L’allarme del Congresso degli Stati Uniti su possibili rischi cyber per le dighe americane: un sistema obsoleto e privo di verifiche aggiornate di sicurezza mette a rischio le infrastrutture.
Gli esperti sottolineano l’urgente necessità di rafforzare le difese informatiche delle dighe americane, vista l’insufficienza di risorse allocate per la questione. Durante un’audizione congressuale a cui hanno partecipato esperti del settore, è stato evidenziato come la Federal Energy Regulatory Commission (FERC), l’ente federale preposto alla sorveglianza del settore, manifesti un sostanziale ritardo nell’attuazione degli audit di cyber sicurezza. Aspetto preoccupante è l’attuale personale dedicato alla problematica, costituito solamente da quattro membri.
Il presidente del Congresso, Ron Wyden, nel suo discorso di apertura, ha affermato: “Non vorrei svegliarmi un giorno sentendo di un piccolo paese nel Pacifico nordoccidentale distrutto a causa di un attacco informatico ad una diga privata a monte”. Le dighe negli Stati Uniti, che contano oltre 90.000 impianti di diverse dimensioni, costituiscono oltre il 50% della generazione privata di energia, ma solo 2.500 sono sottoposte all’autorità della FERC. Esse forniscono circa il 28% dell’energia rinnovabile nel paese.
Tuttavia, per molti queste cifre non rappresentano solo un’opportunità, ma, in assenza di sicurezza, un rischio. Fino ad oggi, infatti, non esistono standard minimi o audit di sicurezza per la maggior parte delle dighe. Ron Wyden ha inoltre sottolineato che l’ultimo aggiornamento dei requisiti di cyber sicurezza da parte della FERC risale al 2016.
Le dighe, come molte altre infrastrutture critiche, stanno portando avanti un processo di modernizzazione. Molti di questi impianti sono stati costruiti decenni fa e, pertanto, mancano dei sistemi digitali che li renderebbero vulnerabili ad attacchi informatici. Questa situazione è destinata a cambiare man mano che i sistemi si modernizzano e adottano la tecnologia digitale, il che può introdurre nuovi vettori di attacco se non adeguatamente difesi. Molti degli impianti idroelettrici hanno poche risorse da investire in cyber security.
Terry Turpin, direttore del dipartimento progetti energetici della FERC, ha dichiarato che l’ente indipendente ha in programma di aggiornare i requisiti di sicurezza una volta completato l’audit su circa il 70% delle dighe entro la fine dell’anno fiscale 2025, un obiettivo che pare raggiungibile nel giro di nove mesi secondo quanto espresso sotto pressione del congresso.
Virginia Wright, responsabile del programma di ingegneria informata all’Idaho National Laboratory, ha raccomandato che il Congresso supporti le valutazioni di vulnerabilità della flotta idroelettrica degli Stati Uniti e sviluppi linee guida per le note debolezze dei sistemi digitali per l’idroelettricità. Wright ha sostenuto che la modernizzazione rappresenta un’ottima opportunità per applicare i metodi di ingegneria informata e aumentare la protezione nei confronti dei peggiori scenari di attacco cyber-fisico.
Nel 2021, un rapporto del Dipartimento della sicurezza nazionale statunitense ha evidenziato come l’Agenzia per la sicurezza delle infrastrutture e cybersecurity (CISA) necessiti di fare di più per proteggere il settore. La CISA è l’agenzia responsabile della gestione dei rischi per le dighe, e il rapporto ha evidenziato la scarsa coordinazione per quanto riguarda il monitoraggio, la gestione e la valutazione del suo lavoro di supervisione delle dighe.