Il settore delle public utility costituisce un asse portante del sistema socio-economico di ogni nazione, contribuendo con infrastrutture e servizi alla crescita, alla sostenibilità ambientale e al progresso sociale, portando benefici ai cittadini e creando valore per le imprese.
Il radicamento sul territorio e la pervasività dei servizi, dalla fornitura di energia elettrica e gas, al ciclo idrico, alla gestione dei rifiuti, rendono le utility un fattore essenziale per la qualità della vita e per tutte le attività economiche.
Queste caratteristiche, tuttavia, rendono anche queste imprese molto articolate e complesse con elementi di fragilità in un mondo sempre più interconnesso e soggetto ad attacchi informatici. La resilienza delle infrastrutture delle utility diventa quindi sempre più importante a fronte sia di eventi climatici estremi crescenti che di vulnerabilità connesse allo sviluppo della digitalizzazione.
Sebbene non sia visibile, in ogni momento la rete è, infatti, attraversata da innumerevoli attacchi informatici. Attacchi provenienti da qualsiasi parte del mondo, capaci di colpire qualsiasi altra parte del mondo. Basta dare un’occhiata alle numerose mappe liberamente disponibili su Internet che tracciano in tempo reale i tentativi di attacco per rendersi conto di come il mondo digitale sia diventato un immenso campo di battaglia.
Le ragioni dietro gli attacchi informatici sono innumerevoli. In alcuni casi, lo scopo è meramente estorsivo: sono i cosiddetti attacchi ransomware, che paralizzano un sistema per ottenere il pagamento di un riscatto, o i data theft, che trafugano informazioni sensibili da rivendere al miglior offerente. In altri, invece, c’è una componente politica, economica o addirittura ideologica: parti politicamente avverse, competitor industriali o anche attivisti (i cosiddetti hacktivist, crasi di hacker e activist) possono avere interesse nel danneggiare un’azienda o uno Stato.
In questo grande campo di battaglia che è il mondo digitale, le utility si trovano in una posizione molto delicata e sono prede ambite del cybercrime. Fornendo servizi essenziali di pubblica utilità come acqua, gas, elettricità e servizi ambientali, il blocco delle loro attività ha impatti potenzialmente catastrofici, con danni incalcolabili. Si pensi, ad esempio, a un blackout, al sabotaggio di una pipeline del gas o di grandi infrastrutture idriche. Interrompere l’approvvigionamento di energia elettrica, di acqua o di gas può mettere letteralmente in ginocchio l’economia di un intero territorio o di una nazione. Gli esempi non mancano. Ad esempio, nel dicembre 2015, la rete elettrica in Ucraina è stata vittima di un attacco cibernetico che ha lasciato oltre 200.000 cittadini al buio. Recentemente, nel giugno 2021, il gasdotto americano Colonial Pipeline è stato paralizzato per giorni da un ransomware; come risultato si sono verificate gravissime carenze di gas in tutto l’Est del Paese, costringendo l’Amministrazione Biden a dichiarare lo stato d’emergenza.
Il rischio di attacchi informatici per le utility è destinato a salire. Tre i motivi principali. Innanzitutto, le utility sono un bersaglio sensibile. Come già accennato, gestiscono infrastrutture di importanza sistemica per un Paese, e come tali costituiscono l’obiettivo ideale per i cyberattacchi. La loro esposizione al rischio, di conseguenza, cresce all’aumentare della conflittualità globale. Oggi, l’agguerrita competizione economica tra Paesi, unita all’instabilità politica e al disgregarsi degli equilibri commerciali preesistenti fa sì che il numero di attori interessati a danneggiare un Paese attraverso le sue infrastrutture critiche sia in netto aumento.
La seconda ragione è che le utility sono un bersaglio “facile”’. Facile perché le infrastrutture sono in genere scarsamente difese o, in alcuni casi, del tutto sguarnite. Ciò è da ricondursi a due fattori: innanzitutto, molte installazioni sono tecnologicamente obsolete, e come tali mancano completamente di qualsivoglia protocollo di sicurezza informatica. Inoltre, c’è un problema culturale, che ha portato il management a sottovalutare il rischio, non investendo a sufficienza in cybersecurity.
Infine, le utility, ma non solo, stanno diventando sempre di più un bersaglio “conveniente”. Il costo di lanciare un cyberattacco, infatti, è decresciuto sensibilmente nell’arco degli ultimi vent’anni, mentre i danni alle infrastrutture sono potenzialmente elevatissimi. Oggi, la pervasività delle tecnologie digitali e la quantità di potenza di calcolo disponibile a chiunque a un costo contenuto rende pericolosamente facile lanciare un attacco informatico.
La digitalizzazione, sebbene foriera di innumerevoli opportunità per le utility (si pensi, ad esempio, a smart metering, predictive maintenance, smart pipeline), ha come rovescio della medaglia l’aumento dell’esposizione al cyber-rischio. Automazione dei processi e digitalizzazione delle attività, infatti, aumentano il numero di attività gestite da computer: di conseguenza, si amplifica notevolmente il potenziale distruttivo di un attacco cibernetico. Se non accompagnata da paralleli investimenti nella cybersecurity, la digitalizzazione potrebbe addirittura portare più rischi che benefici.
Come si pongono le utility italiane nella sfida della cybersecurity? Negli ultimi tre anni, le 100 principali utility italiane analizzate da Top Utility[1] hanno riportato oltre 260 minacce alla sicurezza informatica di entità medio-alta, oltre a un numero imprecisato e difficilmente quantificabile di altri tipi di minacce meno gravi. In media, questo equivale a circa due cyberattacchi a settimana. Le aziende con fatturato superiore al miliardo di euro hanno ricevuto 44 cyberattacchi medi ciascuna. Nello stesso periodo, le utility nella fascia intermedia (tra 100 milioni e 1 miliardo di fatturato) hanno subito in media poco meno di 4 attacchi, mentre le utility più piccole (sotto i 100 milioni di fatturato) ne hanno registrati poco più di 2.
Dai dati emerge quindi una correlazione piuttosto significativa tra dimensioni e numero di attacchi registrati: più l’azienda è grande ed economicamente rilevante, più tende a ricevere cyberattacchi. Questo trova diverse possibili spiegazioni. Innanzitutto, ci sono motivi strutturali: le reti e gli impianti che gestiscono sono estese, a volte all’intero territorio nazionale, costituendo bersagli ideali per gli attacchi cibernetici. Queste utility, poi, amministrano normalmente i dati di milioni di persone e aziende (per esigenze di fatturazione ad esempio), e sono quindi molto appetibili per furti di dati. Le grandi utility, inoltre, scontano una maggiore esposizione non solo per banali motivi fisici (più l’infrastruttura è ampia, la rete di uffici diffusa sul territorio, il sistema di gestione complesso, più ci possono essere potenziali falle), ma anche perché, avendo tendenzialmente investito di più nella digitalizzazione, offrono un’area di attacco potenzialmente più estesa. Si pensi ai sistemi di smart metering o alle App di monitoraggio della fornitura elettrica.
La ripartizione degli attacchi su base territoriale rivela che la zona maggiormente colpita è la Lombardia, con le utility di questa regione che sono risultate destinatarie di più della metà degli attacchi. Disaggregando i dati sulle minacce per comparti, invece, emerge che il principale bersaglio sono le multiutility. Delle utility che hanno dichiarato di aver ricevuto almeno un cyberattacco negli ultimi tre anni, la metà, infatti, appartiene a questa categoria. L’altra metà, invece, è costituita in maggioranza da aziende operanti nel servizio idrico integrato (40% del totale) e da monoutility elettriche (10%). I possibili impatti, tuttavia, non sono proporzionali al numero di imprese, dato che nel settore elettrico pochi grandissimi gruppi coprono larga parte del mercato.
Da questi dati emerge chiaramente come le utility siano costantemente sotto attacco; è quindi cruciale capire in che misura siano capaci di difendersi. Su questo fronte, sebbene ci siano progressi, c’è ancora molto da fare. Attualmente solo una utility su due possiede un’unità specificamente dedicata alla cybersecurity. Tuttavia, tale quota è presumibilmente destinata a salire ai tre quarti nel prossimo futuro, visto che il 25% circa delle società analizzate ha dichiarato che una specifica funzione è in via di sviluppo. Ove presenti, queste componenti dell’organizzazione sono comunque limitate in termini di personale, che è in media composto da 10 unità. Fanno eccezione i grandi gruppi dell’energia, dove l’organico è nell’ordine delle 50 unità. Infine, una percentuale ridotta ma non indifferente (13,5%) delle Top 100 ha scelto un’altra strada, non costituendo un’unità ad hoc ma ricorrendo a personale appositamente formato inserito nelle diverse aree operative. Si tratta quasi esclusivamente di piccole utility operanti nei settori acqua e servizi ambientali.
Quanto investono le utility italiane in sicurezza informatica? In media, nel 2019, le spese per cybersecurity sono state il 15% degli investimenti sui sistemi operativi. Al contrario di quello che ci si potrebbe aspettare, non c’è correlazione tra dimensione aziendale e percentuale degli investimenti destinati alla cybersicurezza. In altre parole, un livello di spesa medio-alto in cybersicurezza caratterizza anche aziende relativamente piccole. La correlazione invece sussiste, ed è abbastanza robusta, tra livello di spesa in cybersecurity e attacchi subiti negli ultimi tre anni. Evidentemente, più le aziende hanno subito attacchi o minacce, più è stata percepita la necessità di investimenti sul versante della sicurezza.
Guardando al futuro, le utility dimostrano un buon livello di consapevolezza che si traduce in un impegno di lungo termine sul fronte della cybersicurezza. La larghissima maggioranza delle utility ritiene che gli investimenti in questo settore aumenteranno (86,5%), mentre un 10% circa li considera stabili. Solo una percentuale molto marginale, minore del 3%, afferma al contrario di non avere investimenti in programma in quest’area.
In conclusione, la cybersecurity è indubbiamente una delle preoccupazioni principali per il settore utility italiano. Queste imprese sono bersagli molto appetibili per i cybercriminali e il numero di attacchi è destinato a crescere nel prossimo futuro. Molto è stato fatto finora, ma non è ancora sufficiente. La transizione a un’economia digitale, che ha ricevuto una spinta notevole dal recente PNRR, deve accompagnarsi a maggiori investimenti, consapevolezza e formazione nel settore della cybersecurity.
1 Le performance delle utility italiane. Analisi delle 100 maggiori aziende dell’energia, dell’acqua, del gas e dei rifiuti, IX edizione, Althesys, Milano 2021.