i dati

I grossi rischi cyber delle utility italiane: ecco le sfide

Un bersaglio sensibile, facile e conveniente. Ecco perché le utility sono sempre più nel mirino degli attacchi informatici. Ma come si pongono le utility italiane nella sfida della cybersecurity? Molto è stato fatto, ma non è ancora sufficiente. Servono più investimenti, consapevolezza e formazione

03 Dic 2021
Alessandro Marangoni

Amministratore Delegato Althesys e Direttore scientifico Top Utility

cyber-risk

Il radicamento sul territorio e la pervasività dei servizi, dalla fornitura di energia elettrica e gas, al ciclo idrico, alla gestione dei rifiuti, rendono le utility un fattore essenziale per la qualità della vita e per tutte le attività economiche.

Queste caratteristiche, tuttavia, rendono anche queste imprese molto articolate e complesse con elementi di fragilità in un mondo sempre più interconnesso e soggetto ad attacchi informatici. La resilienza delle infrastrutture delle utility diventa quindi sempre più importante a fronte sia di eventi climatici estremi crescenti che di vulnerabilità connesse allo sviluppo della digitalizzazione.

Ed è un problema grave, considerando che il settore delle public utility costituisce un asse portante del sistema socio-economico di ogni nazione, contribuendo con infrastrutture e servizi alla crescita, alla sostenibilità ambientale e al progresso sociale, portando benefici ai cittadini e creando valore per le imprese.

Utility sotto attacco cyber: cosa impariamo dagli ultimi casi

Le ragioni dietro gli attacchi alle utility

Sebbene non sia visibile, in ogni momento la rete è, infatti, attraversata da innumerevoli attacchi informatici. Attacchi provenienti da qualsiasi parte del mondo, capaci di colpire qualsiasi altra parte del mondo. Basta dare un’occhiata alle numerose mappe liberamente disponibili su Internet che tracciano in tempo reale i tentativi di attacco per rendersi conto di come il mondo digitale sia diventato un immenso campo di battaglia.

WEBINAR
25 Ottobre 2022 - 12:00
Tutto quello che devi sapere per sbloccare il potere del Digital Manufacturing
Acquisti/Procurement
Automotive

Le ragioni dietro gli attacchi informatici sono innumerevoli. In alcuni casi, lo scopo è meramente estorsivo: sono i cosiddetti attacchi ransomware, che paralizzano un sistema per ottenere il pagamento di un riscatto, o i data theft, che trafugano informazioni sensibili da rivendere al miglior offerente. In altri, invece, c’è una componente politica, economica o addirittura ideologica: parti politicamente avverse, competitor industriali o anche attivisti (i cosiddetti hacktivist, crasi di hacker e activist) possono avere interesse nel danneggiare un’azienda o uno Stato.

In questo grande campo di battaglia che è il mondo digitale, le utility si trovano in una posizione molto delicata e sono prede ambite del cybercrime. Fornendo servizi essenziali di pubblica utilità come acqua, gas, elettricità e servizi ambientali, il blocco delle loro attività ha impatti potenzialmente catastrofici, con danni incalcolabili. Si pensi, ad esempio, a un blackout, al sabotaggio di una pipeline del gas o di grandi infrastrutture idriche. Interrompere l’approvvigionamento di energia elettrica, di acqua o di gas può mettere letteralmente in ginocchio l’economia di un intero territorio o di una nazione. Gli esempi non mancano. Ad esempio, nel dicembre 2015, la rete elettrica in Ucraina è stata vittima di un attacco cibernetico che ha lasciato oltre 200.000 cittadini al buio. Recentemente, nel giugno 2021, il gasdotto americano Colonial Pipeline è stato paralizzato per giorni da un ransomware; come risultato si sono verificate gravissime carenze di gas in tutto l’Est del Paese, costringendo l’Amministrazione Biden a dichiarare lo stato d’emergenza.

I tre motivi dell’escalation di attacchi alle utility

Il rischio di attacchi informatici per le utility è destinato a salire. Tre i motivi principali. Innanzitutto, le utility sono un bersaglio sensibile. Come già accennato, gestiscono infrastrutture di importanza sistemica per un Paese, e come tali costituiscono l’obiettivo ideale per i cyberattacchi. La loro esposizione al rischio, di conseguenza, cresce all’aumentare della conflittualità globale. Oggi, l’agguerrita competizione economica tra Paesi, unita all’instabilità politica e al disgregarsi degli equilibri commerciali preesistenti fa sì che il numero di attori interessati a danneggiare un Paese attraverso le sue infrastrutture critiche sia in netto aumento.

La seconda ragione è che le utility sono un bersaglio “facile”. Facile perché le infrastrutture sono in genere scarsamente difese o, in alcuni casi, del tutto sguarnite. Ciò è da ricondursi a due fattori: innanzitutto, molte installazioni sono tecnologicamente obsolete, e come tali mancano completamente di qualsivoglia protocollo di sicurezza informatica. Inoltre, c’è un problema culturale, che ha portato il management a sottovalutare il rischio, non investendo a sufficienza in cybersecurity.

Infine, le utility, ma non solo, stanno diventando sempre di più un bersaglio “conveniente”. Il costo di lanciare un cyberattacco, infatti, è decresciuto sensibilmente nell’arco degli ultimi vent’anni, mentre i danni alle infrastrutture sono potenzialmente elevatissimi. Oggi, la pervasività delle tecnologie digitali e la quantità di potenza di calcolo disponibile a chiunque a un costo contenuto rende pericolosamente facile lanciare un attacco informatico.

La digitalizzazione, sebbene foriera di innumerevoli opportunità per le utility (si pensi, ad esempio, a smart metering, predictive maintenance, smart pipeline), ha come rovescio della medaglia l’aumento dell’esposizione al cyber-rischio. Automazione dei processi e digitalizzazione delle attività, infatti, aumentano il numero di attività gestite da computer: di conseguenza, si amplifica notevolmente il potenziale distruttivo di un attacco cibernetico. Se non accompagnata da paralleli investimenti nella cybersecurity, la digitalizzazione potrebbe addirittura portare più rischi che benefici.

Le utility italiane nella sfida della cybersecurity

Come si pongono le utility italiane nella sfida della cybersecurity? Negli ultimi tre anni, le 100 principali utility italiane analizzate da Top Utility[1] hanno riportato oltre 260 minacce alla sicurezza informatica di entità medio-alta, oltre a un numero imprecisato e difficilmente quantificabile di altri tipi di minacce meno gravi. In media, questo equivale a circa due cyberattacchi a settimana. Le aziende con fatturato superiore al miliardo di euro hanno ricevuto 44 cyberattacchi medi ciascuna. Nello stesso periodo, le utility nella fascia intermedia (tra 100 milioni e 1 miliardo di fatturato) hanno subito in media poco meno di 4 attacchi, mentre le utility più piccole (sotto i 100 milioni di fatturato) ne hanno registrati poco più di 2.

La correlazione tra dimensioni e numero di attacchi registrati

Dai dati emerge quindi una correlazione piuttosto significativa tra dimensioni e numero di attacchi registrati: più l’azienda è grande ed economicamente rilevante, più tende a ricevere cyberattacchi. Questo trova diverse possibili spiegazioni. Innanzitutto, ci sono motivi strutturali: le reti e gli impianti che gestiscono sono estese, a volte all’intero territorio nazionale, costituendo bersagli ideali per gli attacchi cibernetici. Queste utility, poi, amministrano normalmente i dati di milioni di persone e aziende (per esigenze di fatturazione ad esempio), e sono quindi molto appetibili per furti di dati. Le grandi utility, inoltre, scontano una maggiore esposizione non solo per banali motivi fisici (più l’infrastruttura è ampia, la rete di uffici diffusa sul territorio, il sistema di gestione complesso, più ci possono essere potenziali falle), ma anche perché, avendo tendenzialmente investito di più nella digitalizzazione, offrono un’area di attacco potenzialmente più estesa. Si pensi ai sistemi di smart metering o alle App di monitoraggio della fornitura elettrica.

La ripartizione degli attacchi su base territoriale

La ripartizione degli attacchi su base territoriale rivela che la zona maggiormente colpita è la Lombardia, con le utility di questa regione che sono risultate destinatarie di più della metà degli attacchi. Disaggregando i dati sulle minacce per comparti, invece, emerge che il principale bersaglio sono le multiutility. Delle utility che hanno dichiarato di aver ricevuto almeno un cyberattacco negli ultimi tre anni, la metà, infatti, appartiene a questa categoria. L’altra metà, invece, è costituita in maggioranza da aziende operanti nel servizio idrico integrato (40% del totale) e da monoutility elettriche (10%). I possibili impatti, tuttavia, non sono proporzionali al numero di imprese, dato che nel settore elettrico pochi grandissimi gruppi coprono larga parte del mercato.

Quanto sanno difendersi le utility italiane?

Da questi dati emerge chiaramente come le utility siano costantemente sotto attacco; è quindi cruciale capire in che misura siano capaci di difendersi. Su questo fronte, sebbene ci siano progressi, c’è ancora molto da fare. Attualmente solo una utility su due possiede un’unità specificamente dedicata alla cybersecurity. Tuttavia, tale quota è presumibilmente destinata a salire ai tre quarti nel prossimo futuro, visto che il 25% circa delle società analizzate ha dichiarato che una specifica funzione è in via di sviluppo. Ove presenti, queste componenti dell’organizzazione sono comunque limitate in termini di personale, che è in media composto da 10 unità. Fanno eccezione i grandi gruppi dell’energia, dove l’organico è nell’ordine delle 50 unità. Infine, una percentuale ridotta ma non indifferente (13,5%) delle Top 100 ha scelto un’altra strada, non costituendo un’unità ad hoc ma ricorrendo a personale appositamente formato inserito nelle diverse aree operative. Si tratta quasi esclusivamente di piccole utility operanti nei settori acqua e servizi ambientali.

Quanto investono le utility italiane in sicurezza informatica?

Quanto investono le utility italiane in sicurezza informatica? In media, nel 2019, le spese per cybersecurity sono state il 15% degli investimenti sui sistemi operativi. Al contrario di quello che ci si potrebbe aspettare, non c’è correlazione tra dimensione aziendale e percentuale degli investimenti destinati alla cybersicurezza. In altre parole, un livello di spesa medio-alto in cybersicurezza caratterizza anche aziende relativamente piccole. La correlazione invece sussiste, ed è abbastanza robusta, tra livello di spesa in cybersecurity e attacchi subiti negli ultimi tre anni. Evidentemente, più le aziende hanno subito attacchi o minacce, più è stata percepita la necessità di investimenti sul versante della sicurezza.

Conclusioni

Guardando al futuro, le utility dimostrano un buon livello di consapevolezza che si traduce in un impegno di lungo termine sul fronte della cybersicurezza. La larghissima maggioranza delle utility ritiene che gli investimenti in questo settore aumenteranno (86,5%), mentre un 10% circa li considera stabili. Solo una percentuale molto marginale, minore del 3%, afferma al contrario di non avere investimenti in programma in quest’area.

In conclusione, la cybersecurity è indubbiamente una delle preoccupazioni principali per il settore utility italiano. Queste imprese sono bersagli molto appetibili per i cybercriminali e il numero di attacchi è destinato a crescere nel prossimo futuro. Molto è stato fatto finora, ma non è ancora sufficiente. La transizione a un’economia digitale, che ha ricevuto una spinta notevole dal recente PNRR, deve accompagnarsi a maggiori investimenti, consapevolezza e formazione nel settore della cybersecurity.

Note

  1. Le performance delle utility italiane. Analisi delle 100 maggiori aziende dell’energia, dell’acqua, del gas e dei rifiuti, IX edizione, Althesys, Milano 2021.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4