«In Saras stiamo affrontando il tema della Cyber Security con un programma articolato su vari livelli, tecnologici e di governance, che ci consente di incrementare la nostra maturità, il livello di sicurezza e la capacità di affrontare rischi in continua evoluzione. La minaccia cyber, insita nella sempre più diffusa digitalizzazione, oggi non riguarda più soltanto i dati, e quindi principalmente le aziende finanziarie, ma anche gli impianti, in particolare nella produzione dell’energia. Il progresso digitale, d’altra parte, è inarrestabile e occorre mettere in atto tutto ciò che serve per essere tecnologicamente all’avanguardia in modo sicuro».
Laura Pilia riveste nella controllata Sarlux l’incarico di Industrial Control Systems (ICS) Manager, e, in questo ambito, è responsabile della Cyber Security della parte industriale. «La mia attività si concentra sul sito industriale di Sarlux e, nel periodo 2015-2018, ho guidato ill programma di Cyber Security per il Gruppo Saras, sia in ambito tecnologico ICT/ICS sia in ambito governance. Ciò ha portato all’attuale organizzazione, con l’introduzione di una funzione di Cyber Security Management di Gruppo e una funzione di Cyber Security ICS Sarlux».
Come affrontate il tema della Cyber Security?
«Con un approccio globale, non solo quindi come un rischio relativo ai sistemi informativi ma anche ai sistemi di controllo degli impianti, con coinvolgimento dei dipartimenti IT e ICS. Inoltre, riteniamo che la Cyber Security non riguardi solo aspetti tecnologici, ma anche, in larga misura, di governance. Negli ultimi anni abbiamo elaborato una roadmap per ridurre il rischio all’interno dell’azienda con iniziative sia tecnologiche, sia relative a strategia, organizzazione, risk management, formazione e awareness della popolazione aziendale».
Come vi siete mossi fin qui?
«Abbiamo incominciato con un risk assessment e, sulla base dei risultati, abbiamo avviato una serie di progetti rilevanti per migliorare la Cyber Security del Gruppo, a partire dal sito di Sarroch, attivo nella raffinazione e nella generazione di energia elettrica attraverso l’impianto IGCC (Gasificazione a Ciclo Combinato Cogenerativo), dove abbiamo sistemi di controllo ABB. ABB è azienda leader in ambito automazione e, per questo motivo, sull’impianto IGCC, abbiamo deciso di intraprendere un percorso con ABB anche in ambito Cyber Security. Abbiamo completato due progetti pilota e ora stiamo definendo i passi successivi. I progetti infatti sono andati bene e, credo, abbiamo imparato molto, ABB e noi. La Cyber Security è una materia fondamentale ma anche relativamente nuova».
I progetti di Cyber Security sono studiati e sviluppati “in casa”?
«In parte internamente e in parte con i nostri fornitori. La Cyber Security non si può “comprare” perché, come dicevo, c’è una parte importante di governance di pertinenza interna. Per ciò che riguarda la valutazione del rischio, per esempio, ogni soggetto industriale ha esigenze specifiche e fa le proprie valutazioni in merito a quanto il rischio sia accettabile, a quali siano le contromisure per mitigarlo e a quali costi. Queste decisioni vengono prese a un livello alto dell’organizzazione. Essendoci inoltre una componente tecnologica rilevante, la messa in atto delle contromisure avviene con il supporto di fornitori esterni, per le parti sia ICS, sia ICT».
Vede in ABB un “interlocutore esperto” per quanto riguarda la Cyber Security?
«ABB è sicuramente impegnata in ambito cyber e sta maturando importanti esperienze. Ormai da anni l’azienda lavora su questo fronte e sta creando le competenze necessarie per proteggere adeguatamente i suoi sistemi di controllo». Quale valore aggiunto ritiene possa offrirvi il nuovo Collaborative Operations Center genovese di ABB? «Al nostro interno abbiamo competenze per garantire la governance della Cyber Security e presidiare le tecnologie che implementiamo, ma abbiamo sicuramente anche bisogno di servizi esterni specialistici innovativi. Il Collaborative Operation Center di ABB può rispondere a queste — esigenze anche con il supporto remoto».
Qual è, a suo giudizio, la sfida più difficile nella Cyber Security?
«Le persone, che possono rappresentare l’anello debole della catena: mentre confido nel fatto che siano sviluppate in tempi rapidi tecnologie sempre più avanzate, il problema è quanto veloci saranno le persone nell’apprenderle e nel volerle usare. È necessario un cambiamento culturale, che permetta loro di essere più consapevoli e preparate a difendersi dai rischi informatici, al lavoro come a casa. Aggiungo che per un sito come il nostro, il cui motto è “safety first”, la Cyber Security è cruciale perché ha potenzialmente impatto anche sulla safety, cioè la sicurezza delle persone». — Ci siamo affidati ad ABB per l’automazione e il controllo di processo e oggi proseguiamo anche su un tema delicato come la Cyber Security. Collaborate con ABB anche in altri campi? «In ambito controlli avanzati stiamo sviluppando con ABB un progetto volto all’ottimizzazione del processo dell’IGCC: è in fase di completamento e i risultati preliminari sono soddisfacenti. Abbiamo ottimi riscontri anche dai colleghi delle Operations che gestiscono l’impianto. Il progetto è di rilievo perché il controllore sviluppato con ABB è uno tra i pochi al mondo, essendoci pochissimi altri impianti IGCC».
Perché avete scelto ABB?
«Selezioniamo sempre fornitori che possano garantire alla nostra azienda qualità e affidabilità nel tempo. Ci siamo affidati ad ABB per l’automazione e il controllo di processo e oggi proseguiamo anche su un tema delicato come la Cyber Security».
Il Gruppo Saras
Storicamente attiva nella raffinazione del petrolio, negli anni Saras si è trasformata e le attività ora includono la generazione elettrica, la commercializzazione di prodotti petroliferi e la fornitura di servizi industriali. Dal 1 luglio 2013 le attività di raffinazione e generazione del sito di Sarroch (Cagliari) sono conferite alla controllata Sarlux. La raffineria è una delle più grandi del Mediterraneo con capacità di 300 mila barili/ giorno (per oltre l’80 per cento prodotti a basso impatto ambientale). L’impianto di gassificazione IGCC, uno dei più grandi al mondo da combustibile liquido, converte i residui della raffinazione in gas a limitato impatto ambientale per produrre energia elettrica (575 MW). A Ulassai (Nuoro) sorge un parco eolico da 96 MW.
