Il Cnr-Ircres, su incarico del Naruc (la National Association of Regulatory Utility Commissioners degli Stati Uniti), ha preparato il volume di linee guida "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", curato da Elena Ragazzi, concepito come uno strumento pratico che le autorità di regolamentazione possono utilizzare per rafforzar i sistemi elettrici nei confronti di cyber-attacchi
Nel novembre 2018 l'Istituto di ricerca sulla crescita economica sostenibile, del Consiglio nazionale delle ricerche (Cnr-Ircres) ha firmato un contratto con la National Association of Regulatory Utility Commissioners degli Stati Uniti (Naruc) per lo sviluppo di linee guida (www.naruc.org/international/news/evaluating-the-prudency-of-cybersecurity-investments-guidelines-for-energy-regulators/) volte a supportare la cybersicurezza dei sistemi elettrici (impianti di generazione, reti di trasmissione e distribuzione) nei Paesi dell'area del Mar Nero: Armenia, Georgia, Moldavia e Ucraina. Il contratto è finanziato dall'agenzia di sviluppo internazionale degli Stati Uniti (U.S. Agency for International Development - Usaid www.usaid.gov).
Da dicembre 2016, il Naruc collabora con le autorità di regolamentazione, provenienti da tali Paesi, e successivamente dall'area dei Balcani, nell'ambito della 'Europe and Eurasia Cybersecurity initiative' sostenuta da Usaid. Questa partnership ha lo scopo di aiutare le autorità di regolamentazione e gli operatori elettrici (le imprese e gli enti che operano nel settore elettrico), a sviluppare un quadro di politiche regolatorie per la sicurezza informatica che stabilisca gli standard di base, le capacità minime di difesa e diffonda buone pratiche presso gli operatori stessi.
In questo contesto, lo sviluppo di linee guida per la cybersicurezza permette di fornire alle autorità di regolamentazione dei Paesi di economie in transizione, in particolare ma non solo, gli strumenti metodologici per guidare il miglioramento della sicurezza e della resilienza del settore energetico contro l'emergente minaccia di attacchi informatici.
Man mano che i sistemi elettrici si modernizzano, digitalizzano e si integrano, risultano, infatti, sempre più esposti a ulteriori vulnerabilità che possono essere sfruttate per gli attacchi informatici. "L'esempio dell'Ucraina, che è stata oggetto di ripetuti attacchi informatici, il più grave dei quali ha portato al primo caso documentato di blackout causato da attacco cyber, ha dato concreta evidenza di quanto gli esperti da tempo evidenziavano, ovvero che i cyberattacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l'economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Le minacce ai sistemi di controllo non vengono solo dai cyberterroristi; la guerra freddacibernetica è uno strumento usato per marcare il controllo delle aree influenza geo-politica. La cybersicurezza, lungi dall'essere un mero problema tecnico-economico, è un tema che arriva a chiamare in causa anche la difesa della democrazia e dell'indipendenza delle nazioni", spiega la curatrice del progetto Elena Ragazzi, ricercatrice Cnr-Ircres.
Le autorità di regolamentazione dell'energia svolgono un ruolo unico nel campo della sicurezza informatica. Sebbene l'attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori, le autorità di regolamentazione hanno l'obbligo di garantire che gli investimenti effettuati in nome della sicurezza informatica e finanziati mediante tariffe, siano ragionevoli, prudenti ed efficaci. Le autorità di regolamentazione in Europa, nella regione dell'Eurasia e nel resto del mondo si sono a lungo interrogati sugli effetti che tali investimenti producono sullaprotezione della rete.
Nella regione dell'Europa sud-orientale, in particolare nei Paesi del Mar Nero, si tratta di una questione di notevole importanza. "L'auspicio di questi Paesi di connettersi al sistema elettrico europeo, che ne accentuerebbe l'indipendenza politico-economica, non potrà avvenire prima che i sistemi nazionali che si candidano per la connessione si adeguino agli standard di sicurezza imposti dal sistema comunitario. Infatti, la vulnerabilità dello snodo più remoto di una rete interconnessa, come è il sistema elettrico, si traduce immediatamente nella vulnerabilità dell'intero sistema.Per questo saranno necessari imponenti investimenti di ammodernamento su tutti i fronti, cybersicurezza inclusa",prosegue Elena Ragazzi. "Inoltre, data la sensibilità di fronte agliaumenti tariffari dei consumatori di quei Paesi, le autorità di regolamentazione devono avere cura che gli sforzi si indirizzino verso le attività prioritarie, non trascurando criteri di efficienza. D'altronde questo è un problema da tenere d'occhio anche nel nostro Paese, dove cresce la richiesta di giustificare gli oneri di sistema, non direttamente connessi al consumo di energia, caricati nelle nostre bollette".
Il Cnr-Ircres è stato invitato a realizzare questo lavoro data un'esperienza decennale nello studio dell'economia del sistema energetico e recentemente ha anche avviato un focus sul tema specifico della sicurezza informatica. In particolare, il progetto Essence (Emerging Security Standards to the EU power Network controls and other Critical Equipment, 2011-2014, finanziato dal programma CIPS http://essence.ceris.cnr.it/) ha stimato per la prima volta costi e benefici dell'attuazione di standard di sicurezza per la protezione delle infrastrutture critiche dagli attacchi informatici. Uno studio simile non è mai stato ripetuto in seguito e quindi rappresenta un punto di partenza unico per il lavoro sulle linee guida, sia per l'approccio metodologico sia come fonte di evidenze empiriche quantitative.
Lo sviluppo delle linee guida è stato condotto con il costante coinvolgimento delle autorità di regolamentazione, operatori ed esperti, nonché fondendo competenze e conoscenze di diverse discipline. Il progetto include anche un'attività di assistenza finale che coinvolge direttamente i regolatori dell'area del Mar Nero per personalizzare i risultati e preparare la strada per l'implementazione.
Le linee guida
Le guidelines "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators" (by Elena Ragazzi (editor), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, Dennis K. Holstein) hanno lo scopo di assistere le autorità di regolamentazione nella definizione delle tariffe, stabilendo un approccio regolatorio per migliorare il livello di cybersicurezza dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande:
In conclusione, queste linee guida forniscono strumenti e approcci, discutendo spesso diverse alternative per ogni azione. Spesso viene discussa anche la filosofia alla base della loro applicazione, ma non vengono mai suggerite soluzioni 'chiavi in mano' perché le strategie regolatorie sono profondamente legate ai valori e agli obiettivi di ogni paese.
Queste linee guida sono una risorsa, unica nel suo genere, per mettere nelle condizioni le autorità di regolamentazione dell'energia di supportare e migliorare la resistenza e resilienza della rete, garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte delle loro entità regolamentate. Le linee guida, che fondono capacità e conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi piuttosto che elenchi prescrittivi o formule pronte per l'uso.
Se queste linee guida sono state sviluppate per la regione dell'Europa sud-orientale, gran parte del loro contenuto può essere applicato universalmente al fine di governare in modo più strategico un'azione di difesa che è prioritaria ma che deve essere focalizzata e integrata per poter essere efficace.
Per approfondimenti:
Le guidelines possono essere scaricate dal sito dell'Ircres www.ircres.cnr.it/index.php/it/?option=com_content&view=article&id=254:
Elena Ragazzi (ed.), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, and Dennis K. Holstein (2020). Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators, NARUC, Washington DC.
Elena Ragazzi (2020). Costs and benefits of cybersecurity regulation. The terms of a complex assessment, Appendix 1 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.
Elena Ragazzi (ed), Ugo Finardi, Alberto Stefanini (2020). Summary of the main results of the ESSENCE project, Appendix 2 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.
Ugo Finardi, Elena Ragazzi, Alberto Stefanini (2020). EPRI cybersecurity metrics, Appendix 3 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.
Daniele Benintendi and Alberto Stefanini, Elena Ragazzi (2020). Implementing a cybersecurity regulation: the OFGEM approach, Appendix 4 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.
--
www.CorrieredelWeb.it
Nessun commento:
Posta un commento