Cybersecurity nell’energia: incognite e prospettive

Crescono le minacce nella sfera cybersecurity. L’energia, e comparto collegato, non sono immuni. In generale, considerando i dati dell’ultimo rapporto Clusit 2025, presentato di recente, negli ultimi quattro anni l’escalation è stata sensibile. Se si pone attenzione al dato dei più gravi incidenti cyber noti avvenuti nel 2024 a livello globale (Italia inclusa) e si confrontano con i quattro anni precedenti, a livello quantitativo, nell’ultimo quinquennio, il numero degli incidenti rilevati è cresciuto sensibilmente: la media mensile è passata dai 156 del 2020 ai 295 del 2024.

Solo dal 2023 al 2024, l’incremento dei cyber incidenti è stato del 27%. Si è passati da 1874 incidenti nel 2020 a 3541 lo scorso anno. Nell’ultimo anno, Clusit ha registrato 3.541 incidenti, “il numero maggiore di sempre”, rilevano gli autori del report, aggiungendo che il dato è più alto delle previsioni.

Cybersecurity per l’energia: rischi contenuti, ma attenzione massima

Per quanto riguarda la cybersecurity nell’energia, tra le categorie più colpite del 2024, energy & utilities non sono tra quelle che subiscono più attacchi. Quasi la metà degli incidenti (44%) si concentra sui Multiple Targets (attacchi a obiettivi molteplici), seguiti dai settori governativo – militare – forze dell’Ordine, (18% del totale) ed Healthcare (13%). Energy e utilities compaiono più sotto, con una percentuale più bassa (1,8%).

Anche nella classifica riguardante l’Italia, la percentuale sale (2,8%), ma Energy e utilities confermano di non essere tra gli ambiti più colpiti da cyber incidenti.

Tutto bene, quindi? No. Lo stesso Clusit, nel rapporto pubblicato a marzo 2024, evidenziava che in Italia i cyber attacchi riusciti contro il settore energetico erano raddoppiati negli ultimi quattro anni, con il 90% dei casi classificati come di impatto “Critico” o “Alto”. Inoltre, nel solo primo trimestre del 2024, il numero di incidenti nel settore Energy & Utilities era aumentato di oltre il 50% rispetto a tutto il 2023.

Scrive l’associazione, a proposito: “Il cybercrime continua a essere la principale causa degli incidenti nel settore, rappresentando il motivo del 96% degli attacchi nel primo trimestre del 2024. Per quanto riguarda gli attacchi informatici e il sabotaggio fisico nel settore energetico sono stati tra i metodi utilizzati per raggiungere questi obiettivi”.

Dal 2022, secondo i dati raccolti da EnergiCERT – centro di sicurezza informatica del settore energetico in Europa – si sono registrati 48 attacchi pubblicamente noti contro aziende energetiche e di fornitura europee; 31 attacchi ransomware, di cui 13 includono furto di dati; 15 attacchi che hanno interessato la tecnologia operativa (OT) delle reti.

Cybersecurity, tema rilevante per l’UE

La Commissione UE è consapevole dell’importanza cruciale che hanno le infrastrutture energetiche. Per questo, a giugno 2024, ha organizzato un’esercitazione paneuropea per valutare la resilienza delle infrastrutture energetiche dell’UE contro attacchi informatici simulati.

La protezione delle infrastrutture energetiche dell’idrogeno è supportata da diverse normative e standard di sicurezza: tra queste c’è la NIS2, la nuova direttiva che impone a ogni Stato membro di adottare una strategia nazionale per la sicurezza informatica, che includa politiche per la sicurezza della supply chain, la gestione delle vulnerabilità e l’istruzione e la consapevolezza sulla sicurezza informatica.

Per la cybersecurity dell’energia a idrogeno, strategico in ottica energetica su cui il recente report Clusit ha dedicato particolare spazio, vanno segnalate anche lo standard IEC 62443 “Linee guida per la cyber security industriale”, e la direttiva CER (Critical Entities Resilience). Esse forniscono un quadro normativo per proteggere le infrastrutture critiche del settore energetico – incluso quello dell’idrogeno – da minacce fisiche e cibernetiche, assicurando la resilienza dei servizi essenziali, oltre a promuovere pratiche di sicurezza avanzate.

Gli elementi da considerare

Descritto il contesto, quanto è al sicuro o a rischio cybersecurity l’energia? “Premesso che tutti i settori sono a rischio cyber, quello dell’energia è in una posizione relativamente tranquilla, almeno in Italia, come evidenzia anche il Rapporto – spiega Claudio Telmon, membro del Comitato Direttivo di Clusit e consulente sui temi di rischio e sicurezza ICT –.  Nello stesso tempo vi sono stati periodi, come all’inizio del conflitto in Ucraina, in cui è stato particolarmente oggetto di attacchi. Considerata l’evoluzione dello scenario geopolitico, ragionare sulla possibile evoluzione della cybersecurity nell’energia è importante perché, nel caso di un acutizzarsi delle situazioni della tensione, è uno dei settori che potrebbe essere nuovamente oggetto di attacchi”.

La percentuale di incidenti relativamente bassa, rispetto ad altri settori, è da leggere “come un segnale di maturità e di sostanziale crescita in quest’ambito, per lo meno dal punto di vista degli operatori medio grandi, dove la situazione è migliorata rispetto agli anni passati. C’è, però, il tema ampio legato a una modalità di produzione distribuita dell’energia, che conta su una presenza sempre maggiore di piccoli impianti e dove la capacità di attenzione a queste tematiche è più limitata”, aggiunge lo stesso Telmon.

Network Code on Cybersecurity

In ogni caso, a livello di cybersecurity, l’energia è un settore dove sono in atto iniziative mirate a un ulteriore rafforzamento perché è un settore in cui gli impatti transfrontalieri sono molto importanti. Vale la pena ricordare, a tal proposito, che è in corso l’implementazione del Network Code on Cyber Security (NCCS), normativa specifica per il settore dei flussi di energia elettrica transfrontalieri, un passo importante per migliorare la resilienza informatica delle infrastrutture e dei servizi energetici critici dell’UE. NCCS intende definire un livello di cybersecurity minimo uniforme a livello europeo.

“Il settore dell’energia, comunque, è al momento relativamente resiliente agli attacchi anche perché ha fatto tesoro degli incidenti passati per migliorare il proprio livello di risposta. Gli operatori dedicano da tempo la giusta attenzione, non è certo un settore immaturo”, aggiunge Telmon.

Cybersecurity ed energia: gli elementi di maggiore rischio

Nell’analizzare il mondo energy, quali sono gli elementi di maggiore rischio e peculiari? “Il mondo dell’energia è costituita da una rete di operatori. C’è il rischio, quindi, che le fragilità di uno di essi si trasformino in impatti sistemici che rischiano di avere ripercussioni su reti e sistemi informativi – risponde l’esperto membro Clusit –. Inoltre, assume un’importanza strategica il tema della supply chain, perché interessa qualsiasi tipo di operatore i cui fornitori non hanno lo stesso livello di sicurezza. Sarà un tema su cui la Direttiva NIS2 avrà importanti riflessi, insieme al già citato NCCS”.

Tra i rischi cyber nel mondo dell’energia, le reti sono infrastrutture particolarmente importanti. “Non si tratta di elementi deboli, ma critici. Penso, per esempio, ai sistemi di controllo, che possono comportare interruzioni ed effetti a catena che devono essere gestiti”.

I potenziali elementi di fragilità e le prospettive future

Tra i vari comparti del mondo energy, quali possono essere i più critici sotto l’aspetto della cybersecurity? “Il comparto oil and gas conta su strutture, reti e aziende che hanno una storia consolidata e una elevata gestione della sicurezza. Il nucleare è un ambito in cui l’attenzione alla security, non solo cyber, è storicamente elevata. Quello delle rinnovabili è il comparto più giovane: qui si contano attori nuovi, realtà e impianti anche di piccole dimensioni dotate di minori risorse da dedicare sulla sicurezza informatica: in questo, possono esserci maggiori probabilità di incidenti significativi”, analizza Telmon, che poi focalizza gli elementi su cui si concentrerà l’attenzione presente e futura, lato cybersecurity, anche del mondo energetico.