Cerca
Close this search box.
Cerca
Close this search box.

Intelligenza Artificiale e Cyber Security. Utility tra innovazione, tecnologie e normativa

webinar-intellera-1

Intervista a Claudio Paganelli e Marco Tulliani, Intellera Consulting

Di Emanuele Martinelli

Si evolve il rapporto tra digitalizzazione e Utility, e si fa sempre più alta l’attenzione per il binomio intelligenza artificiale e sicurezza informatica. Dopo l’implementazione delle diverse direttive NIS e NIS2, il 2024 si prospetta come di forte consapevolezza e implementazione nel rapporto tra i due ambiti. È quindi essenziale aumentare il livello di attenzione in particolare per chi si occupa di infrastrutture critiche sia dal punto di vista normativo che tecnologico, temi strettamente correlati e propedeutici uno all’altro.

Intellera Consulting è certamente oggi un riferimento per il mondo Utility, che sta affiancando su progetti legati al PNRR e su alcuni focus strategici tra cui quello fondamentale legato alla sicurezza informatica. Un campo che gioca un ruolo chiave per il Paese e la sua obsolescenza, soprattutto nell’approccio alla trasformazione orientata alla digitalizzazione, che lo rende in generale più suscettibile agli attacchi. Ancora in molti casi il tessuto legato alle reti di pubblica utilità pare ostile alla digitalizzazione, con una combinazione di infrastrutture fisiche e digitali poco efficiente.

Il contributo che Intellera Consulting desidera fornire al settore va anche nella direzione di una maggior sensibilizzazione e informazione su temi che già nei prossimi mesi saranno centro di attenzione per il settore Utility.

Sul complesso rapporto tra AI e Cyber Security abbiamo dunque interpellato due esperti approcciando il tema dal punto di vista tecnologico e normativo.

Di tecnologie abbiamo dunque parlato Claudio Paganelli, Associate Partner Intellera Consulting, professionista con oltre 25 anni di esperienza in IT Governance & Cyber Security

Ingegner Paganelli, impianti, reti e infrastrutture dedicate ai servizi di pubblica utilità si legano sempre più a IT, IoT e TLC; al tempo stesso sono diventati tra gli obiettivi principali degli attaccanti informatici. Come si può contenere il fenomeno?

Il connubio sempre più stretto tra intelligenza artificiale e Cyber Security apre notevolmente il perimetro per eventuali attacchi, grazie all’utilizzo crescente di dispositivi mobili in grado di abilitare qualsiasi azione quotidiana; la sicurezza così non è più circoscritta alle aziende o alle infrastrutture private o del terziario, ma si estende ovunque. L’adozione dell’AI per esempio, sarà cruciale per monitorare i flussi di traffico nella rete aziendale e migliorare la rilevazione delle minacce.

Possiamo considerare il crescente utilizzo dell’intelligenza artificiale un’arma a doppio taglio, dato che naturalmente anche gli hacker sfruttano la AI, spesso con maggiori risorse economiche a disposizione delle piccole aziende o dei singoli individui. La crescente diffusione di tecniche avanzate, come la AI rigenerativa, utilizzata per attacchi come il phishing, evidenzia la necessità di stabilire dei parametri ben saldi nell’utilizzo di questa tecnologia. Al tempo stesso bisogna considerare che la “collaborazione” tra Cyber Security e AI consente di elaborare rapidamente l’ampia mole di informazioni e velocizzare così la possibilità di attacchi mirati che prima richiedevano mesi di studio del soggetto da attaccare.

In questo contesto l’Europa svolge un ruolo significativo nell’assicurare che lo sviluppo sia etico e conforme agli standard.

L’innovazione tecnologica porterà a una maggior integrazione dei servizi, introducendo una complessità che, se da un lato offre molte opportunità soprattutto alle multi utility, dall’altro genera nuove fragilità.

Oggi affrontiamo temi che davvero si integrano in modo decisamente virtuoso; pensiamo al rapporto tra settore idrico, energia e ambiente, alla produzione di dati integrati che aumenteranno sia il valore delle infrastrutture che relazioni sempre più avanzate con i cittadini. Il nostro gruppo di lavoro dedicato ha per esempio compiuto analisi profonde sugli impatti derivanti da attacchi cyber per i gestori ambientali; e lo stesso abbiamo potuto fare per infrastrutture idriche o per smart grid dedicate a energia distribuita. Proviamo dunque a garantire un livello standard di sicurezza, che dovrà via via tener conto dell’integrazione tra molteplici stakeholder; e che arriverà all’ultimo miglio, con smart meter e sensori che sempre più saranno presenti nelle abitazioni dei cittadini.

Infrastrutture suscettibili di attacchi, tenendo anche conto che chi produce l’hardware finale non sempre presta sufficiente attenzione alla sicurezza. Il contatore domestico diventa così un punto debole che, se compromesso, può causare disservizi come lo spegnimento dei termosifoni o la riduzione della potenza, influenzando il funzionamento degli impianti. E lo stesso molto presto potrebbe accadere per l’erogazione del servizio idrico.

L’espansione delle opportunità, resa possibile dal progresso tecnologico, aumenta quindi sensibilmente la vulnerabilità dei cittadini; è dunque essenziale garantire che questa evoluzione sia adeguatamente protetta.

Come si vince questa sfida?

La nostra esperienza ci dice che in primis sarà fondamentale mettere d’accordo tutti gli stakeholder, come spesso accade nei processi che contraddistinguono l’Information Technology (IT), affinché raggiungano un livello minimo di adattamento ai parametri di sicurezza. Spesso l’hardware proviene da paesi in cui la qualità è sacrificata in favore di un prezzo molto basso, ciò rende complicato integrarlo in un ecosistema progettato per essere sicuro by design, con il rischio che il punto debole sia il chip all’interno di questi dispositivi.

Questo è sicuramente un problema che Intellera sta affrontando, cercando di aumentare la capacità dell’intera filiera di proteggersi; non solo analizzando e intervenendo sulla componente hardware, con test di vulnerabilità e aggiornamenti, ma mitigando le azioni che possono influire su tutta la filiera, dal tessuto industriale a quello domestico. Immaginiamo i danni prodotti dalla riduzione della potenza di un impianto di pompaggio dell’acqua, o di un’acciaieria; ma lo stesso vale per gli ospedali e per ogni servizio di pubblica utilità.

 

Il rapporto diretto con i fornitori di tecnologie è fondamentale; ma è chiaro che il campo d’azione diventa estremamente esteso. Come gestite questo punto così delicato?

È per noi importante l’agnosticità nei confronti della tecnologia, pur facendoci coinvolgere nello sviluppo dei processi sia dai fornitori che dai clienti. Siamo essenzialmente una terza parte che facilita la collaborazione tra soggetti diversi, garantendo che – dalle tecnologie alle risorse umane – tutto si svolga secondo gli standard adeguati alla postura di sicurezza richiesta dal cliente.

Alcuni settori come l’idrico stanno implementando l’introduzione di strumenti digitali. Si tratta di un ambito su cui state ponendo particolare attenzione?

Certamente in questo momento storico il settore idrico necessita di maggiori attenzioni, ma ci interessano tutti i segmenti legati ai servizi di pubblica utilità, tenendo conto che gli strumenti utilizzati sia per la gestione dell’acqua che per l’erogazione dell’energia sono fortemente connessi ai sistemi IoT (Internet of Things) e agli OT (Operational Technology), in grado quindi di ottimizzare e migliorare l’efficienza complessiva degli esercizi.

Si moltiplicano i nodi da mettere in sicurezza; che i clienti chiedono, ognuno per le proprie specificità, in qualche modo di sciogliere.

Per questo ci concentriamo sulla comprensione delle esigenze del cliente. Partiamo dall’analisi di obblighi normativi come la direttiva NIS2 e il framework NIST, ampiamente utilizzato nella sicurezza informatica, e conduciamo un’analisi approfondita sulle infrastrutture, aiutando il cliente a comprendere il livello di conformità normativa presente. Collaboriamo con i nostri interlocutori per definire il livello di sicurezza desiderato e le azioni relative, tenendo conto del contesto normativo di riferimento e delle disponibilità finanziarie rispetto al patrimonio da mettere in sicurezza. Azioni che possono riguardare sia aspetti tecnologici, come l’indicazione di specifici prodotti tramite benchmarking, che aspetti procedurali, fornendo supporto nella definizione di policy e documentazione organizzativa.

Offriamo un accompagnamento verso una maturità cyber, consentendo al cliente di crescere in modo sicuro.

In aggiunta a questi servizi, forniamo supporto tecnologico pratico. Eseguiamo penetration test su singole tecnologie, valutiamo la reputazione online del cliente, anche su dark web, per anticipare possibili vulnerabilità e attacchi. Mettiamo in atto strategie di intelligence e investigazioni per migliorare la postura di sicurezza complessiva stessa del cliente e mantenerla a un livello desiderato.

Si avverte un cambiamento di atteggiamento all’interno del settore utility o siamo ancora lontani da una maturità tale che permetta di agire prima di essere attaccati?

Stiamo assistendo a un cambio di paradigma in primis organizzativo. Attualmente, il ruolo del Chief Information Security Officer (CISO) non è più visto semplicemente come un esperto di sicurezza informatica, ma come una figura incaricata di tutelare la reputazione dell’azienda in senso più ampio. L’importanza di questo ruolo è ben compresa oggi dall’Amministratore Delegato, che riconosce come una carenza nella sicurezza informatica possa danneggiare l’azienda sia in termini finanziari che reputazionali, influenzando la visibilità all’interno del proprio ecosistema e tra i clienti. Le mancanze a livello di sicurezza informatica possono avere impatti oltre che economici anche mediatici significativi, con la possibilità di finire su giornali locali, reti nazionali o telegiornali. Attualmente, l’AD percepisce questo rischio come un danno non solo in termini di marginalità economica, ma anche di valore complessivo dell’azienda. Il che sta portando a un netto cambio di paradigma, con la consapevolezza che gli investimenti relativi devono essere valutati sulla capacità dell’azienda stessa di comprendere le problematiche gestendo il rischio in base alle proprie reali esigenze.

Il problema della sicurezza non riguarda solo l’impresa e i singoli dipendenti, potenziali vittime di attacchi di phishing, ma coinvolge l’intero ecosistema di fornitori che gravitano attorno all’azienda. In particolare, considerando l’ampio ricorso all’outsourcing, le terze parti diventano una componente cruciale nell’infrastruttura digitale aziendale, e controllarle diventa essenziale per garantire un livello adeguato di sicurezza.

È fondamentale sensibilizzare il mondo delle piccole e medie utility, consentendo di adottare sistemi di sicurezza sostenibili economicamente. Tenendo conto che si tratta di soggetti con fortissime connessioni con i propri territori di riferimento.

Uno dei fattori distintivi di Intellera risiede nella forte conoscenza dei singoli segmenti, compreso quello della Pubblica Amministrazione. Esiste una concezione diffusa ma errata secondo cui affrontare la Cyber Security richieda enormi investimenti, rendendola così fuori dalla portata di molti. In realtà, questa affermazione è solo parzialmente vera e dipende dagli interventi che un’azienda decide di implementare; grazie a stretti rapporti di partnership con i nostri interlocutori cerchiamo di tenere in equilibrio i bisogni con le capacità finanziarie.

La Cyber Security, essendo un concetto olistico, va affrontata in maniera condivisa all’interno dell’azienda. Prendiamo ad esempio l’approccio Zero Trust, attualmente molto diffuso. Non si tratta solo di acquisire tecnologie come la Zero Trust Network Access (ZTNA), ma anche di intervenire sui processi aziendali all’interno dei quali ogni dipendente svolgerà solo le attività necessarie per garantire adeguati standard di sicurezza. Questo approccio minimizza i rischi, consentendo una migliore gestione dei dati e limitando eventuali danni in caso di attacco.

Un esempio pratico potrebbe essere la sostituzione delle costose VPN (Virtual Private Network) con un censimento accurato dei dipendenti e la selezione oculata dei fornitori. Queste azioni, più orientate all’abitudine che agli investimenti effettivi, contribuiscono a costruire una cultura della Cyber Security all’interno dell’azienda. Certamente, gli investimenti sono necessari, ma quando la consapevolezza della sicurezza informatica è diffusa a tutti i livelli aziendali, ogni stanziamento viene affrontato con una mentalità più consapevole, in sintonia con il livello di rischio specifico dell’azienda stessa.

Quando un’utility indice una gara, ad esempio per l’acquisizione di smart meter, offrite supporto sui criteri qualitativi richiesti anche in termini di Cyber Security?

Certamente possiamo rendere consapevoli delle caratteristiche che deve possedere il dispositivo, indipendentemente dal prezzo o dal fornitore, individuando le specifiche minime di qualità del contatore stesso. Successivamente, esaminiamo se lo smart meter è integrabile con l’infrastruttura esistente e valutiamo i costi associati alla sua gestione.

Questo approccio aiuta a comprendere non solo il costo iniziale dell’acquisto ma anche i costi operativi nel lungo termine. Il nostro servizio di benchmarking fornisce in tal senso un supporto prezioso alle aziende per comprendere come implementare la sicurezza in modo sostenibile, in linea con la capacità di spesa dell’azienda stessa. In tal modo, siamo in grado di ottimizzare i costi/benefici e garantire che le decisioni prese siano allineate agli obiettivi di sicurezza e alle risorse disponibili.

Cyber Security e AI: evoluzione della normativa

La direttiva vigente impone alle grandi utility di conformarsi alle caratteristiche operative e strategiche della NIS2, garantendo una risposta tempestiva agli attacchi al fine di ridurre i rischi di interruzioni dei servizi per i cittadini, senz’altro uno dei problemi principali. Intellera si posiziona come società di consulenza di riferimento in questo ambito; grazie alla sua esperienza e alle competenze trasversali sviluppate nel tempo è coinvolta attivamente nell’ecosistema NIS, nel rapporto tra sicurezza informatica e trasformazione digitale.

Come spesso o quasi sempre succede, innovazione tecnologica e normativa si rincorrono. Abbiamo dunque chiesto a Marco Tulliani, Partner Intellera Consulting, di fornirci lo stato dell’arte nel rapporto tra AI e Cyber Security a fronte dell’implementazione della NIS2.

 

Direttiva NIS2 – Network and Information Systems – e NIST 800-82: quali gli sviluppi in particolare per il mondo utility?

La normativa europea NIS2 affronta diversi temi, a partire dal coinvolgimento di una serie di attori che precedentemente non erano presenti, in particolare appartenenti proprio ai settori connessi al mondo Utility. Inoltre ora comprende le terze parti e la sicurezza dell’ecosistema, compresi i fornitori e la catena di approvvigionamento. Molte aziende interagiscono all’esterno sia per l’outsourcing che per l’uso di dispositivi specifici, oltre al supporto fornito da consulenti e provider di servizi vari. Questo implica un’analisi del rischio cibernetico verticale lungo l’intera catena di approvvigionamento, di particolare importanza proprio per il complesso e multidisciplinare mondo Utility. Il terzo tema è l’introduzione di una nuova classificazione degli incidenti, accompagnata da una serie di accordi relativi al livello di servizio che devono essere rispettati e comunicati ai Paesi comunitari. A oggi, sono ancora numerose le aziende che dovranno adeguarsi alla NIS2, che avrà una scadenza tra il 2024 e il 2025.

Il NIST 800-82 – National Institute of Standards and Technology – è invece uno standard specifico per la Cyber Security che fa riferimento all’ambiente delle Operational Technology; uno standard particolarmente rilevante per le aziende che gestiscono le proprie infrastrutture anche attraverso l’Internet of Things (IoT), che coinvolge dispositivi interconnessi in grado di raccogliere e scambiare dati attraverso la rete. L’ambiente OT si concentra su sistemi e dispositivi dedicati al controllo e monitoraggio di processi industriali, come i sistemi SCADA (Supervisory Control and Data Acquisition). Il NIST 800-82 fornisce linee guida e best practice per proteggere sistemi OT e IoT da minacce cibernetiche, affronta questioni relative alla sicurezza dei dispositivi, alla gestione degli accessi, al monitoraggio e alla risposta agli incidenti. L’adozione di questo framework aiuta le aziende a migliorare la sicurezza delle loro infrastrutture, fornendo un approccio strutturato e basato su standard riconosciuti; compreso quello che sovrintende al tema del telecontrollo delle reti.

In questo contesto, la gestione della sicurezza da un lato porta verso una centralizzazione delle strategie per garantire coerenza e allineamento agli obiettivi globali, dall’altra parte offre la possibilità di affrontare sfide specifiche verticali, di settore. In molti casi quindi, le organizzazioni implementano una struttura che coinvolge un team centrale di esperti in Cyber Security, responsabile delle politiche globali e della gestione dei rischi a livello aziendale, ma che collabora strettamente con team operativi più specifici in ciascun segmento. Questo approccio consente di bilanciare la centralizzazione delle strategie con la necessità di adattarsi alle sfide specifiche di ciascuna area di servizio.

La Cyber Security diventa un impegno trasversale a tutti i settori dell’azienda ma è comunque necessaria una forte governance interna che coordini e supervisioni le attività.

Il tema della governance è di grande importanza a tutti i livelli quando si parla di Cyber Security. Prendiamo per esempio il contesto delle Smart City, dove la governance e quindi anche la gestione dei budget fanno capo a più soggetti. La normativa sottolinea l’importanza di utilizzare i fondi a disposizione su aspetti interdisciplinari per garantire che vi sia una percentuale adeguata dedicata alla sicurezza cibernetica; ma non solo, la normativa richiede un framework di monitoraggio delle performance IT per valutare l’efficacia delle misure di sicurezza cibernetica implementate. Questo permette di identificare eventuali aree di miglioramento e assicurare un costante adeguamento alle minacce emergenti.

È infatti indispensabile lavorare sui pericoli, quindi su gestione del rischio e nuova tassonomia europea delle minacce e degli incidenti; quest’ultima offre un quadro aggiornato per identificare, classificare e rispondere ai diversi attacchi. La normativa promuove quindi un approccio più specifico e adattabile alla gestione delle minacce grazie all’Information Sharing, un elemento chiave per affrontare i rischi in modo collaborativo.

Nel contesto delle Utility, che contribuiscono alla realizzazione di Smart City, questo aspetto diventa cruciale per garantire la sicurezza di ampie infrastrutture integrate. Proprio la condivisione di informazioni e best practice tra Utility e Pubbliche Amministrazioni diventa essenziale per affrontare le sfide comuni, garantendo la continuità dei servizi essenziali e assicurare in primis la sicurezza delle persone. Sembrano mondi lontani ma in realtà operare sul rapporto tra Cyber Security e Smart Grid impatta sulla vita quotidiana dei cittadini; la sicurezza di infrastrutture vitali come l’acqua per esempio è fondamentale e se si dovesse subire un attacco alle reti idriche i problemi sarebbero molteplici, non solo in merito all’igiene ma in riferimento al benessere e alla continuità di servizio per le comunità.

Il fatto di operare in un segmento che mette in sicurezza i servizi ai cittadini può tradursi per Intellera in un impegno che va oltre il business stesso?

L’impatto sociale e la consapevolezza di operare seppur indirettamente nei confronti dei cittadini è sempre stato un tratto distintivo di Intellera Consulting, nata per affiancare in particolare le PA italiane. Si tratta di elementi chiave che passano anche da informazioni solide, corretta comunicazione e interazione con i clienti.

La transizione verso un’energia sempre più distribuita non solo implica una complessità maggiore in termini di flussi bidirezionali, ma offre anche opportunità di collaborazione più strette tra Utility e industrie locali. Cosa ne pensa?

Durante la mia esperienza professionale in Terna ho potuto conoscere da vicino la complessa catena di approvvigionamento e trasmissione dell’energia, che coinvolgeva anche i soggetti preposti alla vendita ai cliente industriali. Ancor più in questo caso si comprende come la produzione di dispositivi e tecnologie diventano parte fondamentale del sistema, evidenziando l’importanza di adottare pratiche di Cyber Security che vanno dall’erogazione di energia ai processi industriali.

Nel contesto attuale, è essenziale che ogni attore nella catena dell’approvvigionamento energetico dimostri di avere una sicurezza informatica adeguata alle normative vigenti. Questo è particolarmente rilevante quando si tratta di infrastrutture critiche; qualsiasi minaccia alla sicurezza potrebbe avere ripercussioni significative sulla fornitura energetica, sulla stabilità del sistema nel suo complesso e pure, naturalmente, sull’operatività delle industrie stesse.

Chiudiamo tornando al tema dell’Intelligenza Artificiale utilizzata dalle Utility. La rivoluzione è certamente in corso.

Quando si sviluppa un’applicazione intelligente per le Utility, è essenziale integrare requisiti di Cyber Security fin dalla fase di progettazione; considerare aspetti come l’autenticazione, l’autorizzazione, la cifratura dei dati e la protezione contro attacchi comuni deve essere una priorità. Rilevare velocemente le minacce e rispondere reattivamente è fondamentale.

Tra le minacce cyber troviamo spesso malware che sfruttano a proprio vantaggio l’AI attraverso algoritmi di apprendimento automatico in grado di causare attacchi sofisticati.

Stiamo andando verso un’epoca rivoluzionaria da questo punto di vista dove l’AI può essere funzionale a tutti i processi che comprendono come abbiamo ribadito soluzioni di Cyber Security all’avanguardia. Ma tutto questo sarà possibile solo a fronte di una formazione consapevole, specifica, soprattutto per sistemi complessi come quelli afferenti al settore delle Utility; contare su personale preparato – sia in termini normativi che tecnologici – velocizza i tempi e permette di affrontare le sfide emergenti con tutto il proprio potenziale.

Per scoprirne di più iscriviti ai webinar!

AI, Utility e Cyber Security, 3 incontri per saperne di più

PUBBLICATO IL
13 Marzo 2024

Condividi:

media correlati