Nel contesto del più ampio tema della sicurezza di esercizio delle reti elettriche, l’attività ICT-Power si concentra sull’analisi delle dipendenze (dei servizi) delle infrastrutture elettriche dalle infrastrutture informatiche, o degli effetti (a cascata e in escalation) che i malfunzionamenti dei sistemi informatici possono produrre sul sistema elettrico. Dato l’elevato livello di interconnessione e l’eterogeneità dei dispositivi, vecchi e nuovi, che concorrono alla capacità di controllo dell’infrastruttura elettrica, lo studio della propagazione dei malfunzionamenti dei sistemi ICT sullo stato del sistema elettrico costituisce un’attività notevolmente complessa e un interessante obiettivo per un’attività di ricerca di frontiera. In ambito di sicurezza del sistema elettrico occorre adottare un approccio integrato e coordinato al problema della sua protezione ed affrontare in modo sinergico e complessivo la connaturata dipendenza del processo elettrico dagli innumerevoli tipi di sistemi ICT preposti alla regolazione, protezione e controllo, che insieme concorrono a garantire la continuità della fornitura dell’energia elettrica. L’attività avviata nell’Area RdS Governo del Sistema Elettrico si fonda sui seguenti punti cardine: i) L’attività di cyber risk assessment è oggi riconosciuta come attività di rilevanza strategica e operativa da coloro che, all’interno delle aziende elettriche, si occupano di gestire la sicurezza informatica (ref. Cigrè 1 , IEC 2 , ISA 3 , NERC 4 , NIST 5 , IEEE 6 , etc.). Nella pratica industriale tale attività si avvale di metodi empirici e qualitativi basati su matrici di rischio in grado di fornire una stima grossolana della gravità delle situazioni di rischio. In futuro, considerata la pressione che il tema di Protezione delle Infrastrutture Critiche Informatizzate sta subendo a livello internazionale, la disponibilità di strumenti per l’analisi integrata delle contingenze elettriche e delle anomalie informatiche è ritenuta di grande interesse. ii) Da alcuni anni negli USA esistono diversi Laboratori (quali Sandia National Laboratories, Idaho National Laboratory, PNL, etc.) impegnati nella valutazione sperimentale dei malfunzionamenti ICT sui sistemi di controllo. Investimenti analoghi sono al momento solo auspicati a livello europeo. iii) Nell’automazione di stazione, è in decisiva affermazione lo standard IEC 61850 basato su un’architettura di IED distribuiti sul processo a livello di singolo componente, di aggregazione di componenti e dell’intera stazione. Tuttavia tale standard prescinde ancora dalla capacità di configurazione on-line delle funzioni di automazione in funzione della indisponibilità degli IED, o in risposta a richieste di variazione dell’assetto di rete. iv) La necessità di interazione tra operatori di trasmissione, generazione e distribuzione per l’attuazione delle procedure previste dal Piano di Difesa implica una sempre più elevata integrazione tra i componenti ICT di diversa appartenenza. In particolare, la connessione tra le reti di trasporto delle informazioni degli attori coinvolti nella gestione del sistema elettrico diviene importante per ottenere un quadro esatto della situazione del sistema elettrico ed addirittura fondamentale per l’attuazione, nei tempi richiesti durante l’emergenza, dei comandi di regolazione e alleggerimento. Volendo porre l’accento sulla vulnerabilità delle interazioni ed in particolare sulle comunicazioni, nel 2007 sono stati privilegiati scenari di interscambio dati complessi che coinvolgono DSO e TSO in situazioni di gestione delle teleoperazioni e di manovre in emergenza. Nel piano di difesa nazionale confluiscono funzioni di monitoraggio e telegestione della rete elettrica oltre a funzioni di emergenza quali il distacco dei carichi. Quest’ultimo rappresenta azioni diversificate in quanto il distacco può avvenire in modo programmato (semi automatico), ma anche in modalità completamente automatizzata in presenza di grandi disturbi indotti sulla rete di trasmissione. Una mancata od una scorretta 1 International Council on Large Electric Systems 2 International Electrotechnical Commission (www.iec.ch) 3 Instrumentation, Systems and Automation Society (www.isa.org) 4 North American Electric Reliability Council (www.nerc.com) 5 National Institute of Standards and Technology (www.nist.gov) 6 Institute of Electrical and Electronics Engineers

attuazione di un distacco carichi potrebbe provocare effetti a cascata indesiderati, con conseguenze che potrebbero anche portare il sistema verso l’instabilità o addirittura ad un black-out di estensione notevole. La continuazione 2007 dell’attività ICT-Power, oggetto del presente rapporto, ha riguardato in particolare: • la costituzione del Laboratorio specialistico denominato PCS – ResTest (“Power Control System Resilience Testing”) presso la sede di CESI RICERCA; • l’implementazione nel Laboratorio degli scenari di i) Teleoperazione del DSO; ii) interazione tra TSO e DSO in situazioni di emergenza; iii) integrazione tra le funzioni di Teleconduzione e Manutenzione del DSO; iv) manutenzione dell’infrastruttura ICT del DSO; • lo sviluppo del modello a stati finiti per l’analisi degli scenari. Scopo del Laboratorio PCS – ResTest è fornire una piattaforma di test per le problematiche legate alla sicurezza informatica dei sistemi di rete preposti alla gestione e al controllo del sistema elettrico, con particolare riferimento alla messa in sicurezza di dispositivi (quali i sistemi SCADA, automatismi di stazione, gateway) che svolgono funzioni di supervisione, controllo, automazione e comunicazione nella tele-conduzione della rete elettrica. Le attività di sviluppo/prova/dimostrazione svolte nel Laboratorio sono rivolte ai proprietari e ai gestori delle infrastrutture elettriche, ai fornitori dei sistemi di controllo, ai fornitori di servizi di telecomunicazione e di sicurezza e alle società di ingegneria con l’obiettivo di: null migliorare le conoscenze sulla sicurezza dei sistemi di controllo nel settore elettrico null identificare e mitigare le vulnerabilità esistenti null studiare architetture avanzate dei sistemi di controllo e automazione con un livello elevato di resistenza agli eventi indesiderati null fornire una infrastruttura indipendente per testare funzionalità SCADA e sistemi di automazione multi- operatore, difficilmente riproducibile con i sistemi reali null facilitare lo sviluppo di standard e linee guida ad uso industriale. Il modello qualitativo a stati finiti per la rappresentazione delle dipendenze ICT-Power, da utilizzare nell’analisi degli scenari, richiede un’evoluzione in senso quantitativo. Infatti, mentre l’infrastruttura elettrica EI è caratterizzata da un modello quantitativo costituito da uguaglianze e disuguaglianze, l’infrastruttura ICT non ha ancora sviluppato un modello adeguato espresso tramite relazioni matematiche analoghe. L’idea di base è quella di sviluppare un modello ICT-Power simmetrico che includa una quantizzazione della parte ICT, capace cioè di fornire delle indicazioni precise sull’accadimento di un cambiamento di stato di funzionamento operativo dell’ICT. A tal fine sono state identificate alcune quantificazioni da utilizzare nei modelli dell’infrastruttura ICT per l’analisi degli scenari. I progetti Europei correlati CRUTIAL e GRID e il gruppo di lavoro Cigrè hanno contribuito ai risultati dell’attività RdS 2007 descritta nel rapporto in oggetto.