Dissertare

L’agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) ha pubblicato un rapporto che propone dieci raccomandazioni, per il settore pubblico coinvolto nella definizione e nell’attuazione delle reti intelligenti.

L’agenzia europea ENISA, per la sicurezza delle reti e dell’informazione, è un centro sulla sicurezza delle reti e di informazioni e  know-how per la UE, gli Stati Membri, il settore privato ed i cittadini europei. ENISA lavora per sviluppare consigli e raccomandazioni sulle buone pratiche nella sicurezza delle informazioni, assiste gli Stati membri dell’Unione Europea nell’attuazione della  legislazione pertinente dell’UE e lavora per migliorare la resilienza delle infrastrutture critiche informatizzate d’Europa e le reti. ENISA mira a rafforzare le competenze esistenti negli Stati membri dell’UE, sostenendo lo sviluppo delle comunità transfrontaliere impegnate a migliorare la sicurezza delle reti e dell’informazione in tutta l’UE. Ulteriori informazioni su ENISA e del suo lavoro può essere trovato al link www.enisa.europa.eu. Attualmente l’ENISA ha pubblicvato la REGOLAZIONE (EC) N. 460/2004 che è stato emendata dalla REGOLAZIONE (EU) No 580/2011. Il documento appena pubblicato non rappresenta ancora un atto dell’ENISA, ma un parere.

Le reti intelligenti offrono molteplici benefici per la società nel suo complesso, ma la stessa loro dipendenza dalle reti di computer, dalle applicazioni e da Internet, di pari passo, aumenta l’esposizione agli attacchi informatici dannosi. La vulnerabilità delle reti di comunicazione e dei sistemi informativi possono infatti essere sfruttate per motivazioni finanziarie o politiche, per spegnere aree di grandi dimensioni o per cyber-attacchi contro gli impianti di generazione di energia.

Tuttavia, secondo quanto riportato anche nel rapporto dell’ENISA, le infrastrutture di comunicazione non sono l’unica fonte di vulnerabilità. Software e hardware utilizzati per la costruzione delle infrastrutture delle reti (o smart grid) sono esposti ad un rischio di poter essere manomessi, prima ancora che siano collegati tra loro. Codice non perfetto, comprese le cosiddette “bombe logiche” che provocano malfunzionamenti improvvisi, può essere inserito involontariamente nel software, mentre viene sviluppato. In fondo i programmi sono scritti da persone che possono anche sbagliare…

Per quanto riguarda l’hardware, questo può essere comandato a distanza per ”kill switch”, “backdoor” nascosti o errori che possono essere scritti nei chip dei computer utilizzati dalla smart grid e possono permettere ad ”attori esterni” di manipolare i sistemi dal di fuori.

“Il nostro studio mostra che i due ‘mondi separati’ del settore energetico e del settore della sicurezza IT devono essere allineati in materia di sicurezza per le reti intelligenti” ha dichiarato il Professor Udo Helmbrecht, direttore esecutivo dell’agenzia europea ENISA. “Stimiamo che senza tenere in grave considerazione provvedimenti nel campo della sicurezza informatica, le reti intelligenti possano evolvere in modo non coordinato. Per questo l’ENISA suggerisce che la sicurezza delle reti intelligenti siano rese parte della strategia futura dell’UE Internet Security”.

Nel suo ultimo rapporto, l’ENISA ha detto di aver identificato i rischi e le sfide connesse agli aspetti della sicurezza informatica di reti intelligenti. In più, l’agenzia  delinea anche le iniziative europee in materia di standardizzazione, condivisione della conoscenza, certificazione, formazione, driver ed altre attività riguardanti la sicurezza informatica nelle reti intelligenti.

Lo studio analizza poi il ruolo delle tecnologie dell’informazione e della comunicazione (TIC), come la piattaforma alla base della rete del futuro e indaga le possibili minacce ed i rischi. Lo studio suggerisce, quindi, buone pratiche e raccomandazioni per tutte le parti interessate, che sono impegnate nella sicurezza, nell’affidabilità e nella resilienza delle future implementazioni delle smart grid.

Tra le dieci raccomandazioni di sicurezza, il rapporto indica che la Commissione europea (CE) e le autorità competenti degli Stati Membri (SM) debbano fornire un quadro chiaro, normativo e strategico, sulla sicurezza della rete informatica a livello nazionale e comunitario, cosa che al momento manca. La Comunità Europea, in collaborazione con l’ENISA, la MS ed il settore privato, dovrebbe anche sviluppare un insieme minimo di misure di sicurezza, basate su standard esistenti e linee guida.

Sia la Comunità Europea quanto le autorità degli Stati Membri dovrebbero promuovere sistemi di certificazione di sicurezza per l’intera catena del valore dei componenti di reti intelligenti, compresa la sicurezza organizzativa.