Scopo di questo documento è estendere e raffinare le analisi eseguite nel PAR2015 sul tema della cybersecurity nelle applicazioni DR (Demand Response). L’estensione principale consiste nell’esaminare e sperimentare implementazioni disponibili di OpenADR ritenute particolarmente significative, allo scopo di identificare difetti e potenziali problemi di sicurezza. Eventuali vulnerabilità nell’implementazione di OpenADR, che è una componente fondamentale delle architetture Demand Response, possono facilitare gli attacchi già considerati nel corso del PAR2015.

L’attività di analisi e sperimentazione si è svolta prendendo in considerazione l’implementazione sviluppata dal DRRC (Demand Response Research Center) (OpenADR Toolkit).

L’analisi illustrata nel presente documento evidenzia che l’OpenADR Toolkit presenta diverse vulnerabilità di sicurezza sfruttabili. Occorre sottolineare che questa implementazione, in quanto opensource e sviluppata da un istituto di ricerca, può rappresentare un modello per tutti coloro che volessero realizzare dispositivi e componenti di un’architettura DR basata su OpenADR. In questo senso le vulnerabilità presenti nel codice del Toolkit potrebbero essere ereditate da eventuali implementazioni che lo prendessero a modello. La presenza di vulnerabilità gravi come quelle riscontrate nel Toolkit all’interno di componenti reali di un’architettura DR faciliterebbe il compito di potenziali attaccanti facendo diventare il DR da strumento per la gestione della domanda a vettore di attacco per cyber terroristi. Per mitigare il rischio di rilasciare codice sorgente affetto da vulnerabilità che abbiano un serio impatto sulla sicurezza di tutto il sistema DR è importante adottare buone pratiche durante lo sviluppo del software quali ad esempio l’analisi statica e l’ispezione di codice (mirata), come dimostrato dall’analisi svolta che ha utilizzato proprio le suddette tecniche per cercare difetti di sicurezza nell’OpenADR Toolkit.

Una naturale evoluzione delle attività svolte è quella di analizzare l’implementazione open-source di OpenADR realizzata da EPRI (Electric Power Research Institute), più recente e ancora in fase di sviluppo e aggiornamento. Tale analisi avrebbe il duplice obiettivo di identificare potenziali problematiche di sicurezza in essa presenti, applicando la stessa metodologia adottata per l’OpenADR Toolkit, e analizzare la possibilità di integrare questa implementazione all’interno della piattaforma sperimentale realizzata.