Scopo di questo documento è estendere e raffinare le analisi precedentemente eseguite sui temi della cyber security e delle infrastrutture a chiave pubblica (PKI) nelle applicazioni di Demand Response (DR).

Per ciò che concerne il primo tema l’estensione principale consiste nell’eseguire l’analisi dei rischi considerando anche uno scenario di cyber terrorismo, nel quale vengono ipotizzati anche attacchi che non si limitino a rendere indisponibili le funzionalità DR, bensì mirino a servirsi di tali funzionalità per produrre risultati addirittura opposti rispetto a quelli per i quali sono state progettate. In altri termini attacchi che portino ad aggravare, invece che ad attenuare, le situazioni di squilibrio tra domanda e offerta di energia sulla rete elettrica, con l’obiettivo di provocare black-out più o meno estesi. L’analisi condotta ha evidenziato come l’introduzione del DR porti con sé un consistente aumento del rischio di attacco cyber terroristico che si va a sommare a quello non trascurabile già presente nell’infrastruttura della rete elettrica. Tale conclusione tuttavia non dovrebbe indurre a dissuadere dall’utilizzo del Demand Response, bensì a considerare opportunamente il problema e ad adottare tutte le contromisure idonee a mitigare il rischio associato.

Per ciò che concerne invece le infrastrutture a chiave pubblica, l’analisi preliminare svolta nel PAR 2014 sulla PKI definita da OpenADR è stata raffinata approfondendo alcuni aspetti precedentemente trattati (Struttura PKI minimale, Tipi di certificati, Gestione dei certificati) ed estesa prendendo in considerazione nuovi aspetti (Evoluzione temporale della PKI, concetto di Certificate Transparency e sua potenziale rilevanza).

Occorre inoltre sottolineare che l’analisi svolta presenta dei limiti dovuti al livello di astrazione piuttosto elevato che è stato necessario adottare per l’attuale indisponibilità di una precisa architettura di sistema e di dettagli circa le componenti presenti in tale architettura. I limiti derivanti dall’indisponibilità di tali dettagli risultano peraltro alquanto evidenti ove si consideri che i difetti implementativi delle componenti influiscono spesso in modo decisivo sulla sicurezza del sistema. In questo senso uno degli sviluppi che è possibile indicare per l’analisi svolta consiste nell’esaminare e sperimentare alcune implementazioni disponibili di OpenADR, quali l’OpenADR Toolkit e l’implementazione EPRI, allo scopo di identificare difetti e potenziali problemi di sicurezza.