“The Cyber priority”, il rapporto di Dnv che esplora lo stato della sicurezza informatica nel settore dell’energia, rileva che più di quattro quinti dei professionisti che lavorano nel settore delle energie rinnovabili, del petrolio e del gas, ritengono che un attacco informatico al settore possa causare arresti operativi (85%), danni agli asset energetici e alle infrastrutture critiche per l’84%. I tre quarti, pari al 74%, si aspettano che un attacco possa danneggiare l’ambiente, mentre più della metà (57%) prevede che possa causare la perdita di vite umane.
Crescono i timori di attacchi ripetuti
La ricerca di Dnv si basa su un sondaggio condotto su oltre 940 professionisti del settore energetico in tutto il mondo e su interviste approfondite svolte con professionisti del settore. I crescenti timori per le nuove e più estreme conseguenze degli attacchi informatici fanno seguito ad una serie di violazioni della sicurezza di alto profilo avvenute negli ultimi anni nel settore energetico.
La ricerca indica inoltre che, la preoccupazione per le emergenti minacce è cresciuta in seguito all’invasione dell’Ucraina da parte della Russia. I due terzi (67%) dei professionisti del settore energetico afferma che, i recenti attacchi informatici al settore hanno spinto le loro organizzazioni ad apportare importanti modifiche alle strategie e ai sistemi di sicurezza.
“Le aziende del settore energetico affrontano la sicurezza informatica da diversi decenni. Tuttavia, la sicurezza della tecnologia operativa (OT), i sistemi informatici e di comunicazione che gestiscono, monitorano e controllano le operazioni industriali, sono una sfida più recente e sempre più urgente per il settore”, ha dichiarato Trond Solberg, managing director, Cyber Security, Dnv.
“Man mano che l’OT diventa sempre più connesso in rete e ai sistemi IT, gli aggressori possono accedere e controllare i sistemi che gestiscono infrastrutture critiche come le reti elettriche, i parchi eolici, gli oleodotti e le raffinerie. La nostra ricerca rileva che il settore dell’energia si sta svegliando di fronte alla minaccia della sicurezza OT, ma è necessario agire più rapidamente per combatterla. Meno della metà (47%) dei professionisti del settore energetico ritiene che la sicurezza OT sia solida quanto quella IT”, ha aggiunto Solberg.
Le azioni contro i cyber-attacchi tardano ad arrivare
Sei intervistati su dieci a livello di C-suite, che hanno partecipato all’indagine, riconoscono che la loro organizzazione è più vulnerabile a un attacco oggi di quanto non lo sia mai stata. Tuttavia, ci sono segnali che indicano che alcune aziende stanno adottando un approccio “aspetta, vedi e spera in meglio” per affrontare la minaccia.
Meno della metà (44%) degli intervistati C-suite ritiene di dover apportare miglioramenti urgenti nei prossimi anni, per prevenire un grave attacco alla propria azienda e, più di un terzo (35%) dei professionisti del settore energetico afferma che, la propria azienda dovrebbe essere colpita da un grave attacco prima di investire nelle proprie difese.
Una spiegazione dell’apparente esitazione di alcune aziende ad investire nella sicurezza informatica potrebbe essere il fatto che, la maggior parte degli intervistati ritiene che la propria organizzazione abbia finora evitato un grave attacco informatico. Meno di un quarto (22%) sospetta che la propria organizzazione sia stata oggetto di una grave violazione negli ultimi cinque anni.
“È preoccupante constatare che alcune aziende del settore energetico stiano adottando un approccio alla sicurezza informatica del tipo “speriamo in meglio”, piuttosto che affrontare attivamente le minacce informatiche emergenti”, ha dichiarato Solberg.
“Ci sono voluti eventi tragici come l’incidente di Piper Alpha nel 1988 e il disastro di Macondo nel 2010 perché il settore desse priorità e istituzionalizzasse i protocolli di sicurezza globali e perché venisse introdotta una regolamentazione più severa. La nostra ricerca dà un segnale forte: il settore deve fare investimenti urgenti per garantire che la sicurezza informatica non diventi la causa di futuri danni a vite umane, proprietà e ambiente”, ha aggiunto Solberg.
I punti ciechi della catena di approvvigionamento sono fonte di preoccupazione
Dnv raccomanda come primo passo per rafforzare le difese, quello di identificare dove le infrastrutture critiche sono vulnerabili agli attacchi.
La “Cyber priority” rivela che, mentre molte organizzazioni investono nel cercare le vulnerabilità, questi sforzi non sono sufficientemente estesi alle aziende con cui collaborano e da cui si riforniscono.
Solo il 28% dei professionisti dell’energia che lavorano con l’OT afferma che la propria azienda considera la sicurezza informatica della propria catena di fornitura una priorità di investimento. Questo dato contrasta con il 45% degli intervistati che operano nel settore OT e che affermano che la spesa per gli aggiornamenti dei sistemi IT ha una priorità di investimento elevata.
“Le aziende energetiche possono avere un controllo completo delle proprie vulnerabilità e disporre di tutte le misure giuste per gestire il rischio, ma questo non farà la differenza se ci sono vulnerabilità non scoperte nella loro catena di fornitura. La nostra ricerca individua l’accesso remoto ai sistemi OT tra i primi tre metodi per potenziali attacchi informatici all’industria energetica. Invitiamo il settore a prestare maggiore attenzione a garantire che i fornitori e i venditori di apparecchiature dimostrino di essere conformi alle migliori pratiche di sicurezza fin dalle prime fasi dell’approvvigionamento”, ha dichiarato Jalal Bouhdada, fondatore e ceo di Applied Risk, un’azienda di cyber-sicurezza industriale acquisita da Dnv nel 2021.
È necessaria una maggiore formazione della forza lavoro
Nonostante le emergenti minacce alla sicurezza informatica, la ricerca rivela che, meno di un terzo (31%) dei professionisti del settore energetico afferma di sapere esattamente cosa fare nel caso di un potenziale rischio o minaccia informatica per la propria organizzazione. Questo dato evidenzia la necessità per le aziende del settore energetico di investire nella formazione dei dipendenti per individuare i casi di tentativi criminali di accesso ai loro sistemi. Meno di sei professionisti del settore energetico su 10 (57%) affermano che la formazione sulla sicurezza informatica del proprio datore di lavoro è efficace.
“La forza lavoro di un’azienda è la prima linea di difesa contro gli attacchi informatici. Una formazione efficace della forza lavoro, unita alla garanzia di avere le giuste competenze in materia di sicurezza informatica, può fare la differenza nella salvaguardia delle infrastrutture critiche. La nostra ricerca mostra una chiara necessità per le aziende di valutare attentamente i loro investimenti per mantenere il personale ben informato su come identificare e rispondere agli incidenti in modo tempestivo”, ha dichiarato Bouhdada.
Per ricevere quotidianamente i nostri aggiornamenti su energia e transizione ecologica, basta iscriversi alla nostra newsletter gratuita
e riproduzione totale o parziale in qualunque formato degli articoli presenti sul sito.
