Energia e acqua, record di attacchi alle infrastrutture critiche: la nuova frontiera della difesa cyber

Il contrasto al cybercrimine non conosce pause e vive di attacchi e contrattacchi, al mutare continuo degli scenari di una sfida che è sia globale che locale. Nel mirino di hackers e cybercriminali finiscono indifferentemente istituzioni, imprese e cittadini, come fotografato dal consueto dossier del Viminale che ha rilevato oltre 19 mila cyberattacchi in Italia tra gennaio ‘23 e luglio ‘24 (in media 33,5 al giorno). I rischi interessano tutti quei settori che poggiano diffusamente le proprie attività su sistemi digitalizzati, quasi la totalità, data l’interdipendenza crescente tra gli ecosistemi informatici (IT, information technology) e quelli di produzione fisica (OT, operational technology). E quanto più la superficie d’attacco si allarga, tanto più la cybersecurity diventa una componente imprescindibile anche in chiave sostenibilità. In questo senso, diventa essenziale un approccio di tipo “olistico” nel progettare i sistemi di difesa, per proteggere quell’insieme, eterogeneo e interconnesso, di potenziali obiettivi, istituzionali, economici, ma anche ambientali (definiti dall’ONU “Sustainable development goals”, SDGs).

Rapporto Clusit 2024: dati sull’andamento dei cyberattacchi

Il Clusit ha recentemente pubblicato un approfondimento Energy & Utilities, in appendice al rapporto annuale 2024. Il rapporto poteva far ben sperare a vedere i dati relativi al 2023: -15% degli attacchi andati a buon fine in ambito Energy & Utilities. Tuttavia, emerge come nei primi tre mesi del 2024 siano stati registrati più della metà degli attacchi dell’intero anno passato. Tra le tecniche utilizzate, il malware ha causato il 60% degli incidenti nel 2023, impennandosi fino al 96% nel 2024. Punto di ingresso delle minacce è spesso la presenza di vulnerabilità del sistema (13% nel 2022, 11% nel 2023). Nel 2024 inoltre per la prima volta si osserva una flessione degli impatti Critical, con gli High protagonisti e nessuna offensiva di basso impatto. Che il cybercrimine sia un fenomeno globale lo si osserva anche da uno studio sulla distribuzione geografica: Europa ed Americhe si dividono l’80% dei casi, mentre nel resto del mondo si osserva da una parte una riduzione in Asia, dall’altra una forte crescita in Africa (fonte: Clusit).

Il quadro normativo europeo e nazionale

Le crisi sullo scenario geopolitico internazionale e l’evoluzione continua del cybercrimine richiedono adeguate contromosse su più livelli, a cominciare da quello normativo. La decrescita del numero degli incidenti rilevata nel 2023, e degli impatti nel 2024, sembra validare le azioni intraprese negli ultimi anni. Dall’Unione Europea, forte è stato l’impulso impresso dalla Direttiva 2022/2555. Entrata in vigore a inizio 2023, la NIS2 ha aggiornato le norme in materia di cybersicurezza che l’UE aveva introdotto nel 2016. Agli Stati membri è stato chiesto, oltre al recepimento entro ottobre 2024, di proteggere con misure specifiche gestori e fornitori di servizi essenziali e critici. A partire da gennaio 2024 è entrato poi in vigore il Regolamento 2023/2841 che punta su un approccio multirischio, con l’adozione di misure tecniche, operative e organizzative proporzionate alle minacce. Forte l’attenzione verso quei sistemi che gestiscono informazioni classificate (ICUE), per i quali ora può essere richiesto l’intervento del CERT-UE (Computer Emergency Response Team dell’UE). Istituito anche l’IICB (Interinstitutional Cybersecurity Board), organo collegiale con funzioni di direzione strategica e supervisione dell’attuazione del Regolamento stesso. Sul fronte nazionale, il nuovo Piano Triennale 2024/2026 per l’Informatica nelle Pubblica Amministrazione ha introdotto, tra gli altri, il principio della “Sostenibilità digitale”, secondo cui “le PA devono considerare l’intero ciclo di vita dei propri servizi e la relativa sostenibilità economica, territoriale, ambientale e sociale, anche ricorrendo a forme di aggregazione”. A luglio 2024 è entrata poi in vigore la Legge sulla Cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Il testo, che integra i requisiti più stringenti della NIS2, ha consolidato la protezione delle infrastrutture digitali critiche, la resilienza delle PA, potenziando al contempo il ruolo dell’ACN e introducendo anche nuove figure di reato, tra cui l’estorsione cibernetica​​.

Le minacce informatiche in ambito Energy & Utilities

Il cybercrime si è confermato nell’ultimo anno causa principale di incidente nei settori dell’Energia e delle Utilities. Tra le minacce più attive si sono messi in luce entità come “Information Warfare ed Espionage”, “Sabotage” o “Hacktivism” (18% di incidenza nel 2023). A prescindere dalla tipologia degli attacchi e dai suoi attori (spesso anonimi o nascosti dietro altre sigle), peculiarità di questi settori sono i cosiddetti “effetti a cascata”, le cui ricadute arrivano a danneggiare anche ambiti distanti o complementari. Una dinamica particolarmente critica nel settore energetico è del ciclo delle acque, in cui l’interdipendenza tra cybersicurezza integrata IT/OT e sostenibilità si declina in un delicato equilibrio di sistema che coinvolge ambiente, economia e servizi alle persone. Settori per cui il monitoraggio dei trend e le analisi di rischio devono includere necessariamente anche le valutazioni di scenario e delle interdipendenze, prendendo in considerazione tutta la potenziale propagazione degli impatti indiretti. Principi questi che guidano sin dalla sua nascita nel 2016 un’eccellenza italiana della cybersicurezza come Gyala, nata dall’esperienza dei suoi fondatori in ambito difesa e che ha saputo imporsi in un mercato altamente tecnologico e competitivo: “Crediamo fermamente che la sostenibilità possa trovare nella tecnologia un elemento abilitatore e attuatore – ha affermato Nicola Mugnato, CTO & Founder di Gyala –, e riteniamo che le tecnologie per la cybersecurity siano un volano per lo sviluppo del Paese, collaborando alla protezione delle istituzioni e delle singole aziende, e stimolando il circuito dell’economia, del benessere e della crescita”.

Case history: infrastrutture idriche e sicurezza informatica negli Usa

Un caso di scuola sugli stretti legami tra ecosistemi IT e OT, e sulle connessioni globali del fenomeno cybercrime, è l’impennata di attacchi alle infrastrutture idriche negli Stati Uniti. Una minaccia nuova per una funzione essenziale pubblica, anche con potenziali e rilevanti danni finanziari. L’allerta è scattata a fine novembre 2023, quando il gruppo filo-iraniano Cyber Av3ngers colpisce la rete idrica di una città a nordovest di Pittsburgh. Sulla loro pagina X CyberAv3ngers dichiara poi di mirare anche a siti israeliani di acqua ed energia, tra cui dieci stazioni di trattamento dell’acqua. La minaccia è presa seriamente in considerazione negli Usa, tanto che il 18 marzo 2024 l’Epa (Environmental Protection Agency) e il Consigliere per la sicurezza nazionale, Jake Sullivan, esprimono apprensione per una “probabilità alta di nuovi attacchi”. Si parla anche degli hackers cinesi di Volt Typhoon pronti a minacciare l’interruzione di altre infrastrutture idriche statunitensi. Considerate anche le diffuse tensioni geopolitiche internazionali, l’amministrazione Biden sollecita a fare di più per tutelare gli impianti idrici e delle acque reflue. Livelli di allerta innalzati, dunque, e per scongiurare una possibile escalation, il 21 febbraio Epa, Cisa (Cybersecurity and Infrastructure Security Agency) e Fbi rilasciano una serie di raccomandazioni per potenziare la vigilanza e le misure di sicurezza (fonte: Cyber Security Italia).

L’IA al servizio della Cybersecurity e la Sovranità Digitale, il modello di Gyala  

Di fronte a questo tipo di minaccia globale e altamente imprevedibile, gli investimenti in ricerca e pianificazione della cybersecurity sono ormai imprescindibili per tutte quelle organizzazioni, pubbliche o private, attive nei settori Energy & Utilities.

In questa chiave, l’implementazione dell’Intelligenza Artificiale nello sviluppo dei nuovi sistemi di contrasto al cybercrimine e la sovranità digitale come elemento imprescindibile in un clima geopolitico altamente instabile, sono al centro delle strategie industriali dei maggiori player, come l’italiana Gyala.

“Operiamo in piena conformità con le disposizioni e i requisiti definiti dall’ACN e abbiamo una consolidata esperienza in ambito Health, Defence, Marine, Energy e Industry” – ha detto Andrea Storico.

Per ognuno di questi mercati, Gyala ha sviluppato un prodotto a partire dalla tecnologia proprietaria Agger. Agger è un prodotto sviluppato interamente in Italia, quindi non solo rispetta tutte le normative italiane ed europee, ma offre anche un importante vantaggio in termini di sovranità digitale e sicurezza geopolitica. I nostri clienti possono affidarsi a una soluzione che non presenta rischi associati a software provenienti da paesi stranieri.

Grazie a sofisticati algoritmi IA di derivazione militare, Agger è inoltre in grado h24 di prevenire, identificare e neutralizzare ogni anomalia e minaccia informatica, massimizzando la resilienza IT/OT con contromisure immediate e automatiche.

Si tratta di una piattaforma “all-in-one” per ogni tipo di dispositivo e sistema operativo, che unisce le funzionalità di EDR (Endpoint Detection and Response) e NSA (Network Security Appliance) in grado di rilevare in automatico h24 ogni tipologia di anomalia o attacco (dai malware/ransomware, fino ai più sofisticati “Zero Day Attack”, APT). “Siamo l’unico vendor di Cybersecurity ad aver portato l’automazione dei processi di Detection e Reaction anche all’interno dei singoli agent. Per questo continuiamo a sviluppare soluzioni di Automatic Cyber Defense IT e OT, basate sulla conoscenza dei nostri esperti dei contesti operativi dei clienti e potenziate dall’ Intelligenza Artificiale – ha concluso Nicola Mugnato, CEO & Founder di Gyala –. Vogliamo un mondo resiliente agli attacchi informatici e lavoriamo costantemente per ottenerlo”.