In prima linea per la sicurezza informatica (cyber security)

L’evoluzione tecnologica è sempre più parte della quotidianità; oltre a portare con sé numerosi vantaggi espone anche le aziende al rischio di attacchi informatici. Nelle cosiddette infrastrutture critiche nazionali (CNI), l’energia elettrica riveste un ruolo cruciale, perché necessaria all’alimentazione di tutte le altre. Per questo la cyber security tutela al tempo stesso il know-how aziendale e la sicurezza dei cittadini, garantendo la continuità del servizio elettrico nazionale. In passato l’attuazione di misure di sicurezza comportava il rallentamento dei processi di business. Oggi, invece, la cyber security rappresenta un fattore abilitante per la digitalizzazione delle reti e lo sviluppo di servizi innovativi per i cittadini. Il contesto Enel di cyber security è multidisciplinare, interconnesso con caratteristiche legate alla distribuzione geografica, alla catena del valore, alla presenza di sistemi corporate e industriali e a fattori esterni.

Cyber security

Cyber security

Enel blocca

Ogni giorno Enel blocca:

  • circa 300mila mail malevole;
  • oltre 1.000 virus;
  • 300mila attacchi sulle pagine web dei siti e dei sistemi.

Il Gruppo Enel è dotato di un’organizzazione al fine di garantire la corretta identificazione dei ruoli e attribuzione delle responsabilità per la sicurezza delle informazioni, nonché la costituzione di processi organizzativi in grado di assicurare l’applicazione omogenea delle politiche di sicurezza. Alcuni dei principali processi riguardano l’analisi dei rischi, attività di business intelligence, al fine di monitorare le minacce allo sviluppo delle attività del Gruppo Enel, la gestione delle frodi, la classificazione e la protezione delle informazioni trattate, il controllo accessi ai sistemi ICT nonché la sicurezza delle reti ICT, delle infrastrutture e applicazioni ICT e della sicurezza delle dotazioni personali IT.

Per intercettare le minacce prima che si manifestino sui sistemi, è necessario predisporre attività di cyber intelligence mutuate dalle logiche e dalle metodologie dell’intelligence tradizionale. Enel, consapevole che le modalità di attacco diventano sempre più sofisticate e che si evolvono anche molto rapidamente, opera su tre fronti: prevenzione, rilevazione e contrasto. L’utilizzo di un motore di correlazione (SIEM Security Information and Event Management Engine) che analizza e incrocia gli oltre 600mila eventi informatici al minuto rappresenta la punta di diamante dell’intera infrastruttura di cyber security in Enel.

Il Gruppo Enel è stato tra le prime utility a predisporre misure di sicurezza per i propri asset e promuove da anni lo sviluppo della tematica a livello nazionale e internazionale. Nel 2015 ha preso parte a un tavolo tecnico, nato in collaborazione con la Presidenza del Consiglio dei Ministri Italiana e l’Università La Sapienza di Roma, con l’obiettivo di creare in Italia uno standard di riferimento per la protezione dei sistemi informatici, guardando all’esperienza di altri Paesi. Ha anche partecipato attivamente ai comitati tecnici nazionali e internazionali, tra i quali quelli della commissione elettrotecnica internazionale responsabile di definire gli standard di sicurezza per le infrastrutture elettriche (IEC TC57/WG15) e dell’Osservatorio Nazionale per la Cyber Security, Resilienza e Business Continuity dei Sistemi Elettrici.

Enel partecipa al consorzio EE-ISAC

A febbraio 2016 Enel ha firmato l’adesione, come Founding Member, al consorzio industriale EE-ISAC (European Energy Information Sharing and Analysis Center). Si tratta di un’iniziativa europea che ha l’obiettivo di fornire strumenti di prevenzione e supporto rispetto ai rischi derivanti da minacce terroristiche e di sicurezza, in particolare quelle cyber, gravanti sulle infrastrutture energetiche. L’obiettivo è creare una comunità di partner che condividono casi di attacchi informatici e sviluppano insieme best practice operative.

Enel nel 2015 ha inoltre avviato un progetto per definire un nuovo Framework per la Gestione della Cyber Security. In particolare le 3 aree progettuali principali sono state:

  • Cyber Security Assessment: esecuzione di un Assessment al fine di identificare il livello attuale di maturità dei processi, dell’organizzazione e delle tecnologie informatiche e operative del Gruppo;
  • definizione di un Framework per la Gestione della Cyber Security, per sviluppare un approccio proattivo di security by design. Il nuovo Framework è applicabile a tutti i sistemi tecnologici (IT e OT) e a tutte le aree geografiche;
  • Gap Analysis e Piano delle Attività di Remediation: sulla base dei risultati delle attività precedenti sono state identificate le principali aree di miglioramento e le relative azioni da porre in essere, alcune a breve termine e altre a medio-lungo termine.

Tale attività ha permesso di coprire il 100% di quanto previsto dal Framework di Cyber Security del NIST (National Institute of Standards and Technology). Si tratta di linee guida volute dalla Presidenza americana e che costituiscono un punto di riferimento per le imprese del settore privato a livello globale.

Sono state pubblicate nel 2015: 4 Security Policy(5), 6 Security standard e Linee guida(6) e predisposti 5 documenti di studio e analisi di mercato per l’individuazione di nuove tecnologie e soluzioni per la cyber security, tra le quali “Web application protection - WAF and anti DoS services” per la protezione dei servizi Cloud e on Premises.

87 attività di ethical hacking

Enel utilizza tecniche sofisticate per individuare se vi sono vulnerabilità negli applicativi che possono essere sfruttate per mettere a rischio infrastrutture o dati aziendali (ethical hacking e penetration test) per testare la robustezza delle sue applicazioni in particolare se contengono dati personali dei clienti o dei fornitori. Le vulnerabilità individuate sono analizzate ed eliminate mediante l’avvio di opportuni piani di rimedio.

Nel 2015 sono state effettuate 87 attività di ethical hacking (nel 2014 erano state 45). Il trend di crescita continuerà nei prossimi anni a fronte di una più sistematica analisi delle applicazioni IT prima del passaggio in produzione e di una estensione al mondo Industrial (OT).

Digital Surveillance

Enel, inoltre, usa specifiche tecniche (“Digital Surveillance”) per “osservare” cosa avviene nel mondo internet e riuscire ad avere una forma proattiva di sicurezza intervenendo sui potenziali rischi al loro sorgere.

Nel corso dell’anno sono stati identificati oltre 250 domini internet sospetti, più di 100 interventi illeciti da parte di attivisti cibernetici (per esempio, Anonymous) tra cui anche l’uso illecito dei brand del Gruppo.

Enel si è infine dotata di un dashboard dove sono tenuti sotto osservazione gli andamenti mensili delle misure di sicurezza organizzati secondo diverse viste: rischi principali, strategia, Sostenibilità, fornitori, NIST framework.

Cyber risks

Sensibilizzazione e formazione

Attenzione, vigilanza e consapevolezza sono i concetti alla base della campagna “Cyber Risks” lanciata nel 2015 e rivolta a tutti i dipendenti di Enel. La campagna di sensibilizzazione vuole creare consapevolezza di quali siano i rischi e fornire nozioni base per salvaguardare i propri dati, in azienda e fuori.

In particolare obiettivi della campagna sono: creare una cultura della cyber security, cambiare il comportamento dei colleghi per ridurre i rischi, sviluppare competenze tecniche sulla sicurezza, prevenire l’aumento di attacchi e minacce.

Nel sito Global ICT è stata prevista una specifica sezione dedicata a tale tema per avere a disposizione sempre tutto il materiale utile relativo alla cyber security.

(5) Policy n. 103 “Bring Your Own Device (BYOD) policy”, Policy n. 111 “Management of Logical Access to ICT Systems”, Policy n. 33 “Information Classification and Protection”, Policy n. 24 “Incident and Crisis Management”.
(6) Anti-Malware Software Standard on ICS/SCADA Windows platforms, CLOUD Security – IAAS, Tibco Platform: Security Guidelines, Security in Developing Mobile Apps, SAP Security Standard – v.2, Security for Workstations and Mobile Devices - Technical Report.