In ambito di sicurezza del sistema elettrico occorre adottare un approccio integrato e coordinato al problema della sua protezione ed affrontare in modo sinergico e complessivo la connaturata dipendenza del processo elettrico dagli innumerevoli tipi di sistemi ICT preposti alla regolazione, protezione e controllo, che insieme concorrono a garantire la continuità della fornitura dell’energia elettrica. Nel contesto del tema della sicurezza di esercizio delle reti elettriche, l’attività ICT-Power si concentra sull’analisi delle dipendenze (dei servizi) delle infrastrutture elettriche dalle infrastrutture informatiche, o degli effetti (a cascata e in escalation) che i malfunzionamenti dei sistemi informatici possono produrre sul sistema elettrico. Dato l’elevato livello di interconnessione e l’eterogeneità dei dispositivi, vecchi e nuovi, che concorrono alla capacità di controllo dell’infrastruttura elettrica, lo studio della propagazione dei malfunzionamenti dei sistemi ICT sullo stato del sistema elettrico costituisce un’attività notevolmente complessa e un interessante obiettivo per un’attività di ricerca di frontiera. L’attività avviata nell’Area RdS Governo del Sistema Elettrico si fonda sui seguenti punti cardine: i) L’attività di cyber risk assessment è oggi riconosciuta come attività di rilevanza strategica e operativa da coloro che, all’interno delle aziende elettriche, si occupano di gestire la sicurezza informatica (ref. Cigrè 1 , IEC 2 , ISA 3 , NERC 4 , NIST 5 , IEEE 6 , etc.). Nella pratica industriale tale attività si avvale di metodi empirici e qualitativi basati su matrici di rischio in grado di fornire una stima grossolana della gravità delle situazioni di rischio. In futuro, considerata la pressione che il tema di Protezione delle Infrastrutture Critiche Informatizzate sta subendo a livello internazionale, la disponibilità di strumenti per l’analisi integrata delle contingenze elettriche e delle anomalie informatiche è ritenuta di grande interesse. ii) Da alcuni anni negli USA esistono diversi Laboratori (quali Sandia National Laboratories, Idaho National Laboratory, PNL, etc.) impegnati nella valutazione sperimentale dei malfunzionamenti ICT sui sistemi di controllo delle Infrastrutture Critiche. Investimenti analoghi sono al momento solo auspicati a livello europeo. iii) Nell’automazione di stazione, è in decisiva affermazione lo standard IEC 61850 basato su un’architettura di IED distribuiti sul processo a livello di singolo componente, di aggregazione di componenti e dell’intera stazione. Tuttavia tale standard prescinde ancora dalla capacità di configurazione on-line delle funzioni di automazione in funzione della indisponibilità degli IED, o in risposta a richieste di variazione dell’assetto di rete. iv) La necessità di interazione tra operatori e sistemi di trasmissione, generazione e distribuzione per l’attuazione di Piani di Difesa evoluti e per l’esercizio di reti integrate di distribuzione/generazione implica una sempre più elevata integrazione tra i componenti ICT di diversa appartenenza. In particolare, l’affidabilità e la sicurezza delle reti di trasporto delle informazioni diviene importante per ottenere uno stato aggiornato del sistema elettrico e assume un ruolo essenziale per l’attuazione, nei tempi richiesti durante l’emergenza, di azioni di regolazione e alleggerimento carichi. Al fine di predisporre una piattaforma di Laboratorio per la valutazione della capacità di resistenza alle minacce dei sistemi di controllo, nel 2006 sono stati descritti alcuni scenari evolutivi della rete elettrica che consentivano di esemplificare casi di effetti a cascata e escalation tra le infrastrutture. Gli scenari selezionati riguardavano alcune attività concernenti la teleoperazione sulla rete e l’attuazione di un piano di difesa integrato. Tali scenari indirizzavano: 1 International Council on Large Electric Systems 2 International Electrotechnical Commission (www.iec.ch) 3 Instrumentation, Systems and Automation Society (www.isa.org) 4 North American Electric Reliability Council (www.nerc.com) 5 National Institute of Standards and Technology (www.nist.gov) 6 Institute of Electrical and Electronics Engineers

a) le architetture dei sistemi di teleconduzione di una Rete Elettrica, con particolare riferimento alla Rete Elettrica AT/MT (Alta Tensione/Media Tensione) impiegati dagli operatori della Distribuzione (DSO) b) le interazioni tra i sistemi di teleconduzione degli operatori di Trasmissione (TSO) e Distribuzione (DSO) c) le interazioni tra i sistemi di regolazione, controllo e teleconduzione degli operatori di Trasmissione (TSO) e quelli della Generazione (GENCO). Per quanto riguarda l’analisi delle criticità degli scenari in presenza di guasti e minacce ICT, nel 2006/2007 è stato sviluppato un modello a stati finiti, che rappresentava un’estensione del modello di Fink & Carlsen del 1978. L’idea di base era quella di sviluppare un modello ICT-Power simmetrico che includesse una quantizzazione della parte ICT, capace cioè di fornire delle indicazioni precise sull’accadimento di un cambiamento di stato di funzionamento operativo dell’ICT. Infatti, mentre l’infrastruttura elettrica EI era caratterizzata da un modello quantitativo costituito da uguaglianze e disuguaglianze, l’infrastruttura ICT non aveva ancora sviluppato un modello adeguato espresso tramite relazioni matematiche analoghe. Il modello esteso evidenziava in modo più trasparente l’infrastruttura ICT distinguendola da quella del sistema elettrico complessivo. Questa caratteristica consentiva di esaminare contingenze sia di natura strettamente elettrica (EI – Electrical Infrastructure) sia quelle di natura informatica o di sistemi di comunicazione. Si riusciva di conseguenza a modellizzare in modo più preciso l’effetto delle interdipendenze tra ICT e EI. La continuazione 2007/2008 dell’attività ICT-Power ha riguardato in particolare la costituzione del Laboratorio specialistico denominato PCS – ResTest (“Power Control System Resilience Testing”) presso la sede di CESI RICERCA e l’implementazione degli scenari di classe a) e b). La realizzazione degli scenari del testbed si è avvalsa della collaborazione di ENEL, Divisione Infrastrutture e Reti – Tecnologie di Rete, con la quale nel corso del triennio di ricerca sono state preparate tre pubblicazioni in ambito CIRED. Ad Agosto 2008 è stata avviata una collaborazione di ricerca con lo University College Dublin (UCD) relativamente all’integrazione di modelli cyber-fisici per la valutazione della cyber-security delle infrastrutture integrate ICT-Power. Obiettivo del lavoro oggetto della collaborazione è l’utilizzo combinato dei modelli cyber-fisici per emulare le anomalie cyber (ICT), analizzare la credibilità delle minacce e simulare il loro impatto sul sistema fisico (Power) mediante strumenti di power Flow Simulation. I progetti Europei correlati CRUTIAL e GRID e il gruppo di lavoro Cigrè, riferiti nel seguito, hanno contribuito ai risultati dell’attività ICT-Power RdS 2006-2008: CRUTIAL – CRitical UTIlity infrastructurAL resilience IST-27513 http://crutial.cesiricerca.it; GRID – A coordination action on ICT vulnerabilities of power systems and the relevant defense methodologies IST-26923 http://grid.jrc.it; Cigrè Working Group D2.22 – Treatment of Information Security for Electric Power Utilities (EPUs) http://www.cigre.org. L’attività 2008 del Laboratorio PCS-ResTest, oggetto del presente rapporto, si è concentrata sulla definizione del framework di valutazione, l’esecuzione di prove sperimentali di attacco sulla piattaforma testbed e la presentazione dei risultati delle prove in forma grafica. I risultati vengono presentati nei seguenti capitoli: 1. l’architettura della piattaforma di Laboratorio, con enfasi sulle comunicazioni e i principali componenti software del testbed 2. il framework di valutazione utilizzato nell’attività sperimentale 3. le vulnerabilità dei protocolli IPSEC 4. le prove di attacco alle comunicazioni TCP/IP 5. le prove relative alle comunicazioni di Telecontrollo 6. lo stato della collaborazione con University College Dublin 7. un aggiornamento dal WG Cigré D2.22 8. conclusioni.