Il CNR-Ircres, su incarico del NARUC (la National Association of Regulatory Utility Commissioners degli Stati Uniti), ha preparato il volume di linee guida “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, curato da Elena Ragazzi. Le linee guida sono state concepite come uno strumento pratico che i regolatori possono utilizzare nel prendere decisioni per promuovere gli sforzi degli operatori per rafforzare la preparazione dei sistemi elettrici nei confronti di cyber-attacchi.
Il progetto
Nel novembre 2018 il CNR IRCRES ha firmato un contratto con la National Association of Regulatory Utility Commissioners degli Stati Uniti (NARUC www.naruc.org), per lo sviluppo di linee guida (https://www.naruc.org/international/news/evaluating-the-prudency-of-cybersecurity-investments-guidelines-for-energy-regulators/) volte supportare la cybersicurezza dei sistemi elettrici nei paesi dell’area del Mar Nero: Armenia, Georgia, Moldavia e Ucraina. Il contratto è finanziato dall’agenzia di sviluppo internazionale degli Stati Uniti (U.S. Agency for International Development – USAID www.usaid.gov).
Da dicembre 2016, il NARUC collabora con regolatori provenienti da Armenia, Georgia, Moldavia e Ucraina, e successivamente dall’area dei Balcani, nell’ambito dell’iniziativa Europa e Eurasia per la sicurezza informatica sostenuta da USAID. Questa partnership ha lo scopo di aiutare le autorità di regolamentazione e le utility a sviluppare un quadro di politiche regolatorie per la sicurezza informatica che stabilisca gli standard di base, le capacità minime di difesa e diffonda buone pratiche presso le utility.
In questo contesto, lo sviluppo di linee guida per la cybersicurezza permette di fornire ai regolatori – dei paesi di economie in transizione in particolare ma non solo – gli strumenti metodologici per guidare il miglioramento della sicurezza e della resilienza del settore energetico contro l’emergente minaccia di attacchi informatici. Man mano che i sistemi elettrici si modernizzano, digitalizzano e si integrano, essi risultano sempre più esposti a ulteriori vulnerabilità che possono essere sfruttate dagli attacchi informatici.
“L’esempio dell’Ucraina, che è stata oggetto di ripetuti attacchi informatici, il più grave dei quali ha portato al primo caso documentato di blackout causato da attacco cyber, ha dato concreta evidenza di quanto gli esperti da tempo evidenziavano, ovvero che i cyberattacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l’economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Le minacce ai sistemi di controllo non vengono solo dai cyberterroristi; la guerra (fredda) cibernetica è uno strumento usato per marcare il controllo delle aree influenza geo-politica. La cybersicurezza, lungi dall’essere un puro problema tecnico-economico è un tema che arriva a chiamare in causa anche la difesa della democrazia e dell’indipendenza delle nazioni” spiega la curatrice del progetto Elena Ragazzi.
I regolatori energetici hanno un ruolo unico da svolgere nel campo della sicurezza informatica. Sebbene l’attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori, le autorità di regolamentazione hanno l’obbligo di garantire che gli investimenti effettuati in nome della sicurezza informatica e finanziati mediante tariffe siano ragionevoli, prudenti ed efficaci. I regolatori, sia in Europa sia nella regione dell’Eurasia e sia in tutto il mondo si sono a lungo interrogati sul modo per capire il miglioramento di protezione della rete che deriva da investimenti realizzati in nome della sicurezza informatica.
Nella regione dell’Europa sud-orientale, in particolare nei paesi del Mar Nero – Armenia, Georgia, Moldavia e Ucraina – si tratta di una questione di notevole importanza per diversi motivi. Da un lato c’è il problema di identificare i giusti investimenti. “L’auspicio di questi paesi di connettersi al sistema elettrico europeo, che ne accentuerebbe l’indipendenza politico-economica, non potrà avvenire prima che i sistemi nazionali che si candidano per la connessione si adeguino agli standard di sicurezza imposti dal sistema comunitario; infatti, la vulnerabilità dello snodo più remoto di una rete interconnessa, come è il sistema elettrico, si traduce immediatamente nella vulnerabilità dell’intero sistema. Imponenti investimenti di ammodernamento saranno necessari su tutti i fronti, cybersicurezza inclusa” dichiaraancora Elena Ragazzi. Dall’altro lato, data la sensibilità dei consumatori di quei paesi di fronte ad aumenti tariffari, i regolatori devono avere cura che gli sforzi si indirizzino verso le attività prioritarie, non trascurando criteri di efficienza. D’altronde questo è un problema da tenere d’occhio anche nel nostro paese, dove cresce la richiesta di giustificare gli oneri di sistema, non direttamente connessi al consumo di energia, caricati nelle nostre bollette.
CNR-Ircres è stato invitato a realizzare questo lavoro a partire da decenni di esperienza nello studio dell’economia del sistema energetico; fra questi, ha avviato più recentemente un focus sul tema specifico della sicurezza informatica. In particolare, il progetto ESSENCE (Emerging Security Standards to the EU power Network controls and other Critical Equipment, 2011-2014, finanziato dal programma CIPS http://essence.ceris.cnr.it/) ha per la prima volta condotto un esercizio di stima dei costi e dei benefici dell’attuazione di standard di sicurezza per proteggere le infrastrutture critiche dagli attacchi informatici. Uno studio simile non è mai stato ripetuto in seguito e quindi rappresenta un punto di partenza unico per il lavoro sulle linee guida, sia per l’approccio metodologico sia come fonte di evidenze empiriche quantitative.
Lo sviluppo delle linee guida è stato condotto con il costante coinvolgimento di regolatori, operatori ed esperti, nonché fondendo competenze e conoscenze di diverse discipline. Il progetto include anche un’attività di assistenza finale che coinvolge direttamente i regolatori dell’area del Mar Nero per personalizzare i risultati e preparare la strada per l’implementazione pratica.
Le linee guida
Le guidelines “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators” (by Elena Ragazzi (editor), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, Dennis K. Holstein)hanno lo scopo di assistere i regolatori nella definizione delle tariffe, stabilendo un approccio regolatorio per migliorare il livello di cibersicurezza dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande:
- Quali quadri regolatori sono più adatti per valutare la prudenza delle spese per la sicurezza informatica?
- In che modo i regolatori possono identificare e confrontare i costi della sicurezza informatica dagli altri costi operativi sostenuti dagli operatori?
- In che modo i regolatori possono identificare buone contromisure per la sicurezza informatica?
- In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure?
- È possibile valutare l’efficacia degli investimenti in sicurezza informatica?
- Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri normativi?
In conclusione, queste linee guida forniscono strumenti e approcci, discutendo spesso diverse alternative per ogni azione. Spesso viene discussa anche la filosofia alla base della loro applicazione, ma non vengono mai suggerite soluzioni chiavi in mano perché le strategie regolatorie sono profondamente legate ai valori e agli obiettivi di ogni paese.
Queste linee guida sono una risorsa, unica nel suo genere, per mettere in grado i regolatori dell’energia di supportare e migliorare la resistenza e resilienza della rete, garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte delle loro entità regolamentate. Le linee guida, che fondono capacità e conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi piuttosto che elenchi prescrittivi o formule pronte per l’uso.
Se queste linee guida sono state sviluppate per la regione dell’Europa sud-orientale, gran parte del loro contenuto può essere applicato universalmente al fine di governare in modo più strategico un’azione di difesa che è prioritaria ma che deve essere focalizzata e integrata per poter essere efficace.
Le guidelines possono essere scaricate dal sito dell’Ircres http://www.ircres.cnr.it/index.php/it/?option=com_content&view=article&id=254:
Elena Ragazzi (ed.), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, and Dennis K. Holstein (2020). Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators, NARUC, Washington DC.
Elena Ragazzi (2020). Costs and benefits of cybersecurity regulation. The terms of a complex assessment,Appendix 1 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
Elena Ragazzi (ed), Ugo Finardi, Alberto Stefanini (2020). Summary of the main results of the ESSENCE project,Appendix 2 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
Ugo Finardi, Elena Ragazzi, Alberto Stefanini (2020). EPRI cybersecurity metrics, Appendix 3 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
Daniele Benintendi and Alberto Stefanini, Elena Ragazzi (2020). Implementing a cybersecurity regulation: the OFGEM approach, Appendix 4 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
