ESSENCE – Emerging Security Standards for the EU power Network controls and other Critical Equipment

chungking-623x410Autore del lavoro candidato: Elena Ragazzi

SINTESI CONTENENTE UNA BREVE DESCRIZIONE DEL LAVORO SVOLTO E DEI RISULTATI OTTENUTI: Oggi le infrastrutture critiche, e fra queste il sistema elettrico in particolare, sono governate da reti di computer che sono vulnerabili ad attacchi informatici. Questi divengono di giorno in giorno più frequenti e minacciosi e possono corrompere dati rilevanti o esporre informazioni confidenziali, ma anche arrivare a inibire il funzionamento dei sistemi, con black-out che coinvolgono regioni di grandi dimensioni, difficili da riparare, con danno economico e sociale immenso. Esistono contromisure atte a diminuire la probabilità di successo di tali attacchi, che sono raccolte in Standard. L’adozione di tali standard però è ben lungi da venire, in quanto è diffusa la percezione che la loro adozione possa rilevarsi complessa e molto onerosa, mentre il loro beneficio è di difficile valorizzazione. Il progetto Essence ha inteso colmare tale deficit conoscitivo, che ostacolava anche l’adozione di un regolamento (nazionale o comunitario) in proposito, valutando su basi oggettive i costi e i benefici dell’adozione di standard di sicurezza in due casi di studio specifici: un produttore di energia elettrica in Italia e un gestore della rete di trasmissione in Polonia. I risultati del progetto sono stati accolti con estremo interesse dalla comunità internazionale degli operatori e dei policy makers, in quanto essi forniscono elementi di giudizio fondamentali per impostare le politiche nazionali e comunitarie per la protezione delle infrastruttur e critiche e della sicurezza dei cittadini. In estrema sintesi è emerso che i costi economici e sociali anche solo di un singolo evento che porti a un black-out su base regionale sono sufficienti a coprire di larga misura i costi di investimento e mantenimento delle contromisure previste dagli standard. Al momento tali costi per l’implementazione su base volontaria degli standard sarebbero totalmente a carico del gestore dell’infrastruttura critica, mentre i benefici derivanti dalla loro implementazione (mancati costi diretti e indiretti) ricadrebbero solo in minima parte sulle imprese elettriche, ma andrebbero a favorire principalmente gli utilizzatori privati in misura maggiore e le imprese produttive dei vari settori. Da un punto di vista puramente economico dunque, le imprese elettriche non hanno incentivi sufficienti ad investire per aumentare i livelli di sicurezza cibernetica. Tale problema è particolarmente rilevante nei segmenti di attività del settore elettrico in cui le imprese operano in condizioni c ompetitive ed evidenzia la rilevanza di un’azione regolatoria a livello nazionale e comunitario.