Nel 2014 sono stati 79 gli incidenti informatici che hanno colpito le aziende del comparto energetico: troppi, anche se meno dei 145 dell’anno precedente. Questo il bilancio del Computer Emergency Readiness Team (Cert), l’articolazione operativa del Dipartimento per la Homeland Security statunitense (Dhs) cui compete la rilevazione delle situazioni critiche e la pianificazione degli interventi di “soccorso” e ripristino.

Secondo l’azienda di cybersecurity FireEye, cinquanta tipi di malware hanno preso specificamente di mira le imprese del settore nel solo 2013, un quadro di insieme che trova conferma anche nei report di Verizon che descrive quest’ambito come il bersaglio preferito di malintenzionati e criminali. A leggere, poi, il survey di ThreatTrack Security si scopre che le intrusioni di pirati informatici in realtà dell’area “energy” hanno riguardato il 37% degli operatori.

Il bollettino di guerra potrebbe continuare impietoso, caustico, inesorabile. E il fatto che le rilevazioni siano tutte d’oltreoceano non rasserena, ma inquieta ancor più. Il non saper nulla di quel che accade dalle nostre parti, non si può interpretare come un segnale positivo in ossequio al tradizionale e comodo “nessuna nuova, buona nuova”. Il Cert in Italia esiste solo sulla carta, nonostante chiacchiere, convegni, workshop e seminari che nel tempo ne hanno immaginato – in seno al Ministero dello Sviluppo economico – compiti, missioni e dinamiche di funzionamento.

Nemmeno un mese fa i tecnici informatici al servizio del Dha hanno segnalato la presenza di un malware di provenienza russa nei programmi che gestiscono e controllano le turbine delle centrali elettriche dislocate negli Stati Uniti. Gli specialisti del Cert non hanno rilevato alcun tentativo di danneggiamento o di distruzione degli apparati ma – a differenza di quanto sarebbe accaduto da noi – non hanno esitato a evidenziare che quelle istruzioni maligne assicuravano agli hacker una via d’accesso prioritaria e segreta ai sistemi informatici (una “backdoor” come la chiamerebbero appassionati e addetti ai lavori) in grado di permettere l’installazione di procedure devastanti nel momento in cui dovesse scattare una apocalittica ora X.

Nessun virus informatico ha finora messo ko alcuna porzione dell’architettura produttiva né della rete distributiva, ma i potenziali aggressori sono pronti a entrare in azione e a girare il fatidico interruttore generale sulla posizione off.

Il caso del malware “Black Energy” è solo un esempio. I codici venefici sono finiti nell’interfaccia uomo-macchina di prodotti Ge Cimplicity, Advantech/Broadwin WebAccess, Siemens WinCC e di chissà quante altre società che al momento non sono ancora state individuate. Ics-Cert (dove ICS sta per Industrial Control Systems) ha subito energicamente raccomandato ai gestori l’adozione di iniziative volte a innescare autodiagnosi per riconoscere eventuali segnali di compromissioni avvenute, in essere o possibili, e a segnalarne tempestivamente le risultanze per procedere ad analisi e correlazioni.

Immaginare le conseguenze di un blackout elettrico non richiede grossi sacrifici di fantasia. Nel 2003 l’Italia è rimasta al buio per un guasto causato dalla presunta caduta di un albero in territorio elvetico: un attacco hacker sarebbe ben peggiore dell’ipotetico abbattimento di una ciclopica sequoia sulle linee di trasmissione dell’elettricità. Chi vuole rinfrescare la memoria può dare un’occhiata al programma televisivo “Blackout”, il “docu-drama” della rete inglese Channel 4 che racconta le conseguenze di una eventuale interruzione dell’erogazione dell’energia elettrica in Gran Bretagna a seguito di un attacco cibernetico. Alcune ricostruzioni sul modello delle fiction e spezzoni di cronaca sono abilmente mescolati per fornire una prospettiva che non si può fare a meno di considerare.

Finchè c’è corrente – e quindi non manca la Adsl o la connessione wireless, i provider e i Dns garantiscono accesso e instradamento, al dispositivo informatico a disposizione non manca l’alimentazione – varrà la pena “godersi” il filmato britannico. Poi, magari, affrontare il problema …anche se (e proprio perché) ancora non è successo niente.