L'Amministrazione Trump ha deciso di affrontare il problema della sicurezza delle infrastrutture critiche con un approccio drastico. La decisione riguarda le reti di produzione e distribuzione dell'energia elettrica. Nello specifico, i cosiddetti Bulk Power System. Una definizione che comprende vari componenti dei sistemi di produzione e distribuzione ad alta tensione, da 96 kV in su. Tra questi componenti ce ne sono diversi che si collegano anche alle reti IT, come i sistemi ICS e le piattaforme di controllo e gestione.

Il Governo USA ha emesso una norma che, in estrema sintesi, di fatto vieta alle aziende energetiche di acquistare e installare qualsiasi dispositivo o sistema energetico prodotto al di fuori degli Stati Uniti. La condizione non è espressa in questo modo, in effetti. Ma la norma indica che "l'importazione illimitata di sistemi BPS rappresenta una minaccia alla sicurezza nazionale, alla politica estera e all'economia degli Stati Uniti". E sottolinea che la produzione dei sistemi considerati viene da fuori gli USA, "del tutto o per una quota sostanziale".

L'approccio che gli Stati Uniti vogliono seguire è stato già adottato nelle telecomunicazioni e per le reti. E rimanda al concetto della Entity List in cui far ricadere fornitori "sospetti". Anche in campo energia sarà quindi possibile definire un elenco di prodotti e vendor che non sono considerati affidabili. E da cui non importare più nulla. Inoltre, come già nelle TLC, il Governo si riserva la possibilità di "identificare, isolare, monitorare o sostituire" eventuali prodotti giudicati non più idonei ma già installati nelle reti energetiche USA.

Siamo ancora alle prime fasi di questa nuova "emergenza nazionale" e tutto è ancora piuttosto vago. Contrariamente al mondo delle telecomunicazioni e delle reti dati, in campo energia la galassia dei possibili fornitori di prodotti e sistemi è molto ampia. Ma lo è anche il raggio d'azione della nuova norma. Che si applica a qualsiasi cosa "progettata, sviluppata, realizzata o fornita" da entità potenzialmente pericolose. Quindi qualunque persona o azienda "posseduta, controllata o soggetta alla giurisdizione" di una nazione nemica. O, più tecnicamente, di un "foreign adversary".

Di sicuro questa ampia categorizzazione mette facilmente fuori gioco le aziende ad esempio cinesi o russe. Ma anche quelle europee, considerando che molte di esse fanno realizzare i loro prodotti in Cina. Se non del tutto, almeno in parte. A meno che non si entri velocemente nella lista dei prodotti e dei fornitori "pre approvati". Anch'essa al momento tutta da definire.

Lo Speciale di SecurityOpenLab dedicato alla sicurezza delle infrastrutture critiche.

Va peraltro notato che gli Stati Uniti non sono una nazione al centro di attacchi ai sistemi energetici. Già diversi gruppi state-sponsored usano penetrare nelle reti IT delle utility per arrivare ai sistemi di controllo ICS. E, da questi, bloccare il funzionamento delle reti energetiche. Sinora si è però trattato di una questione soprattutto europea. Simboleggiata dal frequente "spegnimento" delle reti ucraine ad opera di gruppi filo-russi. Altri casi analoghi si sono registrati in Medio Oriente e in Asia.

Sinora negli USA non si sono avuti fenomeni di vero rilievo. Solo i primi passi di campagne per la "esplorazione" dei sistemi IT connessi alle reti energetiche. Abbastanza per spingere ad un approccio "duro" che minaccia di creare l'ennesima contrapposizione commerciale tra USA e resto del mondo.