You are here

La cyber security

In un contesto in cui la gestione dei rischi informatici, in continua crescita, è diventata una priorità a livello globale, per Enel la cyber security diventa un elemento fondamentale della strategia digitale.
L’Azienda, come altri attori del settore elettrico, fa leva su sistemi digitalizzati per la gestione degli impianti di generazione, delle reti di distribuzione, nonché per la gestione del rapporto coi clienti; infatti, i sistemi business critical, le smart grid, i contatori elettronici sono ogni giorno più digitalizzati e integrati nel panorama tecnologico. Si diffonde, inoltre, l’utilizzo dell’Internet of Things, che determina la crescente diffusione di dispositivi in ambienti e sistemi intelligenti e interconnessi. L’informatica gestionale tradizionale sta evolvendo in mobile computing o cloud computing.

La strategia di cyber security è allineata con quella del Gruppo Enel ed è basata su una puntuale valutazione dei possibili rischi e sulla definizione delle relative iniziative di cyber security a livello globale. Viene definita con un processo iterativo che prevede il coinvolgimento delle diverse aree di business, consolidando progressivamente aspetti quali lo scenario atteso per la sicurezza informatica, gli obiettivi e le iniziative strategiche per la sicurezza. La strategia per la cyber security viene approvata dal vertice aziendale e poi declinata in piani operativi per l’attuazione delle iniziative previste. Le attività vengono attuate con un approccio “security by design” che focalizza gli aspetti di sicurezza fin dalle prime fasi della progettazione di applicazioni, sistemi e processi.

La cyber security in cifre

La spesa per la cyber security nel corso del 2016 è stata di oltre 10 milioni di euro.
Persone dedicate: 66
persone (51 uomini e 15 donne) a dicembre 2016 (58 nel 2015).

Nel 2016 i sistemi di protezione del Gruppo Enel hanno bloccato ogni giorno circa:

  • 600mila mail, in ingresso, malevole o riconducibili a spam;
  • 800 virus;
  • 700mila tentativi di connessioni malevole in ingresso.
Nel corso del 2016 sono stati gestiti mediamente 150 eventi di sicurezza informatica (“incident”) al giorno di varia gravità e identificati e segnalati oltre 400 domini internet sospetti con utilizzo illecito di brand del Gruppo e circa 80 interventi ostili da parte di attivisti cibernetici. Sono inoltre state effettuate 300 attività per la verifica sistematica (“Ethical Hacking”) del livello di protezione raggiunto da sistemi e applicazioni IT.

Assessment di Gruppo

A gennaio 2016 è stato completato l’assessment sulla sicurezza informatica nel Gruppo. L’assessment, che è stato condotto in conformità agli standard internazionali di riferimento (NIST, NERC, ecc.), ha riguardato i sistemi di Information Technology, i sistemi di controllo industriali, l’organizzazione, i processi e le pratiche adottati. Sulla base dei risultati di tale attività sono state identificate le necessarie azioni di miglioramento di tipo organizzativo e progettuale.

Il nuovo modello organizzativo

Nel settembre 2016 il Gruppo Enel ha ridefinito la propria struttura organizzativa per la gestione della sicurezza informatica. È stata creata una specifica unità di Cyber Security a diretto riporto del Chief Information Officer (CIO) e il cui responsabile ricopre il ruolo di Chief Information Security Officer (CISO) del Gruppo Enel. Questo ha anche consentito di rendere più snella e flessibile la catena decisionale in un contesto nel quale la velocità di risposta agli eventi è essenziale. L’unità è strutturata per gestire la governance e l’assurance della sicurezza informatica, la definizione e la supervisione delle architetture e dei sistemi di sicurezza informatica nei diversi contesti (Information Technology, Industrial Control Systems e tecnologie emergenti, Internet of Things, ecc.), le soluzioni e i servizi per la prevenzione, la protezione e la risposta a eventuali attacchi informatici e la definizione e supervisione dei sistemi di gestione delle identità e di controllo degli accessi. La nuova struttura organizzativa prevede il coinvolgimento delle Linee di Business nelle attività collegate alla sicurezza informatica attraverso le figure dei Risk Manager e dei Response Manager.

Principali azioni e progetti

Enel ha quindi avviato nel 2016 il progetto per la definizione del nuovo Cyber Security Framework, che descrive i processi per la gestione della cyber security nel Gruppo Enel in linea con gli approcci “Risk Based” e “Security by Design”.

Il 2016 è stato anche caratterizzato dal lancio di nuovi e importanti progetti per la sicurezza informatica:

  • l’introduzione del nuovo sistema di Identity Access Management (CompAC) che consente l’attivazione di politiche di sicurezza degli accessi, verificando la compatibilità dell’assegnazione di ogni ruolo con le regole dettate dal principio di segregazione dei ruoli (Segregation of Duties);
  • la creazione del Cyber Emergency Readiness Team (CERT) di Enel, basato in Italia e con referenti nei principali Paesi dove Enel è presente con propri asset e infrastrutture. Durante il 2017 il progetto porterà ad accreditare ufficialmente il CERT in diversi Paesi del Gruppo. Il CERT permette di supervisionare e monitorare gli eventi di cyber security sui sistemi di Information Technology e sui sistemi di controllo industriali e consente un coordinamento centralizzato delle attività di gestione degli incidenti di cyber security, oltre a garantire il costante aggiornamento sui rischi per la sicurezza informatica e la stretta collaborazione con le organizzazioni nazionali e internazionali che si occupano di cyber security e con gli altri CERT;
  • lo sviluppo e l’installazione di una nuova generazione di sonde (Advanced Deep Packet Inspection Probes) mirate a migliorare la capacità di rilevare gli eventi di cyber security;
  • la protezione delle applicazioni web (Web Application Protection through Advanced Cyber Security Solutions), attraverso servizi di protezione avanzata che consentono di proteggere le informazioni scambiate con i visitatori dei siti, migliorandone le prestazioni in termini di tempo di risposta e mitigando gli effetti di Informazione e sensibilizzazione Nel corso dell’anno è proseguito il Programma “ICT Security Awareness”, un’iniziativa permanente e continuativa a livello di Gruppo che si propone di creare e promuovere costantemente una cultura di cyber security, migliorando così i comportamenti in risposta a minacce e attacchi informatici che sfruttano le abitudini e le aspettative degli utenti. Il programma prevede sia campagne su tematiche generali sia iniziative specifiche legate a specifici rischi. La campagna globale “Cyber Risks” (novembre 2015-dicembre 2016) ha riguardato tutte le persone che lavorano in Enel ed è stata suddivisa in quattro moduli tematici: rischi derivanti dalla facilità di connessione, sicurezza di dati e informazioni, utilizzo di tecnologie sicure anche fuori dal posto di lavoro e sicurezza nell’utilizzo di dispositivi mobili.eventuali attacchi mirati all’interruzione del servizio (DDoS attacks).

Informazione e sensibilizzazione

Nel corso dell’anno è proseguito il Programma “ICT Security Awareness”, un’iniziativa permanente e continuativa a livello di Gruppo che si propone di creare e promuovere costantemente una cultura di cyber security, migliorando così i comportamenti in risposta a minacce e attacchi informatici che sfruttano le abitudini e le aspettative degli utenti. Il programma prevede sia campagne su tematiche generali sia iniziative specifiche legate a specifici rischi.
La campagna globale “Cyber Risks” (novembre 2015-dicembre 2016) ha riguardato tutte le persone che lavorano in Enel ed è stata suddivisa in quattro moduli tematici: rischi derivanti dalla facilità di connessione, sicurezza di dati e informazioni, utilizzo di tecnologie sicure anche fuori dal posto di lavoro e sicurezza nell’utilizzo di dispositivi mobili.

Principali collaborazioni

Nel 2016 sono continuate le partecipazioni attive ai gruppi di standardizzazione, in particolare nell’ambito dell’International Electrotechnical Commission TC57/WG15 “Data and Communication Security” sul tema dell’approccio “cyber security by design” alla sicurezza informatica.

È inoltre proseguito il supporto del “National Observatory on Cyber Security, Resiliency and Business Continuity of Electrical Systems”, un gruppo di esperti (di cui Enel è membro fondatore) che rappresenta un punto di riferimento per iniziative di ricerca nel campo delle infrastrutture elettriche critiche.
Enel ha organizzato nel settembre del 2016 una maratona internazionale, denominata “Hackathon Cyber Security”; una sfida tra le proposte di sette compagnie emergenti per contrastare gli attacchi informatici in quattro aree: sistemi di controllo industriali (SCADA), Internet of Things (IoT), protezione dei dati e protezione dei dispositivi mobili. La società vincitrice dell’Hackathon è stata coinvolta per il test in campo della soluzione proposta.
Sono state avviate collaborazioni con società produttrici di soluzioni innovative di sicurezza informatica potendo incidere sul percorso di evoluzione delle stesse con l’obiettivo di massimizzare il beneficio ottenibile dall’impiego nel contesto industriale del Gruppo.
Infine Enel ha supportato l’osservatorio “Cyber Security for infrastructure of Energy & Transport (CSET 2016)”, che si è svolto a Genova nel giugno del 2016.

SDG di riferimento: 
Principali azioniTarget
Investimenti di digitalizzazione (asset, clienti, persone)4,7 miliardi di euro nel periodo 2017-2019 - digitalizzare gli asset, l’operatività e i processi del Gruppo e potenziare la connettività
Copertura delle applicazioni web esposte a internet con soluzioni applicative avanzate di cyber security100% delle applicazioni web protette attraverso soluzioni cyber security avanzate al 2019
Costituzione CERT* Enel e accreditamento presso i CERT nazionaliAccreditamento in 8** Paesi al 2018
Diffusione della cultura della sicurezza informatica e cambiamento dei comportamenti
delle persone al ne di ridurre i rischi
15 eventi di cyber security knowledge sharing erogati all’anno
Attività per la riduzione delle emissioni di CO2-17,2 milioni di pagine stampate nel periodo 2015-2019
Sviluppo di sistemi di Telepresence e
videocomunicazione
Avvio di azioni per la riduzione delle ore di inutilizzo di PC, laptop, monitor in Italia

* Cyber Emergency Readiness Team.
** Italia, Spagna, Romania, Argentina, Brasile, Perù, Colombia, Cile.

Piano di Sostenibilità 2017-2019