Di Bob Yeager
Per molti aspetti, la trasformazione digitale è un’arma a doppio taglio per i settori dell’energia e dell’acqua.
Da un lato, gli incredibili progressi tecnologici – tra cui la convergenza di tecnologia informatica (IT) e tecnologia operativa (OT), la migliore connettività, l’accesso semplificato a set di dati più grandi e altro ancora – hanno rivoluzionato la capacità di comuni e servizi di pubblica utilità di ottimizzare le operazioni, gestire in modo sicuro le risorse energetiche distribuite e continuare a generare energia affidabile e a basso costo e a produrre acqua pulita.
Dall’altro lato, quando i fornitori di energia e acqua trasformano le proprie operazioni per sfruttare i vantaggi di cui sopra, diventano sempre più vulnerabili ad attacchi e minacce alla sicurezza informatica, soprattutto se non hanno l’approccio o il partner giusto che li aiuti a proteggersi.
Gli attacchi alla sicurezza informatica contro infrastrutture critiche sono in aumento. L’Agenzia per la protezione dell’ambiente degli Stati Uniti ha pubblicato un memorandum sottolineando la necessità di verificare le pratiche di sicurezza degli impianti idrici locali, mentre Dragos, azienda leader nella sicurezza informatica per l’industria, ha segnalato recentemente il continuo aumento degli attacchi nel settore dell’energia.
E con l’aumentare degli attacchi, i costi fanno altrettanto. Si prevede infatti che gli attacchi e le minacce annuali globali alla sicurezza informatica avranno un costo a livello mondiale di 8 trilioni di dollari nel 2023, 5 trilioni di dollari in più rispetto ai 3 del 2015, dato che secondo le previsioni è destinato a raggiungere i 10,5 trilioni di dollari entro il 2025.
Con più risorse energetiche distribuite (DER), come parchi eolici, impianti solari e micro-reti che forniscono a loro volta energia rinnovabile alla rete che alimenta le infrastrutture critiche, esiste un potenziale ancora maggiore per gli hacker di interrompere a distanza il flusso di elettricità. Il Dipartimento dell’energia degli Stati Uniti ha dichiarato in un rapporto del mese di ottobre che le DER “fanno emergere sfide alla sicurezza informatica della rete elettrica” e dovrebbero essere progettate pensando prima di tutto alla sicurezza.
Così, assistendo all’attuale realtà degli hacker, che diventano più scaltri, utilizzano tecniche più sofisticate e, in molti casi, si evolvono e innovano più rapidamente delle aziende a cui puntano, ci si chiede che cosa possano fare le imprese per respingere i loro attacchi.
Un approccio alla sicurezza informatica basato sul rischio
Indipendentemente dal settore, l’adozione di un approccio basato sul rischio può aiutare le aziende a identificare le potenziali vulnerabilità e a proteggersi di conseguenza, oggi e in futuro. Un approccio basato sul rischio non mira a proteggere da tutte le minacce, bensì a identificare le potenziali vulnerabilità e a prendere decisioni strategiche basate sulla probabilità e l’impatto di ciascuna vulnerabilità.
Nel potenziare gli sforzi per la sicurezza informatica, è opportuno prendere in considerazione alcune buone pratiche finalizzate a mettere in atto un approccio olistico e in costante evoluzione:
Valutare il rischio.
Le valutazioni del rischio forniscono alle aziende informazioni critiche che le aiutano giocare d’anticipo. Eseguendo una valutazione, si determina la disponibilità degli elementi chiave della sicurezza informatica, tra cui sicurezza di rete, gestione dei dati, protezione perimetrale e altro ancora, e si ha una visione più chiara dello stato complessivo della sicurezza del sistema.
Restringere l’accesso al sistema.
Le misure di sicurezza possono essere scomode e si potrebbe avere la tentazione di ridurle, ma gli hacker contano proprio su questo. Bisogna fare in modo di mantenere un accesso ristretto al sistema, assicurandosi che il personale abbia coscienza delle linee guida per la sicurezza, valutando costantemente i rischi e favorendo la creazione della giusta cultura della sicurezza all’interno dell’azienda.
Definire linee guida solide.
Anche le misure più sofisticate e sicure possono essere rese inutili dagli errori umani. Ecco perché è fondamentale istruire e responsabilizzare i dipendenti definendo solide linee guida amministrative che riducano i rischi posti da ingegneria sociale, phishing e attacchi correlati.
Aggiornare il sistema di controllo.
I tempi di inattività sono costosi e devono essere evitati il più possibile. Applicando in maniera tempestiva patch e aggiornamenti del sistema, è possibile ridurre al minimo i tempi di fermo, eliminando al contempo il rischio di avere server e workstation non protetti.
Andare oltre la protezione perimetrale.
Gli aggressori spesso presumono che la protezione perimetrale sia in atto e quindi utilizzano protocolli comuni e porte di servizio note per compromettere i componenti del sistema di controllo. Per affrontare gli attacchi mirati, è necessario controllare il perimetro del sistema e proteggere eventuali punti di ingresso potenziali distribuendo firewall personalizzabili e adattabili e cercando costantemente possibili buchi della sicurezza.
Fare in modo che l’accesso remoto sia in buone mani.
Quasi tutti i sistemi di controllo sono dotati di qualche tipo di connettività remota, ma anche se l’accesso remoto è la norma, non è detto che sia una pratica sicura. Nei sistemi in cui l’accesso remoto è obbligatorio, assicurarsi che sia monitorato e implementato in modo sicuro. È anche possibile valutare l’uso di più livelli di autenticazione per una maggiore sicurezza.
Conoscere il sistema di controllo.
Dopo aver sviluppato e distribuito il proprio approccio alla sicurezza informatica basato sul rischio, assicurarsi di monitorare costantemente i rischi lungo il percorso e identificare potenziali attacchi e minacce il prima possibile. Il miglior approccio alla sicurezza informatica deve evolversi e adattarsi costantemente.
Per le società elettriche o i servizi di pubblica utilità comunali che cercano di innovare e rimanere al passo con i concorrenti, la trasformazione digitale non è più un lusso ma una necessità. E anche se possono esserci dei rischi, questi non dovrebbero impedire alle aziende di godere di numerosi vantaggi, come una maggiore collaborazione e innovazione tra i lavoratori e miglioramenti operativi all’avanguardia.
Inoltre, nel panorama in continua evoluzione della sicurezza informatica, le buone pratiche di cui sopra sono solo un punto di partenza. Per ottimizzare davvero le operazioni e l’approccio basato sul rischio necessario per proteggerle, le società che si occupano di energia elettrica e acqua oggi stanno automatizzando e integrando il meglio possibile nelle loro attività soluzioni di sicurezza informatica leader del settore; ne è un esempio il sistema di controllo Ovation™ di Emerson, designato e certificato come tecnologia antiterrorismo qualificata dal Dipartimento di sicurezza interna degli Stati Uniti.
In ogni fase del cammino verso la sicurezza informatica, le aziende devono essere consapevoli del fatto che ci sono sempre opportunità per migliorare, evolversi e prepararsi al meglio per affrontare i potenziali attacchi o le minacce in agguato.
Gli attacchi possono verificarsi in qualunque momento. Quindi è importante prendersi sin da subito il tempo necessario per sviluppare l’approccio giusto e lavorare con il partner giusto. Questi sforzi saranno premiati.
Le nuove tecnologie promettono un miglioramento senza precedenti delle operazioni commerciali. Emerson sta aiutando i clienti a seguire il complesso percorso per raggiungere questo obiettivo.
Esplora le idee innovative, gli spunti di riflessione e le intuizioni dei leader di Emerson nei campi dell'automazione industriale, del comfort domestico e in molti altri.
