L’Istituto di ricerca sulla crescita economica sostenibile (Ircres) del Cnr è autore del volume di linee guida “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, curato da Elena Ragazzi e concepito, su incarico della National Association of Regulatory Utility Commissioners degli Stati Uniti (Naruc), come uno strumento pratico per difendere la rete elettrica dai cyber-attacchi. Pensato in particolare per fornire alle autorità di regolamentazione dei Paesi di economie in transizione dell’area del Mar Nero (Armenia, Georgia, Moldavia e Ucraina), strumenti metodologici per guidare il miglioramento della sicurezza del settore energetico contro l’emergente minaccia di attacchi informatici, il volume è assolutamente valido anche per tutti gli altri Paesi.

Man mano che i sistemi elettrici si modernizzano, digitalizzano e si integrano, risultano, infatti, sempre più esposti a ulteriori vulnerabilità che possono essere sfruttate per gli attacchi informatici. “L’esempio dell’Ucraina, che è stata oggetto di ripetuti attacchi informatici, il più grave dei quali ha portato al primo caso documentato di blackout causato da attacco cyber, ha dato concreta evidenza di quanto gli esperti da tempo evidenziavano, ovvero che i cyberattacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l’economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Le minacce ai sistemi di controllo non vengono solo dai cyberterroristi; la guerra fredda cibernetica è uno strumento usato per marcare il controllo delle aree influenza geo-politica. La cybersicurezza, lungi dall’essere un mero problema tecnico-economico, è un tema che arriva a chiamare in causa anche la difesa della democrazia e dell’indipendenza delle nazioni”, spiega la curatrice del progetto Elena Ragazzi, ricercatrice Cnr-Ircres.

Diverse e attuali infatti le domande alle quali il lavoro tenta di rispondere, offrendo spesso varie alternative e strategie regolatorie, per valutare se sulla sicurezza informatica si sta investendo bene, e abbastanza, oppure troppo e in modo non efficace. Tra le più rilevanti: In che modo le autorità di regolamentazione possono identificare buone contromisure per la sicurezza informatica? È possibile valutare l’efficacia degli investimenti in sicurezza informatica? In che modo le autorità di regolamentazione possono identificare e confrontare i costi della sicurezza informatica dagli altri costi operativi sostenuti dagli operatori?

Le linee guida sono il frutto di un’esperienza decennale del Cnr-Ircres nello studio dell’economia del sistema energetico che recentemente ha anche avviato un focus sul tema specifico della sicurezza informatica. In particolare, il progetto Essence (Emerging Security Standards to the EU power Network controls and other Critical Equipment, 2011-2014 (http://essence.ceris.cnr.it/) ha stimato per la prima volta costi e benefici dell’attuazione di standard di sicurezza per la protezione delle infrastrutture critiche dagli attacchi informatici.

com.unica, 11 giugno 2020