. The state of cyber security in the energy sector” – DNV – https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html?utm_source=DNV-home&utm_medium=heroCarousel).

4) Le vulnerabilità della supply chain

In tema di cybersecurity nel settore energetico, quella della sicurezza informatica lungo le catene di approvvigionamento – dalle dimensioni globali e sempre più complesse, spesso basate sul supporto di terze e quarte parti – è un’area in cui gli intervistati appaiono meno sicuri nel rispondere, «meno propensi a definirsi forti nella supervisione della sicurezza».

Solo il 28% dei professionisti che hanno preso parte all’indagine afferma che la propria azienda si sta focalizzando sulla sicurezza informatica della propria catena di approvvigionamento, investendo in soluzioni atte a proteggerla.

E, allo stesso tempo, «solo il 12% delle società che operano in ambito OT e il 13% di tutte le altre società classificano la supervisione dei fornitori tra le loro principali aree di maturità. Dato – questo – che scende all’8% nel settore petrolifero e del gas».

Il rischio concreto è che i fornitori di apparecchiature potrebbero non disporre degli esperti, dei processi o delle tecnologie atte a dimostrare la sicurezza dei propri servizi. Di conseguenza, le aziende Energy potrebbero non essere consapevoli delle vulnerabilità a cui sono esposti attraverso la propria supply chain.

Cybersecurity nel settore energetico: tre azioni da compiere subito

Posto che, per ogni azienda, la sicurezza informatica rimanda a un percorso dalle tempistiche e dalle modalità differenti e che non esiste un preciso traguardo finale – raggiunto il quale l’organizzazione è al sicuro – ma che si tratta, invece, di un processo continuo nel tempo, gli autori della ricerca in tema di cybersecurity nel settore energetico raccomandano di adottare tre principi generali, a supporto di quelle realtà che intendono intervenire in merito alle criticità evidenziate.

Pianificare budget destinati alla security

In un settore – come quello Energy – attualmente chiamato a investire in importanti programmi di digitalizzazione e di transizione energetica – molte aziende potrebbero avere difficoltà a riservare i budget necessari per migliorare le proprie capacità in termini di cybersecurity (circa un intervistato su tre, in media, afferma di investire in modo insufficiente nella sicurezza IT e OT).

Per non pochi dirigenti, inoltre, vige ancora la vecchia mentalità per cui investire in security significa essere “conformi” alle normative vigenti e, dunque, al riparo da sanzioni.

Eppure l’esortazione è quella ad andare oltre la semplice compliance, per abbracciare un approccio proattivo che, naturalmente, necessita di un budget. E il suggerimento agli esperti di sicurezza – nel confrontarsi, sul tema, con i dirigenti – è quello di «parlare la lingua del business, al fine di garantire maggiori investimenti».

Cybersecurity nel settore energetico: uno sguardo ampio sui propri punti deboli

In tema di cybersecurity nel settore energetico, uno dei compiti più urgenti – come emerge dallo studio DNV – è identificare in quali operatività e in quali progetti le aziende sono maggiormente esposte alle minacce, «prima che siano gli hacker a scoprirlo».

«C’è bisogno di una panoramica completa, di una supervisione di vasta portata dei sistemi informativi e dei sistemi di monitoraggio, propri e di quelli dei fornitori. Garantire la sicurezza delle piattaforme tecnologiche può essere vano se ci sono vulnerabilità in altre parti della catena di approvvigionamento e se la sicurezza informatica non è stata adeguatamente presa in considerazione nei contratti con fornitori e subappaltatori» puntualizzano gli analisti DNV.

Equilibrare gli investimenti in tecnologie e formazione

Gli intervistati hanno indicato come più “maturi”, in termini di sicurezza, quegli ambiti di intervento dedicati agli aggiornamenti dei sistemi IT e dei software di base (59%) rispetto a quelli dedicati, invece, alla formazione del personale (41%) e all’introduzione – in azienda – di talenti dediti alla sicurezza informatica (25%).

Da tali risposte, sembra si dedichi meno attenzione allo sviluppo di una forza lavoro esperta nell’identificazione e nella corretta comprensione delle minacce, oltre che nel rilevamento e contenimento degli attacchi.

Tuttavia, le organizzazioni, oggi, presentano vulnerabilità nella loro forza lavoro, soprattutto quando si tratta di rispondere a un attacco informatico in corso. L’esigenza attuale prevede si sposti l’equilibrio, in modo che l’attenzione venga distribuita in modo più armonico su queste due aree critiche, ovvero investimenti negli aggiornamenti tecnologici e ampliamento dei programmi di formazione.

Scritto da:

Paola Cozzi

Giornalista Leggi articoli Guarda il profilo Linkedin