Policy Papers – Sicurezza informatica delle infrastrutture: la rete elettrica degli Stati Uniti

Sicurezza informatica delle infrastrutture: la rete elettrica degli Stati Uniti.

Questo articolo è tratto e tradotto da un Policy Paper del Republican Policy Committee del Senato degli Stati Uniti d’America.

PUNTI CHIAVE


  • La produzione, la trasmissione e la distribuzione di elettricità sono essenziali per la vita quotidiana e il commercio in America.
  • La rete elettrica degli Stati Uniti è vulnerabile ai cyberattacchi che potrebbero provocare blackout catastrofici, estesi e protratti nel tempo, oltre ad altre perdite ai servizi elettrici.
  • Russia, Corea del Nord, Iran e Cina hanno attualmente la capacità di lanciare attacchi informatici che potrebbero interrompere le infrastrutture strategiche.

Non c’è quasi nulla di più essenziale per la vita quotidiana in America che la produzione e la fornitura di energia elettrica. La rete elettrica degli Stati Uniti è composta da tutte le centrali elettriche e altri modi per generare elettricità, insieme alle linee di trasmissione e distribuzione e alle infrastrutture che portano l’energia ai clienti. Garantire la sicurezza informatica della rete elettrica è fondamentale per salvaguardare l’affidabilità e la sicurezza della rete.

COMPONENTI CHIAVE DELLA RETE ELETTRICA

LA RETE AFFRONTA SIGNIFICATIVI RISCHI DI SICUREZZA INFORMATICA

La rete elettrica degli Stati Uniti affronta significativi rischi di sicurezza informatica da una varietà di attori, compresi criminali, terroristi, “hacktivisti” e governi stranieri. La rete è vulnerabile ai cyberattacchi che potrebbero causare blackout catastrofici, diffusi e lunghi. L’effetto su ospedali, dipartimenti di polizia, banche, stazioni di servizio, basi militari e famiglie in tutta l’America potrebbe essere disastroso.

I proprietari e gli operatori della rete, molti dei quali sono piccole e medie imprese, devono superare una serie di sfide per contrastare questa minaccia. Una revisione del Government Accountability Office del 2019 sui rischi legati alla cybersecurity che deve affrontare la rete elettrica ha identificato le difficoltà nell’assunzione di una forza lavoro sufficiente, la condivisione limitata di informazioni classificate sulle minacce tra i settori pubblico e privato, i limiti delle risorse, la dipendenza da altre infrastrutture strategiche che potrebbero essere vulnerabili ai cyber attacchi e l’incertezza su come implementare gli standard di cybersecurity e la governance.

Una delle maggiori minacce alla sicurezza informatica della rete elettrica coinvolge una funzione banale conosciuta come “sistemi di controllo industriale”. Gli ICS sono utilizzati per gestire i processi elettrici e le funzioni fisiche come l’apertura e la chiusura degli interruttori. Questi sistemi si stanno sempre più fondendo con tecnologie che si collegano o si basano su internet. Questo permette il monitoraggio remoto e può abbassare i costi e migliorare il risparmio energetico, ma crea anche più punti di accesso per gli hacker.

Nel 2015, le assicurazioni Lloyd’s hanno sviluppato uno scenario per un attacco a parte dell’interconnessione orientale, che fornisce energia a circa la metà degli Stati Uniti. Secondo lo scenario, un attacco ai generatori di energia causerebbe un blackout in 15 stati ed il Distretto di Columbia, lasciando 93 milioni di persone senza energia. Solo il 10% dei generatori presi di mira in questo ipotetico attacco avrebbe bisogno di essere messo offline per ovviare al problema.

MINACCE GLOBALI

La valutazione annuale delle minacce del 2021 ha concluso: “Anche se un numero crescente di paesi ed attori non statali hanno capacità [di cyberattacco], rimaniamo più preoccupati per Russia, Cina, Iran e Corea del Nord”. Il rapporto ha osservato che l’Iran è stato responsabile di molteplici cyberattacchi nel 2020 contro le strutture idriche israeliane. La Russia “continua a prendere di mira le infrastrutture strategiche, compresi i cavi sottomarini e i sistemi di controllo industriali, negli Stati Uniti e nei paesi alleati e partner, poiché compromettere tali infrastrutture migliora – e in alcuni casi può dimostrare – la propria capacità di danneggiare le infrastrutture durante una crisi”.

Una valutazione del 2020 del Dipartimento per la sicurezza interna ha avvertito che “restiamo preoccupati per l’intento della Cina di compromettere le infrastrutture critiche degli Stati Uniti al fine di causare interruzioni o danneggiamenti”. Il mese scorso, il segretario all’Energia Jennifer Granholm ha confermato che gli avversari dell’America sono in grado addirittura di spegnere l’intera rete.

Ci sono precedenti di cyberattacchi che causano dei blackout. Nel 2015, un cyberattacco su una sottostazione di utilità in Ucraina ha interrotto la corrente a 225.000 persone per diverse ore. È stata la prima volta che un attacco informatico è stato pubblicamente additato di aver causato un’interruzione di corrente. Il direttore dell’intelligence nazionale ha poi attribuito l’attacco ad “un attore statale con notevoli risorse tecnologiche”. Una nota del Council on Foreign Relations ha detto che le circostanze e le prove forensi suggeriscono un coinvolgimento russo. Nel 2016, i generatori di energia a Kiev sono stati presi di mira, con conseguenti blackout e tensioni sul sistema. La Russia ha dei precedenti sull’utilizzo dell’Ucraina come una sorta di “banco di prova”, eseguendo operazioni informatiche su piccola scala che potrebbe poi distribuire su larga scala contro gli Stati Uniti od altri avversari.

Gli hacker russi hanno preso di mira una società petrolchimica dell’Arabia Saudita nel 2017, spegnendo i sistemi di sicurezza utilizzati per prevenire le esplosioni. Nel 2018, il DHS e l’FBI hanno emesso un allarme che per la prima volta ha accusato pubblicamente “attori informatici del governo russo” di aver preso di mira e penetrato una varietà di strutture e settori di infrastrutture critiche negli Stati Uniti. L’allarme ha detto che gli hacker russi avevano ottenuto l’accesso remoto alle “reti del settore energetico”, che hanno usato per condurre la ricognizione della rete, muoversi attraverso i sistemi e raccogliere informazioni relative a ICS.

RESPONSABILITÀ PUBBLICHE E PRIVATE

Il governo federale ha la responsabilità primaria di proteggere la nazione dai cyberattacchi. Le aziende del settore privato che possiedono e gestiscono infrastrutture elettriche strategiche hanno anche doveri statutari e normativi per impiegare le migliori pratiche di sicurezza informatica, dedicare risorse adeguate e fare tutto il possibile per garantire che i loro sistemi siano sicuri e in grado di rispondere rapidamente alle interruzioni.

Il Dipartimento dell’Energia è la principale agenzia federale responsabile della protezione della rete elettrica. L’ufficio per la cybersicurezza del DOE si concentra sul rafforzamento della preparazione informatica del settore energetico, coordinando la risposta agli incidenti ed il ripristino della rete, ed accelerando la ricerca e lo sviluppo di sistemi energetici sicuri.

Nel mese di aprile, il DOE ha lanciato un’iniziativa per contribuire a migliorare la sicurezza informatica di ICS e proteggere la catena di approvvigionamento del settore energetico. Il piano dei primi 100 giorni si concentra sulla modernizzazione delle capacità del settore privato, e include step concreti che i proprietari e gli operatori devono soddisfare.

La Federal Energy Regulatory Commission svolge un ruolo di regolamentazione. La FERC regola la trasmissione inter-statale di elettricità e approva gli standard per il funzionamento del sistema di alimentazione di massa. Le attività cibernetiche della FERC includono l’emissione di sanzioni civili per far rispettare i requisiti normativi e la conduzione di indagini forensi delle entità regionali e di bulk power.

FERC supervisiona anche la North American Electric Reliability Corporation. NERC è un’organizzazione senza scopo di lucro designata a livello federale e certificata da FERC per sviluppare e applicare gli standard per garantire l’affidabilità del sistema di alimentazione di massa. NERC conduce anche valutazioni di affidabilità e forma e certifica i lavoratori del settore.

La revisione del GAO del 2019 sui rischi di cybersicurezza ha rilevato che il DOE non ha definito completamente una strategia per affrontare le sfide alla rete. Ha trovato che gli standard della rete di sicurezza informatica della FERC “non hanno risolto completamente i rischi di sicurezza informatica della rete”. GAO ha raccomandato a FERC di cambiare gli standard in modo che riflettano le migliori pratiche attualmente disponibili. Ha anche raccomandato che la commissione valuti il rischio di un attacco informatico coordinato basato su scala geografica, come un attacco che prenda di mira i sistemi in diverse parti del paese.

L’AZIONE DEL SENATO AMERICANO

Ad aprile, la senatrice Lisa Murkowski, insieme ai senatori Manchin, Risch, King e Rosen, ha introdotto la legge sulla protezione delle risorse della rete elettrica con tecnologia di sicurezza informatica. La legge bipartisan “PROTECT Act” incentiverebbe i servizi pubblici a investire in tecnologie che migliorano la loro sicurezza informatica. La senatrice Murkowski ha detto che la legge “aiuterebbe a garantire che i servizi pubblici in tutta l’America, comprese le aziende municipali e le cooperative elettriche, siano in grado di continuare a investire in tecnologie avanzate e all’avanguardia per la sicurezza informatica, rafforzando al contempo la partnership tra l’industria privata e il governo federale”.

La commissione per l’energia e le risorse naturali ha tenuto un’audizione lo scorso agosto esaminando gli sforzi per migliorare la sicurezza informatica per il settore energetico. L’audizione si è concentrata sui modi per migliorare la collaborazione tra l’industria e il governo, e sugli sforzi per proteggere le catene di approvvigionamento del settore energetico.

RPC.Senate.gov

Che cos’è il Republican Policy Committee?

Il Republican Policy Committee (RPC) del Senato degli Stati Uniti è stato istituito nel 1947. Il senatore Roy Blunt del Missouri ne è il 16° presidente ed è il quarto membro della leadership repubblicana al Senato degli Stati Uniti. Il comitato promuove le politiche repubblicane fornendo posizioni sulla legislazione, sul dibattito in aula e sulle votazioni. L’RPC fornisce anche un’analisi approfondita su questioni specifiche, soluzioni politiche ed alternative, e una guida strategica. Fornisce anche un’analisi registrata dei voti e gestisce la trasmissione televisiva interna di RPC. Nella tradizione dei presidenti passati, l’RPC fornisce un forum per i senatori repubblicani per discussioni politiche. Questo si svolge principalmente attraverso un pranzo settimanale dove vengono discusse le policy. L’RPC ospita anche i direttori del personale repubblicano e i direttori legislativi per discutere le commissioni del Senato e l’agenda politica.

Le origini di RPC risalgono al 1947 e al suo presidente fondatore, il senatore Robert A. Taft dell’Ohio. Il Comitato fu creato in seguito a una proposta bipartisan del Comitato congiunto sull’organizzazione del Congresso nel 1946. L’RPC era originariamente composto da nove senatori repubblicani. Essi fornivano a tutti gli altri senatori repubblicani una descrizione delle discussioni della riunione ed il presidente teneva una conferenza per la stampa dopo la riunione. Le discussioni politiche oggi includono tutti i senatori repubblicani.