Gli allarmi di Swascan sul settore energia e di Leonardo sui data breach. I casi italiani e la risposta che arriva da Washington
Otto aziende su dieci del settore energia e sostenibilità italiano presentano potenziali vulnerabilità a un attacco cibernetico che, nelle ipotesi peggiori, potrebbe avere conseguenze su larga scala. Si tratta di una filiera chiave per il Paese sia perché garantisce servizi essenziali ai cittadini (tra gli altri luce, gas, acqua, gestione dei rifiuti) sia perché ha numeri di straordinaria rilevanza, con un fatturato complessivo di circa 60 miliardi, 3.800 aziende e oltre 100.000 occupati. È quanto emerge da un’analisi condotta su 20 tra le prime 100 aziende energetiche italiane per fatturato da Swascan, cyber security company guidata da Pierguido Iezzi e oggi appartenente al gruppo Tinexta, quotato sul segmento Star di Piazza Affari.
“Emergono nuovi rischi potenziali, anche come conseguenza della digitalizzazione delle imprese e delle reti energetiche e del continuo spostamento di dati su Internet, al punto che questo settore può diventare un bersaglio strategico dei cosiddetti criminal hacker, anche in chiave di conflitti geopolitici, fino a essere obiettivo di possibili atti terroristici”, ha dichiarato Iezzi. Qualche esempio? “Sfruttando questa vulnerabilità si possono lasciare al buio o senz’acqua intere aree metropolitane”, ha aggiunto l’esperto. “Oggi viviamo una realtà che è fatta completamente di elettricità e visto quanto il settore energetico è stato cruciale in tempi di Covid dovremmo prestare ancora maggior attenzione al tema. Inoltre non c’è più un tema geografico: chiunque può lanciare il proprio attacco agendo dall’altra parte del mondo”.
Il settore energetico presenta peraltro la quota più bassa di aziende virtuose (20%) tra quelle analizzante da Swascan, che in questi mesi sta passando al setaccio i principali segmenti dell’economia italiana. Quello metalmeccanico, per esempio, ha il 30% di aziende con zero vulnerabilità mentre per il marittimo si sale al 40%.
Di data breach sfruttando l’home working si occupa anche la recente analisi delle minacce cyber registrate nel secondo trimestre 2021 contenute nell’ultimo Cyber Threats Snapshot, il report realizzato dal Global Security Operation Center di Leonardo. “Dall’inizio della pandemia da Covid-19, la tendenza all’uso di tecniche di data breach è in costante crescita, visto che una percentuale significativa di aziende hanno attivato la modalità del lavoro agile con la conseguenza di essere maggiormente esposte ai danni da rischi cibernetici”, si legge.
Come reagire? Un’idea arriva dagli Stati Uniti. Nelle scorse ore il presidente Joe Biden, dando seguito a una direttiva di maggio che istituiva una sorta di versione statunitense dell’italiano Perimetro per la sicurezza cibernetica, ha firmato un nuovo memorandum sulla sicurezza cibernetica dei sistemi di controllo delle infrastrutture critiche come l’energia, il cibo, l’acqua e l’elettricità. La direttiva, siglata dopo una serie di attacchi che gli Stati Uniti hanno attribuito alla Russia di Vladimir Putin (come quelli contro l’oleodotto Colonial Pipeline e contro la più grande azienda al mondo di lavorazione delle carni Jbs) è volta a fissare standard di prestazioni per la tecnologia e i sistemi utilizzati da aziende private in questi settori.
I nuovi standard saranno volontari, ha spiegato un alto funzionario dell’amministrazione Biden. Tuttavia, lo stesso ha sottolineato che l’amministrazione può cercare soluzioni, con l’aiuto del Congresso, per richiedere il tipo di miglioramenti tecnologici che difenderebbero da certi attacchi cibernetici. E sembra proprio non esserci alternativa, visto che quasi il 90% delle infrastrutture critiche degli Stati Uniti è di proprietà del settore privato e gestito da esso.