Le infrastrutture civili sono un bersaglio crescente degli attacchi hacker a livello mondiale e della guerra cibernetica, il più delle volte non dichiarata, che si consuma tra i governi. Il caso di Stuxnet, il malware attribuito a Stati Uniti e Israele che colpì la centrale nucleare iraniana di Natanz, è l’esempio storico più eclatante. Ma appena pochi giorni fa Tel Aviv ha denunciato un’azione ostile verso il proprio sistema idrico e senza andare troppo all’indietro si ricorda l’azione nel 2017 contro l’Ucraina. Altrove, lontano dalle faglie della geopolitica, in Alto Adige, la situazione è molto più tranquilla, anche se ci sono impianti di grande entità da proteggere: soprattutto le 34 centrali idroelettriche gestite dal gruppo Alperia, colosso dell’energia sudtirolese che rifornisce 280.000 cittadini. La rete, in gran parte controllata a distanza, richiede le più aggiornate dotazioni di sicurezza. Proprio in questo ambito l’azienda ha perfezionato l’accordo con il partner Kaspersky, multinazionale dell’informatica che ha sede a Mosca e collabora con attori del calibro di Microsoft, Intel, Ibm. L’accordo, raggiunto diversi mesi fa è stato pubblicizzato lunedì dalle agenzie. salto.bz aveva già chiesto di parlarne con Sandro Moretti, a capo della divisione Telecomunications e Teleconduction di Alperia, responsabile delle tecnologie operative (OT) del gruppo e della loro protezione. 

salto.bz: Sandro Moretti, la sicurezza è un tema che riguarda da vicino Alperia. Come si declina questo aspetto per il colosso altoatesino dell’energia?​

Sandro Moretti: prima di rispondere faccio una premessa. Il concetto in sè di protezione implica riservatezza, com’è facilmente intuibile. Determinati dettagli quindi non possono essere divulgati. Fatta questa precisazione, noi gestiamo infrastrutture critiche e la sicurezza di tali sistemi è un elemento fondamentale per la garanzia dei servizi che forniamo. Si possono illustrare i percorsi fatti e lo stato dell’arte in Alperia: il processo ci ha impegnato molto e ci impegna tutt’ora. Del resto come gruppo gestiamo la produzione e la distribuzione di energia elettrica, servizi fondamentali per la collettività.

Quali sono le vulnerabilità per il sistema di Alperia e come si difendono?

In azienda ci siamo divisi i compiti. C’è chi si occupa della sicurezza prettamente legata alle postazioni di lavoro e agli applicativi utilizzati per le ordinarie attività aziendali e poi c’è una struttura, quella di cui sono responsabile, che si occupa tra le altre cose della parte più operativa della sicurezza. Mi riferisco a tutti quei sistemi che devono garantire la funzionalità degli impianti, soprattutto dal punto di vista del telecontrollo. Le strutture infatti non sono presidiate, ma gestite da remoto.

Parliamo di infrastrutture di notevole dimensione e valore come dighe, centrali idroelettriche o c’è altro?​

Nell’insieme ci sono 36 centrali idroelettriche, dalle maggiori, vedi Cardano, alle più piccoline distribuite sul territorio della provincia di Bolzano, fino a tutte le cabine elettriche Alta tensione/Media tensione - un’ottantina, tutte telecontrollate - di Edyna, la società del gruppo che si occupa della distribuzione dell’energia. E sono compresi gli oltre 8.000 chilometri di rete elettrica di media tensione. 

L’accordo con Kaspersky cosa riguarda nello specifico?

Riguarda la parte che tecnicamente viene denominata OT, Operational Technology, diversa dalla più conosciuta IT, Information technology. Si tratta della tecnologia collegata a tutte attività che sono orientate alla gestione degli impianti di produzione o industriali (ICS-Industrial Control System). Mentre nell’Information Technology la riservatezza dei dati riveste un’importanza fondamentale, pensiamo ai dati sensibili o particolari nell’ultima normativa della privacy, e la integrità disponibilità dei dati e la loro disponibilità integrità vengono al secondo e terzo posto, nell’ambito OT l’ordine è differente. La disponibilità dei dati diventa l’aspetto fondamentale: infatti è essenziale sapere ad esempio se una centrale sta girando producendo in un dato momento, oppure se l’interruttore di una cabina è aperto o chiuso. Integrità e riservatezza vengono a seguire.

Le infrastrutture civili a livello globale sono diventate uno dei possibili bersagli della cosiddetta guerra cibernetica. Stuxnet è il caso più eclatante, ma le schermaglie tra Israele e Iran sono continue e ci sono anche gli scambi di accuse tra Ucraina e Russia. L’Alto Adige è lontano da tutto questo?​

Ce ne sono tanti, se parliamo di attacchi specifici alle infrastrutture civili. Dalle statistiche e dagli osservatori internazionali le azioni contro la parte OT sono in crescita a livello mondiale. Secondo il Global risks report 2020, realizzato dal World economic forum, la combinazione tra attacchi informatici su vasta scala e la possibile interruzione di infrastrutture critiche e reti di informazione è al secondo posto della classifica dei rischi più temuti.Per un motivo semplice. Una volta gli impianti industriali erano prevalentemente isolati ed era complicato che hacker potessero tentare di comprometterne il funzionamento, dunque la sicurezza era soprattutto fisica. Ora invece con l’avanzamento tecnologico e il telecontrollo sono stati introdotti vantaggi, ma allo stesso tempo vulnerabilità che possono diventare oggetto di attacchi cyber. Va anche considerato che rispetto alle soluzioni domestiche, pensiamo a Windows per il pc, i sistemi informatici industriali hanno una vita più lunga: 10, 15, addirittura 20 anni. Diventa quindi difficile stare al passo delle evoluzioni tecnologiche garantendo la fruibilità dell’investimento da parte dell’azienda. Insomma, si è visto come alcune vulnerabilità siano state facilmente attaccabili.

In Alto Adige si sono mai verificati attacchi?​

Per fortuna non abbiamo mai avuto problemi e non abbiamo mai subito azioni ostili. Facendo gli scongiuri del caso, siamo comunque attenti. Nel contesto globale purtroppo gli episodi non mancano: c’è il caso di Stuxnet, forse il primo di questo genere, ma in Ucraina in tempi abbastanza recenti hanno fermato tutta la rete di distribuzione elettrica riuscendo a interconnettersi con i siti di gestione e cambiando le password di accesso. Questo per dire che il mondo OT è sempre più soggetto a minacce.

Perché la scelta di Kaspersky?​

Noi abbiamo iniziato a indagare a livello dei maggiori fornitori di soluzioni di sicurezza su quali potessero essere più affini alle nostre necessità. Kaspersky, come abbiamo appurato già alcuni anni fa, ha sviluppato prodotti specifici per la sicurezza del mondo OT, implementati appositamente per essere compatibili con sistemi utilizzati negli ambiti industriali. Questo ci ha naturalmente interessato molto. Abbiamo approfondito con diversi incontri, di cui uno anche a Mosca, e abbiamo capito che potevano essere le soluzioni adatte al caso nostro.

Si può dire a quanto ammonta l’investimento di Alperia in sicurezza?​

L’ordine di grandezza si avvicina ad un centinaio di migliaio di euro nel 2019, solo per apparati e soluzioni specifiche per la sicurezza. Poi per garantire la perimetrazione, dunque altri aspetti mirati ad evitare gli attacchi, abbiamo speso di più. Nel caso dei prodotti Kaspersky dedicati al mondo ICS, non si tratta di un mero anti-virus basato su sistemi euristici e di valutazione di cosa può succedere, ad esempio rispetto a quello che è successo nel passato, in gergo tecnico le signature. Ma ci sono anche aspetti statistici per valutare le pericolosità specifici per garantire la sicurezza anche di sistemi più datati e per evitare blocchi intempestivi delle macchine e dei servizi.

Non è un semplice antivirus insomma.

No, affatto, è un sistema molto più evoluto. La soluzione Kaspersky è stata valutata con un PoC, Proof of Concept, che ha dato esito positivo, cioè ha dato i risultati attesi, e dunque abbiamo deciso di adottarla.

Avete valutato il fatto che in tema di attacchi hacker i russi non godono di buona fama, basti pensare al Russiagate e alle accuse mosse dagli Stati Uniti?​

Abbiamo valutato anche questi aspetti, ma in azienda siamo abbastanza liberi da questo punto di vista e abbiamo analizzato a fondo le specifiche offerte di prodotto da parte di fornitori qualificati. Inoltre, in Alperia usiamo tecnologie americane riguardo ai firewall, abbiamo il sistema russo per la parte antivirus e prodotti cinesi per la connettività. In maniera attenta abbiamo sempre cercato di trovare il meglio rispetto alle nostre esigenze, al di là delle questioni di tipo politico o geopolitico.

La sicurezza si misura sui fatti?​

È un aspetto molto delicato che richiede investimenti e capacità forti: nel mio gruppo posso contare su tecnici molto competenti, i quali quotidianamente controllano che tutta la situazione sia sotto controllo. Siamo in 14 e ci occupiamo non solo di sicurezza ma anche di networking e di tutta la filiera del telecontrollo. Ci siamo dotati di strumenti specifici per monitorare ed analizzare la situazione in tempo reale (SIEM, sonde protocollari, firewall, ecc.) con invio automatico di segnalazioni in caso si situazioni anomale o sospette. Ricorriamo anche assessment effettuati da specialisti del settore per verificare che il nostro operato sia allo stato dell’arte e analisi di threat intelligence. La sicurezza assoluta non esiste e, come indicato in un convegno da Eugene Kaspersky (fondatore dell’omonima azienda), bisogna fare in modo che un attacco sia per gli hacker più oneroso di quanto ci possano guadagnare.