Il prossimo 24 settembre si tiene la Seconda Conferenza nazionale sulla Cyber security dell’energia, di cui Formiche è media partner, che si svolgerà presso il CASD, Centro alti studi della Difesa (qui tutti i dettagli).
Ecco temi e obiettivi della conferenza spiegati da Diego Gavagnin di Energia Media, tra i promotori dell’iniziativa, coordinatore del Comitato scientifico.
Che senso ha una Conferenza pubblica su argomenti così delicati e soluzioni necessariamente riservate?
Partiamo dal cuore del problema. Le aziende non amano parlare degli attacchi che subiscono, perché anche quando si risolvono senza problemi si diffonde ugualmente l’idea che il soggetto sia debole, non pronto. Questo solo perché si è entrati nel mirino. Con conseguenze sull’immagine e diffusione di ansia. Ma io mi chiedo, subire attacchi informatici, nel 2015, è fisiologico o patologico?
Lei come risponderebbe?
Più se ne parla – ovviamente senza dare informazioni tecniche “utili al nemico” – e più si capiscono i contorni del problema e si diffonde sensibilità e cultura della difesa. Amministrazioni, operatori e cittadini sanno cosa vuol dire difesa dello spazio terra, mare, aria, ed infatti l’Esercito, la Marina e l’Aviazione sono nel “patto sociale”. Se la Marina vara un nuovo sottomarino il cittadino pensa di essere più sicuro, non meno. Così dovrà essere anche per il cyber spazio. Se si parte con un programma strategico mirato al settore energetico e se ne dà notizia, il cittadino-consumatore si sentirà più tranquillo e il consumatore industriale più fiducioso sulla tutela dei suoi investimenti.
Si prevedono strategie ad hoc per l’energia? Perché questo settore dovrebbe richiedere una attenzione particolare rispetto ad altri settori industriali e dei servizi?
E’ di poche settimane fa il primo incontro tra i responsabili della sicurezza energetica e di quella informatica del Ministero dello sviluppo economico con le principali società del settore. C’è una evidente esigenza, e credo la sollecitazione dell’autorità, per la condivisione di esperienze e soluzioni, anche se si tratta di imprese numerose e in concorrenza tra loro. Grandissime e piccolissime, con una abissale differenza di capacità di investimento. In altri Paesi si sta facendo.
Beh, se è il loro business sapranno bene come difenderlo. O no?
Quello dei servizi energetici è un settore industriale particolare, l’energia è un bene essenziale, circola nella società come il sangue nelle vene, si è cercato di farne un mercato come gli altri, ma la valenza sociale porta sempre le imprese a pensare che a pagare debba essere lo Stato. Ora è vero che la sicurezza è una componente del servizio e che alla fine è sempre il consumatore che paga, ma è anche qualità e ritorno sull’investimento, se fatto bene. Quindi un livello minimo di sicurezza, uno standard, deve essere se non imposto, e io credo che lo debba essere, almeno verificabile.
Non dovrebbe essere difficile, considerato che i soggetti principali sono tutti controllati da Ministero dell’Economia e CDP o dalle Giunte comunali.
Sul ruolo di azionista delle società energetiche dei Governi pro tempore io nutro sempre molti dubbi. Negli Uffici del Tesoro quanto sono sensibili e coscienti del rischio informatico rispetto alle necessità di cassa? Dividendi o investimenti? In ogni caso è solo questione di tempo e gli investimenti in cyber security dovranno emergere, se non per obbligo, perché saranno gli stessi azionisti a chiederlo. In primis i consiglieri indipendenti per capire il danno finanziario, per non parlare di quello di immagine, di un attacco andato a buon fine. Non ci vuole molto a prevedere un gran business in questo settore per le società di assicurazione! E probabilmente non tutto è assicurabile. Dei rischi finanziari c’è ormai coscienza nei CdA e nel top management, mentre il rischio cyber rimane ancora oscuro, materia per tecnici.
Certo, il membro del consiglio di amministrazione deve chiedere, per non essere un giorno considerato corresponsabile. Però non può nemmeno essere un tecnico.
Ma questi incarichi non devono più essere onorifici. I consiglieri non possono diventare dei tecnici, ma devono comprendere i rischi ed essere messi in condizione di valutare le azioni per poterli mitigare. Questo implica che vi sia un modello di governo della cyber che abbracci tutta l’azienda, non solo i dipartimenti informatici, ma anche il business e le aree produttive. E’ un salto di qualità importante, che deve essere fatto, su questo siamo ancora indietro.
In che senso siamo indietro?
E’ necessario rendersi conto dell’enormità della rivoluzione in atto nel settore energetico, con una rete in continua e parossistica espansione. Pochi anni fa i punti di produzione energetica, connessi da reti fisiche e virtuali erano poche centinaia, adesso ci avviciniamo al milione di produttori! Ma attenzione, non sono punti finali, a perdere, sono anche punti di ingresso dati che magari dalla Puglia possono arrivare ai comandi di un impianto idroelettrico alpino, passando da un allaccio in bassa tensione, in media e poi in alta, quella delle grandi reti nazionali. E a gestire molti di questi passaggi sono poi soggetti diversi, ciascuno con propri obiettivi, strategie e fornitori diversi.
Quindi? La risposta alla complessità tecnologica e al rischio informatico è il monopolio del gestore integrato?
Ci mancherebbe altro. Il problema vero è il conflitto di interesse tra chi gestisce le reti e chi le usa. In Italia con grande fatica e grave ritardo – che nell’elettrico ci è costato i blackout dell’estate 2003, ma anche quelli dello scorso luglio – siamo riusciti a separare le reti nazionali, elettricità e gas, ma non quelle locali, che dal punto di vista della sicurezza cibernetica sono molto più pericolose delle prime. Anche una colonnina di ricarica per l’auto elettrica può essere una tentazione per un hacker. E all’appello manca la rete Telecom. Ormai trasmissione di dati ed elettricità convergono in una funzione unica. Dal punto di vista tecnologico non ha più senso tenere separata l’alta dalla bassa tensione e non sfruttare le decine di migliaia di centraline tlc, tutte con la loro brava batteria e le possibili sinergie che ne conseguono.
Quindi?
Chi fa mestiere di gestore delle reti, che sarebbe quindi nella posizione migliore per la cyber security strategica del sistema, non può anche essere venditore di kilowattora, telefonia, servizi internet o metri cubi di gas. Le reti devono sempre più essere piattaforme comuni dove vincono i più bravi ed efficienti nell’utilizzarle. E premono sul gestore della rete per avere sempre più qualità.
Non mi è chiaro. Perché se l’Enel o le municipalizzate vendono elettricità questo dovrebbe fargli gestire male le reti di distribuzione?
Un esempio reale di questi giorni. L’Autorità italiana per l’energia, per opinione comune la migliore in Europa su questi argomenti, ha in consultazione pubblica una proposta sui nuovi contatori super intelligenti. Quelli che ci permetteranno di sapere e governare i nostri consumi in tempo reale dal cellulare e altri device, applicare la domotica avanzata con elettrodomestici, robot e quant’altro la fantasia ci permette di immaginare nella nostra vita in casa. Tutta roba in cui un hacker ci sguazza.
Che fare dunque?
Questi contatori possono essere chiusi, come gli attuali, gestibili solo da chi li ha messi, o aperti, utilizzabili da qualunque altro gestore di reti e fornitori di servizi vari, di ogni tipo. Contatore aperto sicuro: forse più costi ma pronti a salire sul futuro mercato dei servizi; contatore chiuso più sicuro, forse meno costi (difficili da valutare in monopolio) ma limiti ai nuovi entranti e all’offerta di nuovi servizi per almeno 15 anni.
Che rischi si corrono?
Attenzione, non stiamo parlando di tenere fuori dalla porta la bolognese Hera rispetto alla milanese A2A; no, stiamo parlando di tenere fuori dalla porta Google, Microsoft, Apple, Amazon-Tesla, i Social, e tutti gli altri che vedono un mercato energetico vecchio incapace di rinnovarsi e muoiono dalla voglia di entrarci. Ciò che conta, ai prezzi attuali, non è la commodity ma il rapporto con il consumatore cui vendere nuovi servizi. Perché fare la banda ultralarga se non è per cogliere queste opportunità?
Però tra i vari segmenti delle filiere energetiche ci sono in atto separazioni sia funzionali che amministrative.…vuol dire che non funzionano?
Io sono pronto a mettere la mano sul fuoco sulla solidità dei muri cinesi tra le attività di vendita e di trasporto e distribuzione di gas, elettricità e tlc, ma basta solo un dubbio, un sospetto, per fermare gli investimenti esteri. Siamo sicuri che le famiglie capiscano fino in fondo la differenza tra distributore e venditore? E comunque l’azionista è sempre lo stesso, lo Stato regolatore e padrone. Purtroppo anche quando guardiamo all’energia, settore nel quale abbiamo notevoli eccellenze, proprio nei settori più avanzati come le rinnovabili e le smart grid, dobbiamo metterci gli occhiali di chi legge dell’Italia sulla stampa internazionale. In ogni caso la Cyber security non può essere lo spauracchio per chiuderci al futuro, aperto per definizione.
Che risultati vi attendete dalla Conferenza?
Un risultato che può sembrare banale ma in realtà sarebbe enorme. Il consolidamento senza tentennamenti e cambi di rotta della strategia nazionale varata lo scorso anno. Finalmente, a detta degli operatori più interessati: venditori di tecnologie, e disinteressati: osservatori accademici, si vede una continuità di azione che trae impulso dalla Presidenza del Consiglio, senza però sottovalutare contributi specialistici. Nel nostro caso quelli del Ministero dello Sviluppo economico, lato Infrastrutture e lato ICT/TLC, in dialogo tra loro. Consolidamento vuol dire acquisizione di autorevolezza, ben più che autorità, soprattutto quando ci si confronta con big industriali di livello mondiale.
