Il presente rapporto riguarda la sicurezza informatica nei sistemi di gestione e controllo della rete elettrica. E’ indubbio che mercato competitivo da una parte ed evoluzione tecnologica dall’altra sono due processi in atto che stimolano lo sviluppo di sistemi SCADA interconnessi a sistemi informatici e di telecomunicazione. Di conseguenza la sicurezza informatica riveste un ruolo importante nella determinazione della qualità del servizio di erogazione dell’energia. Inoltre è fondamentale ricordare che una delle funzioni principali dei sistemi di controllo e protezione è il raggiungimento dei requisiti di sicurezza del sistema in presenza di contingenze elettriche individuate come critiche. Pertanto si ritiene fondamentale che l’analisi della sicurezza delle infrastrutture ICT tenga conto del delicato rapporto con le problematiche di natura elettrica e con la sicurezza complessiva del sistema. Le tematiche relative alla sicurezza informatica, o cyber security, del Sistema Elettrico sono, a livello internazionale, e nei vari ambiti di competenza (istituzionale, scientifico, industriale, business), sostenute dalla necessità di protezione delle infrastrutture critiche informatizzate utilizzate a livello nazionale. In tutti i paesi tecnologicamente avanzati, a partire dagli Stati Uniti nel 1996 e in seguito nei vari paesi d’Europa, sono nati gruppi di lavoro istituzionali che spingono comunità scientifica e realtà industriali a studiare ed affrontare le nuove problematiche della sicurezza, quali le vulnerabilità generate dai servizi di telecomunicazione, o più in generale, dalle relazioni di dipendenza tra i servizi coinvolti. L’attività sulla sicurezza informatica avviata nella milestone 2.3 del progetto RdS RETE21/SITAR/ARCHI ha riguardato tre aspetti: • le attività governative relative alla Protezione delle Infrastrutture Critiche Informatizzate quale è il Sistema Elettrico; • gli aspetti normativi sulla sicurezza informatica nel sistema elettrico; • lo sviluppo di un approccio metodologico. Per quanto riguarda le attività governative il CIIP Handbook–Ed.2004, pubblicato e distribuito ad Aprile 2004, offre una rassegna completa di tutte le attività intraprese a livello internazionale. CESI e il Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri hanno contribuito alla stesura delle iniziative italiane. Nella riunione del 22 Aprile 2004 il gruppo di lavoro coordinato dal Dipartimento Innovazione e Tecnologie della Presidenza del Consiglio dei Ministri ha distribuito il rapporto “Protezione delle Infrastrutture Critiche Informatizzate–La realtà Italiana”, alla cui stesura si è contribuito.

Il 27 Maggio 2004 si è partecipato alla Conference on Electronic Security of SCADA and Control Systems, in cui il National Infrastructure Security Co-ordination Centre ha presentato le attività e i programmi di ricerca del governo inglese. Allo scopo di identificare i requisiti di sicurezza dei nuovi sistemi di informazione e comunicazione per la rete elettrica italiana, e con particolare riferimento alle infrastrutture ICT dedicate al controllo e alla gestione dell’automazione, si è indagato sullo stato della normativa relativa alla sicurezza informatica applicata al settore elettrico. Il contatto con l’attività pre-normativa e di standardizzazione garantisce che gli sviluppi in corso in questa attività di Ricerca di Sistema possano rappresentare un effettivo avanzamento rispetto alle esigenze evidenziate dagli enti industriali coinvolti nei vari comitati a livello internazionale. L’articolo “Emerging standards and methodological issues for the security analysis of the Power System information infrastructures”, accettato alla CRIS 2004 Conference: Securing critical infrastructures – Grenoble, 25-27 ottobre 2004, dettaglia i risultati dell’analisi del rapporto tecnico IEC TR 62210 “Power system control and associated communications – Data and communication security” emesso dal WG 15 del IEC TC 57. Dal quadro della normativa in tema di sicurezza informatica nel sistema elettrico si evidenzia che non esiste ancora un vero approccio metodologico per l’analisi delle minacce alla sicurezza e l’identificazione delle contromisure delle infrastrutture elettriche informatizzate. Scopo principale della metodologia in corso di definizione (in collaborazione con il Centro della Comunità Europea di Ispra) è sviluppare un framework concettuale per la valutazione della sicurezza informatica dei sistemi elettrici. L’obiettivo finale è quello di sviluppare tecniche e procedure per l’analisi integrata dei threat, delle vulnerabilità, degli attacchi, e per la valutazione delle potenziali conseguenze e perdite dovute a violazioni di requisiti di sicurezza. La metodologia si applica ai sistemi elettrici intesi come utenti delle tecnologie di informazione e comunicazione. L’applicazione della metodologia ad una dato sistema elettrico produce un elenco di security failure di sistema a supporto della definizione di requisiti di sicurezza. Le tecniche e i metodi studiati potranno costituire uno strumento a supporto delle decisioni sulle politiche strategiche di Protezione delle Infrastrutture Critiche Informatizzate per il sistema elettrico. Questa attività si è avvalsa dei risultati del sotto-progetto COMUNICA/VULNERA del primo periodo della Ricerca di Sistema, ed ha utilizzato le conoscenze derivanti dal sotto-progetto SICURE/SICURE per quanto riguarda la sicurezza del sistema elettrico.

Il rapporto è articolato in sei capitoli e un Allegato. • Il capitolo 1 inquadra il problema della sicurezza informatica del Sistema Elettrico nell’ambito delle attività intraprese dal Governo Italiano sulla Protezione delle Infrastrutture Critiche Informatizzate, riassumendo i contenuti proposti dal Gruppo di Lavoro coordinato dalla Presidenza del Consiglio dei Ministri. • Il capitolo 2 riassume la trattazione degli aspetti di sicurezza informatica nelle normative relative al sistema elettrico e negli ambiti industriali di riferimento a livello internazionale • Il capitolo 3 presenta i contenuti del rapporto tecnico IEC 62210. • Il capitolo 4 presenta un’architettura di riferimento relativa ai sistemi di gestione della distribuzione. • Il capitolo 5 e l’Allegato 1 riportano gli aspetti della metodologia CESI-JRC in fase di studio. • Il capitolo 6 riassume le considerazioni derivate dai diversi ambiti di indagine e la pianificazione dell’attività futura. 1 L’Allegato al presente rapporto costituisce un risultato intermedio della collaborazione con il Centro della Comunità Europea di Ispra, come previsto dalla milestone 1 della Specifica Tecnica allegata al Contratto di Ricerca N.22091- 2004-06 TISC ISP IT “Metodologia per l’analisi della security di applicazioni di telecontrollo della Rete Elettrica e sperimentazione in laboratorio ”.