Efficienza energetica e innovazione

Ecco perché assicurare le reti energetiche non basta contro gli attacchi hacker

Hand is operating a heavy duty switch on electrical cabinet providing electrical energy to residential place.

Gli Usa sono i primi a essersi posto il problema di proteggere le loro infrastrutture dagli attacchi informatici ma il sistema assicurativo fatica ancora a stare al passo

Le assicurazioni non si fidano ancora delle reti elettriche e preferiscono limitare le coperture assicurative delle imprese energetiche contro gli attacchi hacker, lasciando potenziali investitori, clienti e contribuenti in balia di perdite considerevoli. È Bloomberg a lanciare l’allarme sottolineando anche i costi particolarmente onerosi per chi intende stipulare polizze simili.

IMPRESE IMPREPARATE AD ATTACCHI CYBER

Brit Insurance, un gruppo che lavora con i Lloyd’s di Londra, limita le polizze di cybersecurity a circa 300 milioni di dollari”, sottolinea la testata che ammette che anche se le aziende possono mettere insieme polizze di diversi assicuratori per aumentare il margine, “i costi possono essere proibitivi e spesso richiedono valutazioni di terze parti per la sicurezza che può necessitare di aggiornamenti”. Il risultato, alla fine, “è un’industria in gran parte impreparata ad una catastrofe provocata dagli hacker”, secondo gli esperti di sicurezza informatica.

GLI USA STANNO PRENDENDO IN SERIA CONSIDERAZIONE LA PROTEZIONE DEL SETTORE ENERGETICO

La bonifica delle fuoriuscite di petrolio della Exxon Valdez, ad esempio, è costata 7 miliardi di dollari. Questo genere di grandezze “ha lasciato gli assicuratori preoccupati per la mancanza di informazioni quantificabili in un mercato in espansione” e apprensione circa il fatto che “le protezioni dell’industria energetica non siano adeguate”. Per questo negli Usa si sta prendendo sempre più seriamente in considerazione l’argomento, tanto che a metà maggio ci sarebbe stata una riunione del Dipartimento del Tesoro con rappresentanti del governo e imprese per discutere della possibilità di creare una versione cyber del Federal Deposit Insurance con l’energia in primo piano. La Federal Deposit Insurance è un’Agenzia indipendente da Governo e Federal Reserve, che gestisce fondi del bilancio federale e svolge due funzioni principali: fornisce una assicurazione sui depositi delle banche fino a 250.000 dollari per depositante e vigila sulla solvibilità delle banche statali che non sono sottoposte alla vigilanza del Federal Reserve. L’obiettivo, sarebbe quello di impedire ai contribuenti di pagare il conto per potenziali problemi visto che il mondo dell’energia è troppo grande per fallire e nessuna azienda energetica è in grado di finanziare il rischio da sola.

SETTORE CYBER INSURANCE POTREBBE RAGGIUNGERE I 5 MILIARDI DI DOLLARI ENTRO LA FINE DEL 2018 MA L’ENERGIA SI FERMA AL 3%

Il settore della cyber insurance è uno dei segmenti in più rapida crescita del mercato globale delle assicurazioni che nel suo complesso vale oltre 5.000 miliardi di dollari. Il mercato per i cyber plans standalone fra tutte le industrie ha fatturato circa 1.75-2 miliardi di dollari in 2017 e gli Stati Uniti hanno rappresentato il 90 per cento circa del giro d’affari mondiale, ha ammesso Nolan Wilson della società di consulenza Aon Plc a Bloomberg. Secondo Jürgen Reinhart, Chief Underwriter for cyber di Munich RE, un gruppo assicurativo con sede in Germania, entro la fine del 2018 il mercato globale potrebbe crescere fino a raggiungere i 5 miliardi di dollari. Finora, però, l’industria dell’energia rappresenta solo un frammento del mercato, meno del 3 per cento, ha affermato Reinhart.

MOLTO DIFFICILE PREVEDE COSA STA PER ACCADERE NEL CYBER SPAZIO

A testimonianza delle difficoltà nell’affrontare i rischi informatici, Bloomberg ha sentito Brian Walker, uno dei principali responsabili del gruppo CAP di Dallas, una società di consulenza nel settore dei rischi: “Abbiamo prodotti assicurativi molto sofisticati per eventi quali uragani, tornado, terremoti e persino terrorismo. Si possono prevedere. Ma al momento è molto difficile prevedere cosa sta per accadere nel cyber” spazio. Gli assicuratori, ha aggiunto, stanno cercando di capire “come legare il rischio” all’interno del mondo di energia. “La portata geografica e l’entità dell’impatto non sono stimabili”.

PER LE AZIENDE ENERGETICHE IL RISCHIO È RAPPRESENTATO DALL’INTRECCIO DI RELAZIONI NELLA CATENA DI FORNITURA

energivoreSecondo Dante Disparte, head della Risk Cooperative, una società di brokeraggio con sede a Washington “le aziende energetiche hanno enormi relazioni nella catena di fornitura”, e  quindi un attacco ovunque lungo la linea potrebbe avere implicazioni di vasta portata. Una polizza cyber specifica per un grande fornitore di energia o un gasdotto dovrebbe quindi coprire tutti gli aspetti, dalla sostituzione di software e apparecchiature in caso di esplosione, all’indennizzo delle aziende in caso di azioni legali per danni ambientali o perdita di energia per i clienti. In alcuni casi, gli impianti di generazione possono servire milioni di clienti in vaste comunità.

I MAGGIORI RISCHI BLOCCATI

Ad inizio anno, Schneider Electric SE ha riferito di aver subito un attacco al suo software Tricon. Altro esempio  arriva dalla A.P. Moller-Maersk A/S, il gigante delle navi portacontainer che l’anno scorso ha riferito una perdita di circa 300 milioni di dollari relativi a un cyber attack sulle sue operazioni. Con uno scenario simile, il solo farsi aiutare da una squadra di esperti di sicurezza informatica in un sito può costare fino a diecimila dollari negli Stati Uniti, secondo Duncan Greatwood, amministratore delegato di Xage Security con sede a Palo Alto, California. Moltiplicando il numero di sistemi che utilizzano o sono connessi con lo stesso software o un software simile, è possibile ottenere rapidamente la somma. Per questo lo sviluppo di forme di cyber insurance per l’industria energetica sarà fondamentale “perché gli assicuratori aiuteranno a elaborare codici di sicurezza e norme”, secondo Disparte. E la stessa riflessione sulle “migliori pratiche” è necessaria per la tecnologia utilizzata dai fornitori di energia.

LE MINACCE INFORMATICHE RICADONO IN UNA SORTA DI “ZONA GRIGIA”

Ma ottenere la copertura è complicato. Molte aziende energetiche presuppongono che siano coperte grazie alle polizze “All Risks”, ma in realtà le minacce informatiche sono in rapida evoluzioni e ricadono in una sorta di “zona grigia”, ha precisato sempre a Bloomberg Bright di Brit Insurance. Tanto che i Lloyd’s hanno cercato di educare i broker e i clienti sulla necessità di un piano che includa specificamente la copertura informatica. Non c’è dubbio che il problema stia crescendo. Un’analisi rilasciata a marzo dall’FBI e dalla Homeland Security statunitense ha rilevato che gli hacker stanno conducendo ampi assalti alla rete elettrica Usa, ma anche ad altre infrastrutture sensibili del paese, nell’ordine di “migliaia al giorno”, ha detto il Segretario per l’Energia degli Stati Uniti Rick Perry. Per esempio a fine marzo almeno una mezza dozzina di gestori di gasdotti hanno interrotto le comunicazioni elettroniche di terzi a causa di un attacco cibernetico. Tre grandi oleodotti e gasdotti sono stati colpiti dal cosiddetto virus “ransomware”, mentre nella zona del Permiano Usa dove si trivellano pozzi attraverso il fracking è stato scoperto un dipendente di una società che aveva hackerato il sistema della sua compagnia per vendere combustibile in nero. Con i prezzi del petrolio in aumento quest’anno, i produttori “stanno ottenendo un flusso di cassa leggermente migliore e stanno aprendo i loro portafogli per proteggere se stessi, i loro dipendenti e le loro infrastrutture dalle minacce informatiche”, ha detto Krezmien di GS Lab. Ma rimangono ancora lenti ad adottare la copertura informatica rispetto ad altri settori. “Non mi piace usare la paura come driver di vendita – ha concluso Krezmien a Bloomberg -. Ma questo è il vero anno 2000. A questo punto della carriera posso dire che è necessario” difendersi dagli attacchi informatici.