In seguito all’attacco hacker che colpì Colonial Pipeline, la Transportation Security Administration (TSA) – agenzia governativa incaricata della sicurezza del sistema di trasporto americano – aveva emanato due direttive: ecco cosa dicono.
Col tempo, le tradizionali infrastrutture energetiche si sono evolute, diventando progressivamente più connesse grazie alle moderne tecnologie e reti digitali. Un sistema energetico più intelligente può infatti svolgere attività di produzione, distribuzione e relative al mercato con maggiore precisione e tempi di risposta più rapidi. Tuttavia, oleodotti, gasdotti, e in generale le infrastrutture dedite alla distribuzione di idrocarburi tanto allo stato liquido quanto a quello gassoso posseggono non poche criticità che le espongono a potenziali sabotaggi informatici.
Tale condizione costituisce un fattore di rischio per la sicurezza delle forniture energetiche e, di conseguenza, per quella di milioni di consumatori e famiglie; in particolar modo se si considera che la dipendenza dai combustibili fossili trasportati via tubo non ha fatto altro che crescere coi decenni.
Gli Stati Uniti, ad esempio, sono il maggior consumatore di prodotti petroliferi a livello mondiale, più di 19 milioni di barili al giorno – in confronto, l’Unione Europea ne brucia appena 15 milioni al giorno – e più del 40% della sua produzione elettrica deriva da petrolio e gas naturale.
Infrastrutture energetiche: dal Nord Stream al Colonial Pipeline
La questione della sicurezza delle infrastrutture energetiche, salita recentemente agli oneri della cronaca per il caso Nord Stream, era stata messa per la prima volta in evidenza nella sua veste informatica dal cyberattacco accorso ai danni di Colonial Pipeline, nel maggio del 2021.
La società rappresenta la rete di oleodotti più estesa degli Stati Uniti, quasi 9.000 km di oleodotti che da Huston, nel Texas, trasportano 2,5 milioni di barili di prodotti petroliferi, tra cui benzina, diesel e cherosene nel New Jersey. Nello specifico, Colonial Pipeline fu vittima di un attacco ransomware, tipologia di malware in grado di crittografare i dati della vittima e renderli inaccessibili se non in seguito al pagamento di un riscatto, che ne causò l’interruzione delle forniture per sei giorni.
Le operazioni furono ripristinate dopo che la società accettò di pagare un riscatto al gruppo di hacker denominato DarkSide. Le conseguenze dell’interruzione delle forniture furono senza precedenti; la mancanza di cherosene danneggiò per giorni il traffico aereo di tutta l’East Coast e la paura di rimanere senza carburante scatenò il panico nella popolazione che si riversò nelle stazioni di servizio per accaparrarsi quanti più galloni possibili.
Il cyberattacco è, ad oggi, il peggiore mai registrato ai danni di una infrastruttura energetica negli Stati Uniti. Tuttavia, ciò che più allarmò operatori ed esperti negli Stati Uniti fu la riproducibilità del ransomware; una fondamentale «semplicità» d’esecuzione che renderebbe questo tipo di attacchi estremamente imprevedibili.
Il fatto che un cyberattacco sia stato in grado di paralizzare una tra le più estese e importanti infrastrutture energetiche e causato l’interruzione di forniture vitali per una delle regioni più densamente popolate degli Stati Uniti – e, per estensione, del pianeta – ha riportato prepotentemente il concetto di sicurezza energetica al centro del dibattito pubblico, e non solo di quello a stelle e strisce.
Nello specifico, esso ha aggiunto la cybersicurezza delle infrastrutture energetiche al glossario degli elementi considerati critici per garantire il corretto flusso degli approvvigionamenti. Tra i fattori che definiscono il concetto di sicurezza energetica, infatti, vi sono la disponibilità fisica dell’energia e l’affidabilità degli approvvigionamenti.
Nell’attuale paradigma energetico, o almeno in quello in cui vive la stragrande maggioranza della popolazione mondiale, le infrastrutture fisiche ricoprono un ruolo di vitale importanza poiché permettono lo spostamento e il trasporto di prodotti energetici come gas e petrolio dai siti estrattivi verso i rispettivi mercati di riferimento, e quindi verso consumatori finali. La catena del valore dell’energia inizia nel sottosuolo per poi convergere con ogni tipo di superficie e ambiente circostante: dalle città agli spazi rurali attraversando corsi d’acqua e oceani.
Le infrastrutture, dunque, hanno un ruolo fondamentale sia per quanto riguarda il corretto svolgersi delle operazioni upstream di estrazione e produzione delle energie fossili, sia nel settore downstream che racchiude la raffinazione e trasformazione degli idrocarburi in prodotti finalmente trasportabili e utilizzabili dai consumatori finali. È però all’interno del cosiddetto midstream che la capacità di collegare fisicamente punti di produzione e di consegna diventa cruciale; i mercati energetici non possono espandersi se non c’è disponibilità di infrastrutture adeguate.
TSA e il piano dopo l’attacco al Colonial Pipeline
Queste infrastrutture, questi ponti tra domanda e offerta energetica non sono però esenti da fragilità intrinseche: costano molto e sono costantemente esposte a possibili attacchi tanto fisici quanto, come abbiamo visto, virtuali. Qualsiasi episodio che precluda almeno uno di questi due elementi costituisce una minaccia per l’approvvigionamento di energia e come tale è necessario predisporre le giuste accortezze in termini di prevenzione o, nel malaugurato caso non si sia potuto intervenire in tempo, di contenimento dei danni.
In seguito all’attacco hacker che colpì Colonial Pipeline, la Transportation Security Administration (TSA) – agenzia governativa incaricata della sicurezza del sistema di trasporto americano – aveva emanato due direttive che imponevano:
- rivelazioni periodiche dei dati ogni 12 ore (poi portato a 24 ore);
- adozione di misure che riducano la vulnerabilità e aumentino la resilienza tanto da un punto di vista operativo quanto comunicativo;
- studio e sviluppo di piani per la gestione del rischio e l’adempiersi di test annuali da parte di agenti terzi allo scopo di verificare l’efficacia delle pratiche di cybersecurity implementate.
La parola d’ordine fissata dal TSA è flessibilità: i modelli utilizzati devono essere in grado di evolversi e cambiare di pari passo con lo sviluppo tecnologico e dei rischi associati ad esso. Da qui la proposta di regolamentazione allo scopo di codificare, per la prima volta, una serie di requisiti di sicurezza informatica per oleodotti, gasdotti e sistemi di trasporto di superficie. La nuova direttiva sulla sicurezza, presentata a Luglio, si muove in questa direzione e mira a mantenere i sistemi di trasporto nazionali al riparo dai cyberattacchi. A tal proposito, si richiede ai proprietari e agli operatori di infrastrutture energetiche di:
- sviluppare politiche di controllo in grado di garantire che i sistemi cosiddetti Operational Technology (OT) siano in grado di funzionare in sicurezza anche in casi in cui, ad esempio, un sistema invece Information Technology (IT) venisse compromesso e vice versa.;
- creare misure di controllo per proteggere e prevenire l’accesso non autorizzato ai sistemi informatici critici;
- costruire politiche e procedure di monitoraggio e rilevamento continue per rilevare le minacce alla cybersicurezza e correggere le anomalie che influiscono sulle operazioni del sistema informatico; e
- ridurre il rischio di infiltrazioni di sistemi “scoperti” attraverso l’applicazione di patch di sicurezza e aggiornamenti per sistemi operativi, applicazioni, driver e firmware su sistemi informatici critici in modo tempestivo utilizzando una metodologia basata sulla valutazione del rischio.
Al contempo, i proprietari e operatori sono tenuti a presentare alla stessa TSA un piano di cybersicurezza (Cybersecurity Implementation Plan), un piano d’intervento in caso di cyberattacco (Cybersecurity Incident Response Plan) e un programma che valuti periodicamente l’efficacia delle misure adottate (Cybersecurity Assessment Program).
L’azione della Transportation Security Administration sembra poter tamponare finalmente, o almeno in parte, il vuoto legislativo in materia di cybersicurezza per quanto riguarda le infrastrutture energetiche degli Stati Uniti.
Più in generale, l’attacco ransomware a Colonial Pipeline ha dimostrato che all’interno del quadro accademico – e politico – attorno al concetto di sicurezza energetica si era finora riservata poca importanza alla cybersicurezza; mentre la minaccia per il settore è reale e in crescita.
I potenziali perpetratori di cyberattacchi possono prendere le sembianze di sofisticati aggressori, magari sponsorizzati da governi nemici allo scopo di causare danni sociali e finanziari, ma anche quelle di piccoli hacker di quartiere spinti per lo più dal desiderio del caos.