Garantire la rivoluzione energetica e il futuro dell'IoT

Fornito da Siemens Energia





All'inizio del 2021, gli americani che vivevano sulla costa orientale hanno ricevuto una chiara lezione sulla crescente importanza della sicurezza informatica nel settore energetico. Un attacco ransomware ha colpito l'azienda che gestisce la Colonial Pipeline, la principale arteria infrastrutturale che trasporta quasi la metà di tutti i combustibili liquidi dalla costa del Golfo agli Stati Uniti orientali. Sapendo che almeno alcuni dei loro sistemi informatici erano stati compromessi e incapace di essere certa dell'entità dei loro problemi, l'azienda è stata costretta a ricorrere a una soluzione di forza bruta: chiudere l'intero gasdotto.

Leo Simonovich è vicepresidente e responsabile globale della sicurezza informatica e digitale industriale presso Siemens Energy.



L'interruzione della consegna del carburante ha avuto enormi conseguenze. I prezzi del carburante sono immediatamente aumentati. Il presidente degli Stati Uniti è stato coinvolto, cercando di assicurare ai consumatori e alle imprese in preda al panico che il carburante sarebbe presto disponibile. Cinque giorni e milioni di dollari di danni economici dopo, la società ha pagato un riscatto di 4,4 milioni di dollari e ha ripristinato le sue operazioni.

Sarebbe un errore vedere questo incidente come la storia di un unico gasdotto. In tutto il settore energetico, sempre più apparecchiature fisiche che producono e spostano carburante ed elettricità in tutto il paese e in tutto il mondo si basano su apparecchiature collegate in rete a controllo digitale. I sistemi progettati e progettati per operazioni analogiche sono stati adattati. La nuova ondata di tecnologie a basse emissioni, dal solare all'eolico alle turbine a ciclo combinato, sono intrinsecamente tecnologia digitale, che utilizza controlli automatizzati per sfruttare ogni efficienza dalle rispettive fonti di energia.

Nel frattempo, la crisi del covid-19 ha accelerato una tendenza separata verso il funzionamento a distanza e un'automazione sempre più sofisticata. Un numero enorme di lavoratori è passato dalla lettura dei quadranti in uno stabilimento alla lettura degli schermi dal proprio divano. Potenti strumenti per cambiare il modo in cui viene prodotta e instradata la potenza possono ora essere modificati da chiunque sappia come accedere.



Questi cambiamenti sono un'ottima notizia: il mondo riceve più energia, minori emissioni e prezzi più bassi. Ma questi cambiamenti evidenziano anche i tipi di vulnerabilità che hanno portato il Colonial Pipeline a una brusca interruzione. Gli stessi strumenti che rendono più potenti i lavoratori legittimi del settore energetico diventano pericolosi quando vengono dirottati dagli hacker. Ad esempio, alle apparecchiature difficili da sostituire possono essere dati comandi per ridursi a pezzi, mettendo fuori uso pezzi di una rete nazionale per mesi di seguito.

Per molti stati-nazione, la capacità di premere un pulsante e seminare il caos nell'economia di uno stato rivale è altamente desiderabile. E più l'infrastruttura energetica diventa iperconnessa e gestita digitalmente, più obiettivi offrono esattamente questa opportunità. Non sorprende, quindi, che una quota crescente di attacchi informatici visti nel settore energetico sia passata dal prendere di mira le tecnologie dell'informazione (IT) al prendere di mira le tecnologie operative (OT), le apparecchiature che controllano direttamente le operazioni fisiche degli impianti.

Per rimanere al passo con la sfida, i Chief Information Security Officer (CISO) e i loro centri operativi di sicurezza (SOC) dovranno aggiornare i loro approcci. La difesa delle tecnologie operative richiede strategie diverse e una base di conoscenza distinta rispetto alla difesa delle tecnologie dell'informazione. Per cominciare, i difensori devono comprendere lo stato operativo e le tolleranze delle loro risorse: un comando per spingere il vapore attraverso una turbina funziona bene quando la turbina è calda, ma può romperla quando la turbina è fredda. I comandi identici possono essere legittimi o dannosi, a seconda del contesto.



Anche la raccolta dei dati contestuali necessari per il monitoraggio e il rilevamento delle minacce è un incubo logistico e tecnico. I sistemi energetici tipici sono composti da apparecchiature di diversi produttori, installate e adattate nel corso di decenni. Solo i livelli più moderni sono stati costruiti con la sicurezza informatica come vincolo di progettazione e quasi nessuno dei linguaggi macchina utilizzati è mai stato pensato per essere compatibile.

Per la maggior parte delle aziende, l'attuale stato di maturità della sicurezza informatica lascia molto a desiderare. Viste quasi onniscienti nei sistemi IT sono abbinate a grandi punti ciechi OT. I data lake si riempiono di output accuratamente raccolti che non possono essere combinati in un quadro coerente e completo dello stato operativo. Gli analisti si esauriscono in condizioni di affaticamento dell'allerta mentre cercano di ordinare manualmente gli avvisi benigni da eventi consequenziali. Molte aziende non riescono nemmeno a produrre un elenco completo di tutte le risorse digitali legittimamente connesse alle loro reti.

In altre parole, la rivoluzione energetica in corso è un sogno per l'efficienza e un incubo per la sicurezza.



Garantire la rivoluzione energetica richiede nuove soluzioni ugualmente capaci di identificare e agire sulle minacce provenienti sia dal mondo fisico che da quello digitale. I centri operativi di sicurezza dovranno riunire i flussi di informazioni IT e OT, creando un flusso di minacce unificato. Data la portata dei flussi di dati, l'automazione dovrà svolgere un ruolo nell'applicazione delle conoscenze operative alla generazione di avvisi: questo comando è coerente con il business as usual o il contesto mostra che è sospetto? Gli analisti avranno bisogno di un accesso ampio e approfondito alle informazioni contestuali. E le difese dovranno crescere e adattarsi man mano che le minacce si evolvono e le aziende aggiungono o ritirano risorse.

Questo mese Siemens Energy ha presentato una piattaforma di monitoraggio e rilevamento volta a risolvere le principali sfide tecniche e di capacità per i CISO incaricati di difendere le infrastrutture critiche. Gli ingegneri di Siemens Energy hanno svolto il lavoro necessario per automatizzare un flusso di minacce unificato, consentendo alla loro offerta, Eos.ii, di fungere da SOC di fusione in grado di liberare la potenza dell'intelligenza artificiale nella sfida del monitoraggio dell'infrastruttura energetica.

Le soluzioni basate sull'intelligenza artificiale rispondono alla duplice esigenza di adattabilità e vigilanza persistente. Gli algoritmi di apprendimento automatico che esplorano enormi volumi di dati operativi possono apprendere le relazioni attese tra le variabili, riconoscendo schemi invisibili agli occhi umani ed evidenziando anomalie per l'indagine umana. Poiché l'apprendimento automatico può essere addestrato su dati del mondo reale, può apprendere le caratteristiche uniche di ciascun sito di produzione e può essere addestrato in modo iterativo per distinguere anomalie benigne e consequenziali. Gli analisti possono quindi ottimizzare gli avvisi per rilevare minacce specifiche o ignorare le fonti di rumore note.

L'estensione del monitoraggio e del rilevamento allo spazio OT rende più difficile nascondersi per gli aggressori, anche quando vengono implementati attacchi zero-day unici. Oltre a esaminare i segnali tradizionali come il rilevamento basato sulla firma o i picchi di traffico di rete, gli analisti possono ora osservare gli effetti che i nuovi input hanno sulle apparecchiature del mondo reale. Il malware abilmente mascherato alzerebbe comunque segnali di pericolo creando anomalie operative. In pratica, gli analisti che utilizzano i sistemi basati sull'intelligenza artificiale hanno scoperto che il loro motore di rilevamento Eos.ii era sufficientemente sensibile da identificare in modo predittivo le esigenze di manutenzione, ad esempio quando un cuscinetto inizia a usurarsi e il rapporto tra vapore in entrata e in uscita inizia a spostarsi .

Se eseguiti correttamente, il monitoraggio e il rilevamento che abbracciano sia l'IT che l'OT dovrebbero lasciare gli intrusi esposti. Gli analisti che indagano sugli avvisi possono tracciare le storie degli utenti per determinare l'origine delle anomalie e quindi andare avanti per vedere cos'altro è stato modificato in un arco di tempo simile o dallo stesso utente. Per le aziende energetiche, una maggiore precisione si traduce in una riduzione drastica del rischio: se possono determinare la portata di un'intrusione e identificare quali sistemi specifici sono stati compromessi, ottengono opzioni per risposte chirurgiche che risolvono il problema con danni collaterali minimi, ad esempio, spegnendo un un'unica filiale e due stazioni di pompaggio invece di un intero gasdotto.

Mentre i sistemi energetici continuano la loro tendenza verso l'iperconnettività e i controlli digitali pervasivi, una cosa è chiara: la capacità di una determinata azienda di fornire un servizio affidabile dipenderà sempre di più dalla sua capacità di creare e sostenere difese informatiche forti e precise. Il monitoraggio e il rilevamento basati sull'intelligenza artificiale offrono un inizio promettente.

Per saperne di più sulla nuova piattaforma di monitoraggio e rilevamento basata sull'intelligenza artificiale di Siemens Energy, dai un'occhiata al loro white paper recente su Eos.ii .

Scopri di più sulla sicurezza informatica di Siemens Energy all'indirizzo Siemens Energy Cybersecurity .

Questo contenuto è stato prodotto da Siemens Energy. Non è stato scritto dalla redazione del MIT Technology Review.

nascondere