Cybersecurity

Dietro gli attacchi del cybercrime alle utility c’è un problema di formazione

Secondo Alistair Neil, Managing Director International Advanced Solutions di Verizon Business Group, gran parte delle violazioni è determinata dall’errore umano, come dimostra la predominanza del phishing come tecnica di attacco

Aggiornato il 23 Gen 2023

Alistair Neil - Managing Director International Advanced Solutions di Verizon Business Group.

Di pari passo con il crescere della digitalizzazione e del paradigma della Smart Energy, è aumentato il rischio che i malintenzionati possano sfruttare le falle di sicurezza per colpire utility e operatori del settore energetico,  arrivando persino a minacciare l’approvvigionamento, la distribuzione sulla rete e gli stessi utenti finali.  Sebbene le aziende del settore siano coscienti dei rischi di sicurezza cui devono far fronte, i dati dell’ultimo Data Breach Investigations Report di Verizon (DBIR 2022) mostrano che le utility sono ancora lontane dall’essere completamente al riparto. Il report ha censito ben 407 incidenti, più di uno al giorno, subiti a livello globale da aziende dei servizi di fornitura energetica e del settore minerario presi in esame a livello globale. Di questi, ben  179 (oltre il 44%) hanno comportato una violazione di dati. Le informazioni compromesse erano prevalentemente credenziali (73%) e dati personali nel 22% dei casi.  A causare gli attacchi, nel 96% dei casi, sono stati attori esterni alle aziende, mossi prevalentemente da motivi economici (78%) o di spionaggio (22%). Relativamente alle tecniche, ben il 95% delle violazioni è il risultato di attacchi di social engineering, system intrusion o alle applicazioni web. EnergyUP.Tech ha approfondito il tema con Alistair Neil, Managing Director International Advanced Solutions di Verizon Business Group. 

Quali tipologie di cybercriminali attaccano le aziende dell’energy? Qual è il loro obiettivo?

Nonostante l’idea che questo settore venga preso di mira soprattutto dallo spionaggio internazionale sia per certi versi affascinante, va detto che la maggior parte degli attacchi subiti dalle utility e dalle aziende operanti nell’ambito dell’energia ha obiettivi meramente economici. Secondo il Data Breach Investigations Report (DBIR) 2022 di Verizon, si tratta per lo più di hacker mossi dalla più classica delle motivazioni, l’avidità, che puntano a ottenere guadagni monetizzabili (all’origine del 78% dei casi di violazione). Certo vi sono anche attacchi riconducibili a organizzazioni legate ai servizi di intelligence, ma in questi casi le violazioni non mirano a provocare danni, ma piuttosto ad acquisire informazioni e dati sensibili (22%). Altri criminali informatici puntano a danneggiare la reputazione di un’azienda, magari interrompendo la fornitura del servizio, screditandola agli occhi dei consumatori e di altri stakeholder. Vi sono poi gli ex dipendenti, che talvolta decidono di vendicarsi per un licenziamento che considerano ingiusto. In quest’ultimo caso, sebbene si tratti di attori esterni alle aziende, questi criminali hanno il vantaggio di conosce profondamente gran parte dei piani di sicurezza informatica delle realtà in cui hanno lavorato.

Alistair Neil – Managing Director International Advanced Solutions di Verizon Business Group.

Colpisce il fatto che buona parte degli incidenti derivi dal phishing e dalle tecniche di social engineering. Cosa significa questo dato?

Significa che gran parte delle violazioni è determinata dall’errore umano. Sempre secondo il DBIR 2022, il settore delle utility e dell’energia registra il dato più elevato riguardo agli attacchi di social engineering e oltre il 60% delle violazioni si basano sul phishing perpetrato attraverso mail e applicazioni web.

Esiste un problema di formazione alla sicurezza nelle utility, in particolare per i dipendenti?

Certamente sì, come dimostrano i dati. Siamo di fronte a una grossa carenza di formazione nell’ambito della sicurezza informatica. I dipendenti non hanno le competenze necessarie per evitare di diventare loro stessi i veicoli attraverso i quali le loro aziende vengono colpite. Al di là degli investimenti in materia di soluzioni e tool informatici all’avanguardia, le imprese del settore dell’energia devono investire di più sulla formazione dei propri dipendenti, in modo da garantire loro il raggiungimento di un livello minimo e accettabile di competenze in tema di sicurezza IT.

La grande diffusione delle tecnologie digitali nelle utility è stata sinora compresa e sfruttata dai cybercriminali?

Tra aziende e hacker è ormai in atto una vera e propria sfida a chi riesce a implementare le strategie più sofisticate. Le imprese che operano nel settore dell’energia sono fra le più attive sotto questo punto di vista, in quanto dispongono delle migliori tecnologie nell’ambito della sicurezza informatica. Ciò però non basta poiché i cybercriminali continuano a migliorare i loro attacchi sfruttando proprio l’impiego massiccio di soluzioni tecnologiche (pensiamo al proliferare degli endpoint legato al lavoro da remoto o in modalità ibrida). Per questo ogni implementazione tecnologica deve andare di pari passo con quelle di sicurezza informatica, in modo da non fornire agli hacker gli spiragli di cui hanno bisogno per portare a termini i loro attacchi.

Alla luce dei vostri dati, quanto possiamo ritenere al sicuro il funzionamento delle infrastrutture energetiche?

Come per ogni altro settore, anche per quello delle infrastrutture energetiche le minacce da parte degli hacker sono costanti e sempre più complesse. La sicurezza informatica è un settore in continua evoluzione così come lo è quello del cybercrime. Se un’azienda non ha mai subito violazioni, può voler dire che sta implementando una buona strategia di sicurezza IT, sia sul piano delle soluzioni utilizzate sia su quello dell’organizzazione e della formazione interna. Tuttavia non si deve mai abbassare la guardia, perché dall’altra parte ci sono criminali pronti a sfruttare ogni debolezza e ingenuità.

Dobbiamo aspettarci nei prossimi anni un ulteriore aumento degli attacchi contro questo target?

Non possiamo dire oggi quello che accadrà nei prossimi anni in termini di sicurezza informatica. Ciò che possiamo dire è che vista l’attuale centralità del tema dell’approvvigionamento energetico, le aziende di questo settore dovranno garantire standard di sicurezza molto elevati onde evitare, ad esempio, interruzioni del servizio di fornitura, che potrebbero causare seri danni all’economia nazionale.

Quali sono, secondo Verizon, le migliori strategie di protezione per le aziende del settore?

Sempre più aziende stanno comprendendo la necessità di migliorare le proprie strategie di security soprattutto in termini di aumento del budget. Questo vale anche per le imprese del settore energetico che risultano essere seconde, tra i settori analizzati, in termini di investimenti in cybersecurity, anche se molti manager e imprenditori continuano a non capire tutte le possibili ripercussioni di una violazione informatica. Per superare le loro resistenze potrebbe essere utile simulare una crisi di sicurezza, in modo da mettere il management aziendale di fronte alla necessità di prendere decisioni rapide sulla base di informazioni incomplete o talvolta obsolete. Per questo il costante aggiornamento del piano di security rappresenta uno dei temi centrali per tutti i responsabili IT. È importante rivalutare costantemente la propria strategia di cybersecurity in modo da non farsi trovare impreparati di fronte alle nuove minacce informatiche. Da ultimo è necessario colmare il gap di competenze che molte aziende del settore energetico si trovano ad affrontare. In quest’ottica, CIO, CISO e responsabili IT devono lavorare per costruire una solida cultura aziendale in materia di sicurezza informatica basata su un insieme di digital skill che tutti i dipendenti devono maturare.

Articolo originariamente pubblicato il 23 Gen 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Gianluigi Torchiani

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5