È un incubo per i capi dell'energia europea.
Henriette Borgund sa che gli aggressori possono trovare dei punti deboli nelle difese di una grande azienda energetica rinnovabile - li ha trovati lei stessa. Lo scorso aprile è entrata a far parte della società norvegese Hydro come "hacker etico", mettendo a disposizione anni di esperienza nella difesa informatica militare in un periodo di guerra in Europa e di caos nei mercati energetici.
"Non sono sicura di voler commentare la frequenza con cui troviamo falle nel nostro sistema. Ma quello che posso dire è che abbiamo trovato delle falle nel nostro sistema", ha detto a Reuters presso la sede centrale di Hydro a Oslo, rifiutando di dettagliare la natura delle vulnerabilità per motivi di sicurezza.
Hydro è tra i numerosi grandi produttori di energia elettrica che stanno rafforzando le loro difese informatiche, soprattutto a causa dell'invasione dell'Ucraina da parte della Russia, che secondo loro ha aumentato la minaccia di attacchi hacker alle loro operazioni, secondo le interviste di Reuters con una dozzina di dirigenti di sette dei maggiori operatori europei.
"Abbiamo stabilito l'anno scorso, dopo l'inizio della guerra in Ucraina, che il rischio di sabotaggio informatico è aumentato", ha detto Michael Ebner, responsabile della sicurezza informatica dell'utility tedesca EnBW, che sta espandendo il suo team di sicurezza informatica di 200 persone per proteggere le operazioni che vanno dall'eolico e dal solare alle reti.
Tutti i dirigenti hanno detto che la sofisticazione dei cyberattacchi russi contro l'Ucraina ha fornito un campanello d'allarme su quanto i sistemi energetici digitalizzati e interconnessi possano essere vulnerabili agli aggressori. Stanno monitorando nervosamente una guerra ibrida in cui sono già state prese di mira le infrastrutture energetiche fisiche, dai gasdotti Nord Stream alla diga di Kakhovka.
"Le campagne informatiche che la Russia ha condotto contro l'Ucraina sono state molto mirate all'Ucraina. Ma siamo stati in grado di osservarle e di imparare da esse", ha dichiarato Torstein Gimnes Are, responsabile della cybersecurity di Hydro, produttore di alluminio e quarto generatore di energia elettrica della Norvegia.
Gimnes Are ha detto di temere che uno Stato nazionale possa collaborare con gruppi di hacker per infettare una rete con un software dannoso - anche se, come gli altri dirigenti, ha rifiutato di divulgare dettagli su attacchi o minacce specifiche, citando la riservatezza aziendale.
Il servizio di sicurezza ucraino SBU ha dichiarato a Reuters che la Russia lancia più di 10 cyberattacchi al giorno, in media, con il settore energetico ucraino come obiettivo prioritario. Ha detto che la Russia ha cercato di distruggere le reti digitali e di causare interruzioni di corrente, e che gli attacchi missilistici alle strutture erano spesso accompagnati da attacchi informatici.
I funzionari russi hanno affermato che l'Occidente incolpa ripetutamente Mosca per i cyberattacchi senza fornire prove e che gli Stati Uniti e i loro alleati conducono operazioni informatiche offensive contro di essa. Il Ministero degli Esteri russo non ha risposto immediatamente a una richiesta di commento sulle opinioni delle aziende elettriche o sulle affermazioni dell'SBU ucraino.
Le aziende elettriche europee, così come una mezza dozzina di esperti indipendenti di sicurezza tecnologica, hanno sottolineato che la tecnologia digitalizzata e interconnessa delle migliaia di impianti rinnovabili e di reti energetiche che stanno sorgendo in tutta Europa presenta importanti - e crescenti - vulnerabilità alle infiltrazioni.
"Il nuovo mondo dell'energia è decentralizzato. Ciò significa che abbiamo molte piccole unità - come gli impianti eolici e solari, ma anche i contatori intelligenti - che sono collegate in modo digitale", ha detto Swantje Westpfahl, direttore dell'Istituto tedesco per la sicurezza e la protezione.
"Questo collegamento in rete aumenta i rischi perché ci sono molti più punti di ingresso possibili per gli attacchi, con un impatto potenziale molto maggiore".
IL VIRUS TRITON CHIUDE L'IMPIANTO
I possibili effetti di un cyberattacco vanno dalla cattura di dati sensibili e interruzioni di corrente alla distruzione di un bene fisico, ha dichiarato James Forrest, vicepresidente esecutivo di Capgemini, che offre consulenza alle aziende sui rischi di sicurezza.
Ha citato, in particolare, il rischio di malware come il virus Triton, che gli hacker hanno utilizzato per prendere il controllo in remoto dei sistemi di sicurezza di un impianto petrolchimico saudita nel 2017 e spegnerlo.
Mentre i pacchetti di malware come Triton potrebbero essere armi algoritmiche esotiche, la modalità di ingresso più comune utilizzata dagli hacker che cercano di consegnarli è più familiare, secondo i dirigenti e gli esperti intervistati: tramite e-mail di phishing progettate per ottenere dati dai dipendenti, come le password di rete.
Tali attacchi sono "più o meno costanti", secondo Cem Gocgoren, responsabile della sicurezza informatica di Svenska Kraftnaet. L'operatore di rete svedese ha quadruplicato il suo team di cybersecurity, portandolo a circa 60 unità negli ultimi quattro anni, e sta sensibilizzando il personale. "Dobbiamo far capire loro che siamo sempre sotto attacco. È la nuova normalità".
L'hacker etico di Hydro, Borgund, ha fatto eco a questa sensazione di un bombardamento incessante attraverso il phishing, che ha descritto come il "primo vettore iniziale" dei cyberattaccanti.
ATTACCO INFORMATICO AL SATELLITE
Le centrali elettriche tradizionali, come quelle a gas e nucleari, operano tipicamente su infrastrutture IT chiuse all'aria e sigillate dall'esterno, il che le rende meno suscettibili ai cyberattacchi rispetto ai sabotaggi fisici, ha detto Stephan Gerling, ricercatore senior dell'ICS CERT di Kasperky, che studia e rileva le minacce informatiche sulle strutture industriali.
Al contrario, il numero sempre crescente di impianti rinnovabili più piccoli in Europa funziona con sistemi diversi di terze parti che sono collegati digitalmente alla rete elettrica e sono al di sotto della soglia di monitoraggio della generazione di energia stabilita dalle autorità di sicurezza, ha aggiunto.
Questo tipo di interconnessione è stata dimostrata lo scorso febbraio, quando un cyberattacco russo su una rete di comunicazione satellitare ucraina ha messo fuori uso il monitoraggio remoto di oltre 5.800 turbine eoliche della tedesca Enercon e le ha spente, ha detto Mathias Boeswetter, responsabile della sicurezza informatica del gruppo industriale tedesco dell'energia BDEW.
Sebbene l'incidente non abbia avuto ripercussioni sulla rete elettrica, ha mostrato l'aumento delle vulnerabilità informatiche poste dalla transizione energetica, ha aggiunto.
CHIAVE PER HACKERARE UN PARCO EOLICO
L'hacking di un parco eolico può essere relativamente facile.
I ricercatori dell'Università di Tulsa hanno condotto un esperimento di hacking in parchi eolici senza nome negli Stati Uniti nel 2017 per testare le loro vulnerabilità, con il permesso degli operatori del parco eolico, secondo un rapporto sulle minacce informatiche all'energia della società di consulenza sui rischi DNV.
I ricercatori hanno forzato una serratura per accedere a una camera nella base di una turbina eolica, secondo il rapporto. Sono entrati nel server della turbina e hanno ottenuto un elenco di indirizzi IP che rappresentano ogni turbina collegata in rete nel campo. Poi hanno impedito alla turbina di girare.
Spinta dagli sforzi governativi per liberare le nazioni dai combustibili fossili e raddoppiare le energie rinnovabili, l'energia eolica e solare ha rappresentato più di un quinto della domanda energetica europea nel 2021, secondo i dati dell'UE, una quota che si prevede raddoppierà entro il 2030.
E.ON - il più grande operatore europeo di reti energetiche con una rete che si estende per 1 milione di chilometri - ha anche osservato un aumento del rischio di cyberattacchi, ha detto il suo CEO Leonhard Birnbaum alla riunione degli azionisti del gruppo a maggio.
L'azienda ha ampliato il suo personale dedicato al cyber a circa 200 persone nel corso degli anni, ha dichiarato nei commenti inviati via e-mail, aggiungendo che il gruppo ha riconosciuto da tempo la rilevanza del problema.
"Mettere la cybersicurezza in cima alla lista delle priorità solo dopo l'inizio della guerra in Ucraina e la crisi energetica sarebbe stata una grave omissione", ha affermato.
Il settore energetico europeo nel suo complesso potrebbe essere impreparato alla portata della sfida della sicurezza - questa è l'opinione di molti lavoratori del settore, che affermano che la mancanza di competenze interne in materia di cybersecurity è il maggiore ostacolo alla protezione efficace contro gli attacchi, secondo un'indagine separata di DNV su circa 600 professionisti dell'energia condotta a febbraio e marzo.
"Le aziende del settore energetico hanno come core business la produzione di energia, non la cybersecurity", ha detto Jalal Bouhdada, CEO della società di cybersecurity Applied Risk, una divisione di DNV.
"Questo significa che devono lavorare diligentemente per proteggere ogni aspetto della loro infrastruttura, perché gli attori malintenzionati devono solo trovare una lacuna da sfruttare".
