Le aziende del settore energetico sono da tempo nel mirino degli hacker, in Italia come altrove. E, anche a questi servizi essenziali, sono rivolti due provvedimenti legislativi recenti: la Direttiva europea Nis e il Decreto cyber, che nella Penisola rafforzerà con elevate misure di sicurezza reti e sistemi (attraverso il Golden Power e uno scrutinio tecnologico) la cui violazione potrebbe mettere a rischio la sicurezza nazionale. Su quest’ultima misura, approdata in Parlamento, le commissioni Affari costituzionali e Trasporti della Camera stanno sentendo istituzioni, esperti e aziende per raccogliere elementi che possano evidenziarne criticità o proporre miglioramenti prima della conversione in legge. Tra queste imprese c’è Eni, major dell’oil&gas che ha redatto e depositato a Montecitorio un documento di commento al decreto.
IL PROCUREMENT
Secondo la compagnia, una prima “area di attenzione riguarda le norme che intervengono in materia di procurement”. In particolare, sottolinea il colosso dell’energia, “è auspicabile che la normativa sia opportunamente adeguata alla specificità di aziende, come Eni, che per dimensione, eterogeneità di business e presenza internazionale, devono avvalersi di servizi e know-how specialistico che può essere ottenuto in maniera efficace solo attraverso un insieme di prodotti e servizi di fornitori anche esteri”. Pertanto, si chiede che, nel regolamento attuativo del decreto, sia “chiarito l’ambito di applicazione della norma che impone di comunicare al Centro di valutazione e certificazione nazionale (il Cvcn istituito presso il Mise) l’affidamento di forniture di beni, sistemi e servizi Ict”.
Questa specifica misura, ha rilevato Eni, avrebbe “un impatto elevato sui tempi di approvvigionamento, cui si potrebbe ovviare definendo preventivamente una white list di servizi, prodotti e aziende affidabili, in modo da non rendere necessaria la comunicazione al Mise”. E per adeguarsi alla normativa, si evidenzia, potrebbe essere utile “richiedere all’operatore l’adozione di un framework risk based di cyber security che copra le aree di sicurezza indicate nel dl”. Così come potrebbe giovare “ampliare la norma ad altri paradigmi tecnologici, in modo particolare ai servizi Cloud, che estendono l’azienda oltre i confini geografici e che sono vitali ai processi di business”, prosegue ancora il documento.
LE PROCEDURE DI NOTIFICA
Eni chiede anche maggiore chiarezza sulle procedure di notifica degli incidenti, che a suo avviso devono specificare “modi, tempi e metodi di notifica, dandone una classificazione e richiedendone una segnalazione solo nei casi di particolare rilevanza”. Fondamentale, per una compagnia globale, che ci si basi “su un approccio al rischio, consentendo una flessibilità tale da essere applicabile a contesti eterogenei ed internazionali” e che si tenga conto delle dimensioni dell’azienda e del contesto industriale “nel definire eventuali tempi di adeguamento”.
HACKER VS SETTORE OIL&GAS
I cyber attacchi, è emerso dal report Regional Risks for Doing Business realizzato dal World Economic Forum intervistando 12mila manager in 8 principali aree regionali del mondo, tolgono sempre più il sonno ai manager, che nelle aree più sviluppate del pianeta li considerano ormai i rischi numero uno per le loro imprese. Questi timori sono motivati innanzitutto dall’aumento esponenziale delle offensive, rilevato anche nei dati dell’ultima edizione del Rapporto Clusit.
In questo scenario, aveva raccontato Formiche.net, è di particolare importanza la protezione di un settore strategico come quello dell’energia, a rischio di attacchi che possono essere mirati a ottenere informazioni sensibili (il cyber espionage), a ricavare un guadagno illecito o, nei casi peggiori, a bloccare il servizio per paralizzare un Paese. Lo stop alle reti elettriche in Estonia e Ucraina, i tentativi di infiltrazione in quelle americane e le tante offensive condotte proprio al settore oil in Medio Oriente hanno posto in questi anni la protezione del settore energetico in cima alle priorità di diverse nazioni.
