La trasformazione del sistema elettro-energetico richiede soluzioni avanzate di sicurezza cyber per la protezione delle infrastrutture digitalizzate di controllo e monitoraggio. Le misure preventive non sempre sono applicabili e quando implementate possono non garantire una protezione sufficiente. Risulta quindi fondamentale lo sviluppo di soluzioni per l’individuazione di comportamenti malevoli da parte di soggetti ostili.

È essenziale sviluppare soluzioni con la capacità di individuare prima possibile qualsiasi attività sospetta così da fermare l’avanzata del processo di attacco in passi successivi.

La base di partenza consiste nell’adozione di strumenti di monitoraggio che consentano di registrare, analizzare e organizzare tutti gli eventi all’interno dell’infrastruttura che possano essere rilevanti per la sicurezza.

A partire da questi obiettivi, in questo rapporto viene descritto un ambiente modulare che permette la modellazione e l’analisi di processi di attacco, attraverso interfacce grafiche e strumenti di simulazione, al fine di individuare le azioni sospette. Inoltre, sono presentati diversi moduli per il monitoraggio e raccolta di informazioni basati sullo stack Elasticsearch Logstash Kibana. Sono considerati due diversi casi di studio: infrastrutture di ricarica di veicoli elettrici e gestione di reti elettriche che integrano generazione distribuita. Gli impianti sperimentali presenti in RSE hanno permesso di raccogliere i dati poi analizzati dagli strumenti di detection basati su Intelligenza Artificiale.

Nello specifico viene esplorato il caso del monitoraggio del traffico OCPP (Open Charge Point Protocol) tra l’infrastruttura di ricarica e il controllore, concentrandosi sull’uso di un Autoencoder LSTM per il rilevamento delle anomalie. Viene illustrata una strategia di tipo anomaly detection non supervisionata, che permette di addestrare un modello senza dover identificare preventivamente le categorie di attacco. I modelli vengono addestrati a ricostruire il traffico normale e identificare le anomalie basandosi sull’errore di ricostruzione in due distinti scenari: uno univariato e uno multivariato, entrambi testati con attacchi DoS di tipo flood.

Inoltre, si discute l’uso di AI generativa (GenAI), in particolare delle Time-series Generative Adversarial Networks (T-GAN) per generare dati sintetici di traffico MMS e OCPP e il processo di addestramento delle T-GAN, fornendo una valutazione dei dati sintetici generati rispetto a quelli reali.

Il rapporto, infine, descrive lo sviluppo e l’applicazione delle funzionalità del tool SecuriDN per la modellazione e l’analisi di processi di attacco attraverso l’integrazione con differenti moduli della piattaforma. Al fine di individuare e analizzare possibili sequenze di comportamenti ostili, gli strumenti di simulazione ed emulazione permettono di analizzare scenari non facilmente implementabili nelle piattaforme sperimentali e di variarne le configurazioni come illustrato nel documento.