Contesto e contributo italiano alla normativa del Comitato Tecnico 57.

Il contesto di riferimento

La sicurezza energetica è vitale per il buon funzionamento delle società e delle economie moderne. Le tecnologie per l’energia sono sempre più connesse alle reti digitali. Questa crescente digitalizzazione rende il sistema energetico più intelligente, garantendo benefici agli operatori e agli utilizzatori in termini di servizi innovativi ed efficienti. Al tempo stesso la digitalizzazione crea rischi significativi, in quanto una maggiore esposizione a minacce informatiche mina la sicurezza dell’approvvigionamento energetico e la riservatezza dei dati degli utenti.

Che gli operatori energetici siano vulnerabili e subiscano danni causati da attacchi informatici ormai è un rischio accertato. Il rapporto “Cyber challenges to the energy transition” del World Energy Council [1] stima che i gruppi legati alla criminalità informatica identificati come attaccanti delle società di energia siano in continua crescita, con numeri raddoppiati nell’arco di quattro anni (Figura 1).

Tra i casi realmente accaduti, il blackout avvenuto a dicembre 2015 in Ucraina [2], che ha coinvolto tre società di distribuzione,  provocando  il  distacco di 27 stazioni elettriche disalimentando 230.000 utenze per diverse ore, ha segnato la storia del crimine informatico verso le utility elettriche. Come evidenziato dall’analisi dei casi di attacco reali (Figura 2), l’azione malevola verso  i sistemi OT (Operational Technology) spesso viene veicolata da un’intrusione iniziale in una rete informatica aziendale e, attraverso le connessioni di rete, si sviluppa nell’infrastruttura di controllo del sistema elettrico.

I rischi da affrontare sono sostanzialmente legati al processo di digitalizzazione delle infrastrutture, richiesto dalla transizione energetica che caratterizzerà il prossimo decennio. Ci riferiamo, in particolare, ai sistemi riguardanti l’esercizio di impianti, quali stazioni elettriche e impianti di generazione e carico. Questi comprendono impianti di grossa taglia e risorse energetiche distribuite connesse in media e bassa tensione, in particolare risorse di generazione da fonti rinnovabili, infrastrutture di ricarica e di accumulo dei veicoli elettrici caratterizzate da un profilo elettrico impredicibile dovuto alla mobilità dei veicoli, sistemi di gestione della domanda flessibile o che forniscono servizi ancillari all’operatore di rete, funzionali alla gestione in sicurezza di un sistema energetico sostenibile dal punto di vista sociale, ambientale ed economico.

Gli standard internazionali di sicurezza informatica

Al fine di guidare gli operatori energetici nell’attuazione della loro strategia  di resilienza informatica, la Task Force sulla Cyber Security del Comitato di sistema IEC Smart Energy ha selezionato una serie di standard internazionali che si applicano agli ambienti operativi smart energy [3].

Come si può notare dalla serie di standard riferiti in Figura 3, una strategia di resilienza comprende controlli di sicurezza di tipo organizzativo e controlli tecnici a livello applicativo, di sistema e di prodotto, in una logica di responsabilità condivisa tra operatori di servizi energetici, integratori di sistemi e costruttori di dispositivi.

Il ruolo del Comitato Tecnico 57 CEI

In ambito nazionale l’attività normativa relativa agli scambi informativi nei sistemi elettrici è in carico al Comitato Tecnico CEI CT 57 “Scambio informativo associato alla gestione dei sistemi elettrici di potenza”. Il CT 57 segue il regolare iter di approvazione delle norme sviluppate dai TC 57 IEC/CENELEC per le comunicazioni nei sistemi energetici, le quali forniscono specifiche standard, di prodotto e di sistema, che afferiscono alle serie riportate in Figura 4.

Attraverso il CT 57 del CEI l’Italia espri- me un contributo non trascurabile ai lavori normativi internazionali, risultando l’ottavo Paese (insieme alla Federazione Russa), sul totale dei 35 partecipanti, per numero di esperti (29) iscritti ai Working Group del Comitato mirror internazionale (situazione aggiornata a dicembre 2019).

Il CT 57 CEI svolge anche attività di supporto tecnico ad altri Comitati CEI (quali il CT 313, il CT 316, il CT 13, il CT 310 e il CT 205) relativamente agli aspetti di comunicazione e sicurezza informatica.

Il WG 15 del TC 57 IEC e la serie di Norme IEC 62351

A livello internazionale diversi membri del CT 57 CEI partecipano attivamente alle attività del Working Group 15 del TC 57 IEC, incaricato dello sviluppo della serie di standard IEC 62351 [5], la cui struttura è evidenziata in Figura 5: la Parte 3 specifica un profilo di trasporto sicuro per i protocolli basati su TCP/ IP; le Parti 4, 5, 6 e 11 (in alto al centro) sono direttamente collegate alla sicurezza dei protocolli di comunicazione sviluppati dal TC 57 di IEC (in alto a sinistra); le Parti 100-x (in basso a sinistra) specificano i test di conformità alle Parti 3, 4, 5 e 6; le Parti 7, 8, 9 e 14 (in alto a destra) riguardano funzioni di sicurezza di supporto; le Parti 90, 10, 11 e 12 sono rapporti tecnici su tematiche specifiche e linee guida per l’utilizzo dello standard.

Ogniqualvolta possibile, la serie di Norme IEC 62351 riferisce gli standard Internet esistenti (terza colonna in Figura 3), specificando profili adegua- ti ai vincoli di disponibilità, integrità e confidenzialità dell’ambiente operativo energetico. Ciò dimostra la convergenza delle tecnologie di comunicazione sviluppate negli ambiti IT (Information Technology) e OT (Operational Technology) e la necessità di renderle interoperabili, un aspetto che assumerà una sempre maggiore rilevanza nel futuro, con l’utilizzo di piattaforme aperte basate su tecnologie IoT (Internet of Things), servizi edge e cloud.

Contributo italiano allo sviluppo della serie IEC 62351

Nel seguito vengono descritti in maggior dettaglio i contributi alla serie IEC 62351 guidati da membri del Comitato italiano CEI CT 57.

Sicurezza dei protocolli IEC 60870-5- 101/104 e IEEE 1815 (DNP3) e test di conformità

I protocolli standard IEC 60870-5-101/104 [7] e IEEE 1815 [8] sono tra i più diffusi al mondo per il telecontrollo dei sistemi OT (power, oil&gas e non solo). Per questo motivo la sicurezza di questi protocolli costituisce una parte fondamentale in carico al WG 15.

La Norma IEC 62351-5, ormai arrivata all’edizione 2, si applica ai protocolli delle serie IEC 60870-5 e IEEE 1815, sia con profili seriali che TCP/IP, e de- finisce le procedure di comunicazione aggiuntive, come estensione di sicurezza, per l’autenticazione delle informazioni in transito.

Uno dei timori più diffusi da parte dei fornitori a seguito della pubblicazione della Norma IEC 62351-5 è come implementare questo standard in interfacce (software) di comunicazione già collaudate da diversi anni e soprattutto operative negli impianti di telecontrollo. In pratica essendo questo standard una estensione del protocollo di base, è possibile integrarlo apportando cambiamenti minimi nel software di comunicazione esistente. In Italia esistono società di consulenza informatica con consolidata esperienza di integrazione di questo standard in sistemi di telecontrollo (SCADA, RTU, ecc.), ed esistono fornitori che mettono già a disposizione prodotti di ultima generazione che implementano l’IEC 62351-5.

Un altro aspetto considerato dai fornitori è definire il momento giusto per integrare la sicurezza IEC 62351-5 nei propri prodotti. Si osserva il comportamento di altri fornitori o si attendono direttive da parte delle utility? Chiaramente la comunicazione protetta tra due entità può avere luogo solo se entrambe le parti coinvolte sono in grado di comunicare in modo sicuro. A questo riguardo occorre precisare che per supportare l’integrazione dei nuovi prodotti nelle infrastrutture esistenti, lo standard prevede che un dispositivo che implementa l’IEC 62351-5 debba essere anche in grado di disabilitare tale estensione di sicurezza e comunicare utilizzando il protocollo di base.

Quindi in un’infrastruttura complessa la migrazione verso comunicazioni sicure può avvenire in modo graduale e progressivo.

Un altro aspetto importante per prodotti che implementano uno standard di riferimento come lo IEC 62351-5 è l’interoperabilità, ma per essere interoperabile un prodotto deve essere prima di tutto conforme a tale normativa. Gli standard di conformance testing della serie IEC 62351-100-x hanno lo scopo di verificare la conformità di un prodotto rispetto agli standard IEC 62351 e sono utilizzati da laboratori di test riconosciuti (come ad esempio DNV-GL o TÜV) per certificare un prodotto rispetto allo standard di riferimento.

In particolare, l’IEC 62351-100-1 (pubblicato a fine 2018) e l’IEC 62351-100- 3 (pubblicato ad inizio 2020) sono gli standard di conformance testing rispet- tivamente dell’IEC 62351-5 e dell’IEC 62351-3.

La disponibilità della serie IEC 62351-100-x rappresenta un contributo importante per la realizzazione dei test previsti dalla Legge n. 133 del 18 novembre 2019 per i prodotti utilizzati da operatori che rientrano nel perimetro di sicurezza nazionale cibernetica.

Cyber security monitoring: IEC 62351-7 e  IEC 62351-90-2

Il Network and System Management (NSM) è uno dei temi trattati nell’ambito del WG 15 del TC 57 IEC perché la disponibilità dei sistemi e delle informazioni è uno degli aspetti più delicati per la resilienza delle infrastrutture critiche. Fondamentalmente è necessario:

• cercare di evitare gli effetti degli attacchi, o almeno ritardarne la propagazione abbastanza a lungo per poter decidere quale azione intraprendere;
• rilevare tempestivamente i tentativi di attacco per attivare velocemente le misure di sicurezza aumentando in questo modo le possibilità di contrasto;
• valutare e classificare l’importanza degli attacchi, per determinare la natura e la gravità del potenziale danno effettivo e perfezionare le contromisure;
• notificare gli eventi al CERT (Computer Emergency Readiness Team) di  competenza  e, se del caso, al CSIRT (Computer Security  Incident  Response Team) nazionale e tramite il CSIRT a tutti gli stakeholder interessati.

La Norma IEC 62351-7, pubblicata nel luglio 2017 come International Standard, definisce il modello dei dati per il Network and System Management specifici per l’esercizio del sistema elettrico. Questi oggetti NSM sono utilizzati per monitorare l’integrità delle reti e dei sistemi (es. IED, RTU), per rilevare possibili intrusioni di sicurezza e per monitorare le prestazioni e l’affidabilità dell’infrastruttura di telecontrollo e automazione attraverso la tecnica di monitoraggio attivo mediante query o mediante raccolta di eventi inviati dal dispositivo di campo.

Il modello dati è realizzato mediante la notazione UML (Unified Modeling Language) in cui i data objects sono definiti in modo “astratto” e traducibile in differenti protocolli di monitoraggio. La Norma IEC 62351-7 include la trasposizione del mo- dello dati nel protocollo SNMP (Simple Network Management Protocol) in cui gli oggetti astratti sono tradotti in ogget-

ti MIB (Management Information Base) distribuiti da IEC insieme alla norma in forma machine readable come componenti di codice. La Norma IEC 62351-7, il cui sviluppo è stato guidato dall’Italia, è stato il primo caso di standard pubblicato da IEC comprensivo di documento di specifica e relativi componenti di codice, un risultato ottenuto grazie alla fruttuosa collaborazione con IEC nella definizione del processo di pubblicazione di componenti di codice.

La traduzione del modello UML nella norma documentale e nei relativi codici è automatizzata attraverso il tool JCleanCIM, modificato per includere  la funzionalità di generazione dei MIBs SNMP.

La  scelta  di  supportare   innanzitutto SNMP deriva dal fatto che questo protocollo è ampiamente utilizzato nel contesto IT e delle telecomunicazioni. Per questo motivo la correlazione delle informazioni e degli eventi provenienti da IED (Intelligent Electronic Device) ed RTU (Remote Terminal Unit) con altre informazioni di monitoraggio (per esempio da router, switch, IDS/IPS, firewall) risulta facilitata.

La gestione degli IED può diventare in questo modo parte della gestione com- plessiva del sistema e della rete di telecomunicazioni. MIB SNMP sono peraltro già disponibili per effettuare il monitoraggio del livello di rete e di trasporto.

Il monitoraggio di IED e RTU può essere inoltre progettato come indipendente dalla normale operatività SCADA (Supervisory Control And Data Acquisition) e l’infrastruttura di monitoraggio può es- sere parallela e indipendente garanten- do una opportuna separazione di ruoli.

La tecnica di monitoraggio descritta nella Norma IEC 62351-7 non costituisce l’unico strumento per la raccolta delle informazioni sullo stato di funzionamento e di sicurezza delle infrastrutture di telecontrollo e automazione. Tra le altre tecniche, evidenziate in Figura 6, esiste l’analisi passiva del traffico.

Poiché la famiglia di Norme IEC 62351 introduce per i protocolli del TC 57 la cifratura dei dati, per non rinunciare alla possibilità di ispezionare da un punto di vista “terzo” il contenuto semantico del traffico delle reti OT è necessario adottare tecniche opportune che consentono di decifrare i messaggi ed analizzare il contenuto dei dati senza violare i vincoli di cybersecurity. Tali tecniche vengono trattate nel Technical Report IEC 62351-90-2 “Deep Packet Inspection (DPI) of encrypted communications”.

Applicazioni della serie IEC 62351 nei sistemi energetici

La disponibilità della serie IEC 62351 ha permesso di avviare attività sperimentali relative alla sua applicazione in infrastrutture di test.

Nel seguito vengono riportati alcuni esempi di applicazioni delle funzioni di sicurezza incluse nella serie.

Sicurezza end-to-end delle comunicazioni di controllo DER (Distributed Energy Resource): valutazioni e test di prestazione

Secondo le linea guida del Technical Report IEC 62351-10, la Figura 7 presenta un esempio di architettura complessiva di telecontrollo della rete elettrica e dei DER, estesa con le misure di sicurezza previste dalla serie IEC 62351.

Focalizzando l’attenzione sulle comunicazioni relative agli scambi informativi con i DER, e allo scopo di valutare l’impatto delle misure preventive e difensive previste dalla serie IEC 62351 sulle prestazioni delle comunicazioni, la Figura 8 illustra l’applicazione delle Norme IEC 62351-4 e IEC 62351-7 in un setup utilizzato per le valutazioni sperimentali di cybersecurity [10]. A livello logico la piattaforma è costituita da:

• Reti locali alle stazioni elettriche (in  rosso):  ogni  rete  di stazione include funzioni di automazione, comunicazione, SCADA e HMI operatore. In ogni stazione il comportamento del processo elettrico è simulato da un’applicazione Field Simu- lator che legge e aggiorna cicli- camente un’interfaccia I/O virtuale. La rete di stazione ospita il modulo software (client) che gestisce le comunicazioni della stazione con i DER;
• Reti locali ai DER (in verde): le reti DER sono collegate alla stazione di pertinenza tramite il modulo software (server);
• Reti geografiche (nuvola verde) che collegano una stazione con impianti DER situati in diverse aree geografiche, che potenzialmente utilizzano tec-nologie di comunicazione eterogenee.

Lo scambio informativo tra DER e stazioni è realizzato da un’applicazione client-server IEC 61850 mappato sul protocollo MMS [11] con sicurezza IEC 62351-4. Il client stabilisce una sessione MMS con il server, richiede la trasmissione del profilo dello IED, quindi abilita il server alla trasmissione di report periodici contenenti misure e stati. Il numero di report che devono essere inviati dal server e l’intervallo tra l’emissione di due report consecutivi sono configurabili. La trasmissione del report provoca un flusso di informazioni dal server verso il client. Per generare il flusso di informazioni nell’altra direzione, dal client verso il server, il client può essere configurato in modo da inviare setpoint su base periodica. Anche in questo caso il periodo è configurabile. L’applicazione client-server è implementata attraverso API fornite da una libreria IEC 61850 al fine di implementare i più importanti servizi MMS richiesti da IEC 61850 e il profilo T sicuro conforme a IEC 62351-4. Le tracce di traffico dati ottenute durante le sessioni di test vengono analizzate utilizzando una modalità per l’ispezione di traffico cifrato tra quelle previste dal rapporto IEC 62351-90-2, attraverso uno strumento in grado di estrarre e calcolare indicatori di interesse primitivi e derivati, quali il tempo di connessione, di rinegoziazione del materiale di cifratura, il tempo di ricezione dei report (o di setpoint), il numero di ritrasmissioni di report (o di setpoint).

La piattaforma di laboratorio può essere utilizzata per valutare le prestazioni di comunicazioni di controllo con sicurezza IEC 62351 rispetto agli indicatori citati precedentemente, su reti locali e su canali di comunicazione reali wide area come infrastrutture wireless cellulari (2G/3G/4G) [10] variando le diverse tecnologie e parametri di setup.

Inoltre è possibile testare le prestazioni del profilo di sicurezza standard al variare dei parametri di configurazione, quali versione TLS, algoritmi di cifratura e lunghezza delle chiavi [12].

Monitoraggio della sicurezza delle comunicazioni di controllo DER e riconoscimento di anomalie

Come evidenziato in Figura 8 , il monitoraggio della cybersecurity è realizzato da un’infrastruttura ortogonale (in viola) che raccoglie informazioni utili per l’analisi e il rilevamento tempestivo di anomalie nelle comunicazioni di telecontrollo. Le funzionalità a supporto del riconoscimento di anomalie costituiscono misure di sicurezza complementari ai meccanismi preventivi per la sicurezza degli scambi informativi trattati in precedenza.

I valori degli oggetti di monitoraggio vengono estratti da dispositivi di tipo diverso, come controllori e router nelle reti delle stazioni elettriche, e fanno riferimento a vari livelli dello stack di comunicazione.

Nel contesto di controllo DER, gli oggetti IEC 62351-7, raccolti dai controllori nelle stazioni, sono relativi alle comunicazioni IEC 61850, mentre quelli del router sono oggetti tipici del livello di trasporto nelle reti IP.

Per poter disporre di un base dati ampia su cui effettuare le analisi, la piattaforma di monitoraggio SNMP del laboratorio RSE è integrata con una piattaforma di logging (Figura 9) per la raccolta di eventi rilevanti per la sicurezza previsti dalla Norma IEC 62351-14, così da poter effettuare analisi e rilevazione di situazioni potenzialmente critiche [13]. Correlando i valori di diversi oggetti ed eventi è possibile rilevare tempestivamente la presenza di condizioni anomale prima che avvengano interruzioni di servizi, in modo da applicare azioni di mitigazione appropriate e recuperare rapidamente un eventuale degrado di prestazioni nelle comunicazioni di controllo.

Accesso remoto sicuro per il telecontrollo: integrazione della Public Key Infrastructure e della gestione dei ruoli

Per la messa in sicu- rezza dei protocolli di telecontrollo, la serie IEC 62351 definisce diversi servizi, sia a li- vello di trasporto sia a livello di applicazione, che utilizzano certifica- ti elettronici standard ITU-T X.509 per l’iden- tificazione e l’autentica- zione dei nodi in comu- nicazione. Tipicamente i certificati ITU-T X.509 sono utilizzati per operazioni crittografi- che asimmetriche (crittografia a chiave pubblica) per generare, ad esempio, firme digitali. Il materiale essenziale per queste operazioni è costituito da una coppia di chiavi, chiave pubblica   e chiave privata, che appartengono ad un nodo specifico. Queste chiavi ven- gono utilizzate dai nodi comunicanti nel contesto dell’autenticazione o dell’ac- cordo sulle chiavi. In questa accezione i certificati rappresentano documenti di identificazione elettronica che vengono utilizzati per associare una chiave pubblica ad un utente o ad un sistema.

La Norma IEC 62351-9 definisce soluzioni per la gestione delle chiavi e dei certificati ITU-T X.509 basate su PKI (Public Key Infrastructure) il cui scopo  è fornire una serie di servizi crittografici atti a:

• assicurare l’autenticità della sorgente dati;
• assicurare che l’accesso ai dati sia autorizzato;
• assicurare l’integrità dei dati;
• prevenire l’accesso indebito a dati confidenziali;
• prevenire il ripudio di un’azione o la legittima attribuzione di responsabilità per l’azione stessa;
• prevenire la perdita di servizi essenziali e quindi garantire la loro disponibilità.

La Figura 10 illustra una possibile integrazione dell’infrastruttura a chiave pubblica all’interno dell’architettura di un sistema di telecontrollo di impianti  di generazione composto da apparati SCADA e RTU.

Come è possibile evincere dalla Figura 10, all’architettura canonica di un sistema di telecontrollo vengono aggiungi nuovi componenti infrastrutturali, appartenenti alla PKI, per supportare una gestione efficiente dei certificati.

La gestione dei certificati (Figura 11) comprende le seguenti funzioni:

• definizione di un profilo di certifica- to, che definisce i parametri principali (e potenzialmente anche il valore) da utilizzare in un ambiente operativo;
• registrazione degli utenti (persone o dispositivi) presso l’autorità di registrazione (RA) per la richiesta di un certificato;
• generazione delle chiavi (chiave privata e pubblica);
• applicazione del certificato delle chiavi generato per l’utente (iscrizione);
• generazione di un certificato per un utente autorizzato tramite l’autorità di certificazione (CA);
• distribuzione del certificato all’entità finale e potenzialmente anche ai servizi di directory;
• fornitura da una directory pubblica dei certificati emessi (ad es. tramite un server LDAP – Lightweight Directory Access Protocol);
• fornitura di informazioni di validità (informazioni di revoca) per i certificati emessi (ad es. tramite un server LDAP), poiché il certificato potrebbe essere revocato durante il normale periodo di validità (ad es. se la chiave privata corrispondente è stata compromessa).

In particolare, per i certificati relativi ai dispositivi è più efficiente supportare, per quanto possibile, una gestione automatizzata dei certificati. Ciò si riferisce sostanzialmente all’automazione di tutte le suddette operazioni lato entità finale, mentre le decisioni di autorizzazione vengono prese dal lato centrale.

La Norma IEC 62351-9 descrive le applicazioni dei protocolli  esistenti  per  la registrazione dei certificati (SCEP – Simple Certificate Enrollment Protocol o EST – Enrollment over Secure Transport), che supportano il bootstrap e l’aggiornamento dei certificati e l’interrogazione delle informazioni di validità in modalità automatica.

Un’altra possibile applicazione dei certificati elettronici è rappresentata dall’impiego dell’estensione RBAC (Role Based Access Control), che consente un controllo degli accessi più raffinato basato sui ruoli autorizzati. Il controllo degli accessi in base al ruolo supporta il principio del privilegio minimo, ovvero di assegnare ad un utente solo le autorizzazioni strettamente necessarie alla sua operatività. RBAC riduce la complessità ed i costi di amministrazione della sicurezza in reti e sistemi con un numero elevato di soggetti, i quali possono essere applicazioni utente o dispositivi. L’approccio di base assegna ai soggetti dei ruoli, i quali a loro volta sono autorizzati a compiere determinate azioni sugli oggetti.

La Norma IEC 62351-8 definisce un set minimo di ruoli tipici del mondo energia, ma consente anche ad un potenziale operatore di definire i propri ruoli. Le informazioni sul ruolo associate ad un utente sono definite come parte di un certificato. Per essere più specifici, per RBAC è stata definita un’estensione della PKI che consente l’applicazione di certificati a chiave pubblica e di certificati di attributo.

Per facilitare l’introduzione di RBAC nelle reti dei sistemi di telecontrollo, in termini di infrastruttura necessaria e supporto, l’IEC 62351-8 consente di in- tegrare l’RBAC mediante il processo di accesso, già noto in ambito IT, basato su combinazioni di password e nome utente.

Questo approccio è descritto nella IEC 62351-8 come procedura PULL e con- sente al dispositivo di accesso di interrogare le informazioni RBAC necessarie da un repository centrale, come un server LDAP o RADIUS. Poiché l’IEC 62351-8 utilizza certificati per RBAC, questo approccio consente di utilizzare certificati associati a soggetti nella comunicazione back-end, senza coinvol- gere i soggetti nella gestione stessa del certificato.

Un approccio alternativo, definito PUSH nella Norma IEC 62351-8, descrive il recupero delle informazioni sul ruolo da parte del soggetto fornendo le informazioni RBAC come parte della richiesta verso il dispositivo a cui vuole accedere. Il modello PUSH consente ad un soggetto di recuperare le proprie credenziali, prima di accedere ad un dispositivo o applicazione, in un repo- sitory centrale e di fornire direttamente tali credenziali al dispositivo o all’applicazione (Figura 12).

Entrambe le modalità di gestione dei ruoli prevedono l’applicazione dei certificati ITU-T X.509 con estensione RBAC.

CONCLUSIONI

Le esigenze di sicurezza informatica nel settore energetico stanno assumendo una rilevanza sempre maggiore. Con l’obiettivo di fornire un quadro sintetico e aggiornato  delle  soluzioni e delle tecnologie disponibili, l’articolo ha brevemente riassunto lo stato degli standard internazionali e il significativo contributo italiano al loro sviluppo. L’esperienza sulla sicurezza informatica maturata all’interno del CT 57 supporta lo sviluppo degli allegati alle Norme CEI 0-16 e CEI 0-21 relativi agli scambi informativi dei dispositivi di controllo per la connessione degli utenti attivi alle reti di alta, media e bassa tensione.

Bibliografia

[1] World Energy Council, “Cyber challenges to the energy transition”, 2019.

[2] E‐ISAC, “Analysis of the Cyber Attack on the Ukrainian Power Grid”, 18 marzo 2016.

[3] IEC Technology Report, “Cyber security and resilience guidelines for the smart energy operational environment”, IEC System Committee Smart Energy, Working Group 3, Task Force Cyber Security, 2019.

[4] IEC 62357:2003, “Power system control and associated communications – Reference architecture for object models, services and protocols”, Technical Report, 2003.

[5] IEC 62351:2020 International Standard, “Power systems management and associated information exchange – Data and communications security – ALL PARTS”, IEC Technical Committee 57, Working Group 15, 2020.

[6] IEC 62351 International Standard, “Securing the Power System Information Infrastructure – IEC 62351 Application Notes – Volume 1: White Paper”, Technical Committee 57, Working Group 15, 2020.

[7] IEC 60870-5-104:2006+AMD1:2016 International Standard, “Telecontrol equipment and systems – Part 5-104: Transmission protocols – Network access  for  IEC 60870-5-101 using standard transport profiles”, IEC Technical Committee 57, Working Group 3, 2016.

[8] IEEE 1815-2012 “Standard for Electric Power Systems Communications-Distributed Network Protocol (DNP3)”, 2012.

[9] IEC 62351 International Standard, “Securing the Power System Information Infrastructure – IEC 62351 Application Notes – Volume 3: Application Examples of IEC 62351”, Technical Committee 57, Working Group 15, 2020.

[10] G. Dondossola, R. Terruggia, P. Wylach, F. Bellio, G.L. Pugni, “Application of Monitoring Standards for enhancing Smart Grids Security” Cigré Session 46, Paper D2_204,_2016, Parigi (FR), agosto 2016.

[11] IEC 61850-8-1:2011 International Standard, “Commu- nication networks and systems for power utility automation – Part 8-1: Specific communication service mapping (SCSM) – Mappings to MMS (ISO 9506-1 and ISO 9506- 2) and to ISO/IEC 8802-3”, IEC Technical Committee 57, Working Group 10, 2011.

[12] M.G. Todeschini, G. Dondossola, R. Terruggia, “Impact evaluation of IEC 62351 cyber security on IEC 61850 communications performance “ CIRED 2019, Madrid, 3-6 giugno 2019.

[13] G. Dondossola, R. Terruggia, “A monitoring architec- ture for smart grid cyber security”, CIGRE Science & Engineering, vol. 10, pp. 27-32, febbraio 2018.