I sistemi per l'energia rinnovabile non sono diversi da altri apparati IoT, quindi come questi devono essere gestiti sotto il profilo del rischio cyber. Ecco che cosa potrebbero cercare di attaccare i cyber criminali e come difendersi.
La corsa alle energie rinnovabili potrebbe essere già entrata nel mirino dei criminali informatici. Come ogni fenomeno di massa che si rispetti – dalla pandemia al lavoro ibrido – anche l’installazione di soluzioni per generare energia senza inquinare è fra le tendenze che il cybercrime è abile nello sfruttare a proprio favore. Partendo dal presupposto che tutto ciò che è connesso a Internet è attaccabile, parchi fotovoltaici, eolici e offshore sono l’esempio più classico di sistemi che si collegano direttamente alle infrastrutture legacy delle reti elettriche nazionali ampliandone la superficie di attacco, e sono gestite e amministrate da remoto utilizzando tecnologie digitali poco sicure. La proporzione del problema è potenzialmente devastante se si calcola che, secondo alcune stime, entro il 2050 i sistemi energetici globali si baseranno per il 70% sulle rinnovabili.
Gli esperti di Barracuda hanno messo a fuoco le 10 principali aree di rischio, che evidenziano un fatto: per certi versi, i sistemi per l'energia rinnovabile non sono diversi da altri apparati IoT, quindi come questi devono essere gestiti sotto il profilo del rischio cyber. Gli attaccanti cercheranno di prendere di mira componenti vulnerabili, software privi di patch, impostazioni di default non sicure e connessioni non sufficientemente protette. La soluzione è come sempre l’approccio security first e la cyber resilienza integrata e mantenuta in ogni fase del percorso. Ecco i punti evidenziati.
Al primo posto ci sono le vulnerabilità del codice e misconfigurazioni nel software integrato. Per tenere il passo con la domanda, sovente i produttori di soluzioni per l’energia rinnovabile implementano frettolosamente le tecnologie e le applicazioni a supporto, dedicando poco tempo a integrare o testare i controlli di sicurezza. Il rischio si aggrava se il software non viene regolarmente riparato con patch e aggiornato dopo la segnalazione di eventuali bug.
L’altra questione di grande rilievo riguarda l’impiego di API non sicure. Le applicazioni basate su API possono comunicare e condividere dati e funzionalità con altre applicazioni, anche di terze parti. In mancanza di una soluzione adeguata per la sicurezza delle applicazioni web i criminali informatici possono sfruttare le API per rubare dati, infettare dispositivi e creare botnet.
Al terzo posto troviamo i rischi legati ai sistemi di gestione, controllo, reporting e analisi. I sistemi di controllo e gestione come gli SCADA (Supervisory Control and Data Acquisition) importano, analizzano e visualizzano dati provenienti da fonti energetiche. Si tratta di bersagli primari per i cyber attacchi perché consentono di accedere all’intero sistema, manipolare dati e inviare istruzioni. I sistemi che integrano dati provenienti da terze parti, per esempio dalle stazioni meteorologiche, forniscono un’ulteriore esposizione alle minacce. Rigorose misure di autenticazione - a più fattori o, ancora meglio, basate su un approccio zero-trust - abbinate a restrizioni dei diritti di accesso sono cruciali per garantire che solo gli utenti autorizzati possano entrare nel sistema.
Un’altra fonte di preoccupazione è l’automazione. I sistemi per l’energia rinnovabile distribuiti e geograficamente dislocati, specie quelli di larga scala, hanno bisogno di monitoraggio e gestione 24/7, attività sempre più automatizzate. Tuttavia, c’è il rischio che questi sistemi non siano monitorati attentamente per rilevare traffico sospetto che potrebbe suggerire la presenza di un intruso. In questi casi vengono in aiuto le soluzioni di sicurezza con rilevamento e risposta estesi e le funzionalità specifiche per la sicurezza dell’IoT.
Passiamo ai servizi di accesso remoto: le fonti di energia rinnovabile si trovano spesso in località isolate e, per questo, hanno bisogno di una qualche modalità di accesso remoto per condividere dati e ricevere istruzioni e report, per esempio tramite servizi cloud o VPN, che sono notoriamente vulnerabili agli attacchi informatici. Anche qui ricorre la necessità di misure efficaci per l’autenticazione e l’accesso.
Questo punto è direttamente connesso con il successivo, ossia l’ubicazione fisica dei sistemi, che può allungare i tempi di risposta e ripristino dopo un incidente. La logistica relativa al raggiungimento di un impianto di turbine eoliche offshore per riparare o riconfigurare dei sensori, per esempio, può essere complessa e dispendiosa in termini di tempo e denaro. Ed è improbabile che le persone inviate in siti remoti siano professionisti IT, quindi è essenziale avere una soluzione di sicurezza facile da distribuire e da sostituire, anche per personale non esperto di cybersicurezza.
Al settimo posto Barracuda evidenzia il traffico di rete: tutti i dati che attraversano la rete dovrebbero essere monitorati e cifrati. In tutti gli impianti energetici il traffico tra il dispositivo e l’applicazione centrale è spesso non cifrato e vulnerabile alle manomissioni. I dati a riposo e quelli in movimento possono essere intercettati dagli hacker, oppure i sistemi di traffico possono essere subissati di attacchi DoS. Il problema è connesso con quello della connessione Internet: le centrali elettriche tradizionali, come quelle a gas, solitamente non sono connesse a Internet e presentano un’infrastruttura isolata tramite una soluzione di air-gap, che riduce il rischio di cyber attacchi. Al contrario, la natura interconnessa delle fonti di energia rinnovabile comporta, solitamente, l’assenza di tale protezione. Tuttavia, tutti gli asset esposti sul Web dovrebbero essere messi in sicurezza.
Chiudono questa breve rassegna le infrastrutture legacy delle reti elettriche e l’assenza di normative. In merito al primo argomento, è da annotare che in molti Paesi le reti elettriche sono in larga parte obsolete, inadatte a ricevere aggiornamenti di sicurezza. Il miglior modo per proteggere questi sistemi è circondarli di misure di autenticazione e accesso affidabili. Sul fronte normativo, invece, occorrono leggi e normative (come la NIS 2.0 in Europa) atte a garantire l'esistenza di standard rigorosi per gli impianti di energia rinnovabile, anche quelli più piccoli. Inoltre, la tecnologia per le rinnovabili si sta sviluppando rapidamente e presenta supply chain complesse: questo può creare confusione su chi sia responsabile della sicurezza. Il modello della responsabilità condivisa, già applicato ai cloud provider, potrebbe rappresentare un buon approccio.