Lo scorso 3 maggio, la Procura di Bologna, nelle persone del procuratore capo Giuseppe Amato e dei pm Flavio Lazzarini e Michela Guidi, ha individuato cinque periti che dovranno tentare di capire cosa abbia provocato l’esplosione che il 9 aprile ha sconvolto la centrale idroelettrica Enel Green Power di Bargi, nel bacino artificiale di Suviana, sull’Appennino tosco-emiliano. Si tratta di una delle più gravi stragi sul lavoro degli ultimi anni: sette le vittime, molti i feriti. L’esplosione ha coinvolto i piani -8 e -9 della centrale, provocando crolli e allagamenti che rendono molto difficili le indagini. Nonostante il trascorrere dei giorni, le notizie riguardo le possibili piste di indagine sono piuttosto scarne. Vige il riserbo. Per ora una delle cose certe è che gli investigatori hanno recuperato la “scatola nera” della centrale, ovvero la Scada, il gestionale, attraverso cui si cercherà di capire cosa sia andato storto.
La turbina esplosa e i periti scelti per indagare
Secondo notizie apprese nel corso dei giorni da vari media come Repubblica e Wired, ma allo stato attuale ancora prive di dettagli che possano fornire un quadro più chiaro, nell’impianto erano in corso da oltre un anno dei lavori di manutenzione straordinaria e, secondo le testimonianze degli operati sopravvissuti, l’esplosione – avvenuta durante un collaudo preliminare affidato a tre aziende esterne (Abb, Siemens e Voith) – avrebbe interessato una turbina situata al piano -8, attualmente sommerso dall’acqua. Sempre secondo le testimonianze riportate da Repubblica, la turbina avrebbe cominciato a fare un rumore strano, come di un grosso motore fuori giri, per poi prendere fuoco ed esplodere.
Nell’assenza di ulteriori elementi, per cercare di intuire quali possano essere i filoni che saranno battuti dagli investigatori può essere utile consultare il curriculum dei cinque periti scelti dalla procura: Carlo Alberto Nucci, professore ordinario di Sistemi elettrici per l’energia dell’Università di Bologna, Vincenzo Parenti Castelli, professore emerito e già ordinario di Meccanica applicata alle macchine sempre all’Università di Bologna, Enio Paris, professore emerito e già docente di Idraulica all’Università di Firenze e infine Domenico Pianese, professore di Costruzioni idrauliche, marittime e idrologia all’Università Federico II di Napoli.
Cyber security, la grande assente
In questo scenario, e considerato il tempo storico che stiamo vivendo, appare piuttosto curioso che nessuno, fin ora e che se ne sappia, si sia posto il problema che possa essersi trattato di un fenomeno che ha a che vedere con la cyber security. Curioso perché i sistemi Scada, come quello recuperato, sono sistemi collegati alla rete Internet. Curioso perché, se ci guardiamo intorno e senza andare troppo indietro nel tempo, i precedenti ci sono. E sono inquietantemente simili.
Di sistemi industriali colpiti da malware che hanno provocato malfunzionamenti di vario genere ce n’è una lista piuttosto lunga, ma comodamente consultabile da tutti. Il sito del Mitre [Mitre.org], un’associazione americana senza scopo di lucro, mette a disposizione una lista costantemente aggiornata di tutti i principali attacchi malware censiti, dividendoli per categorie. Quelli di matrice ICS, ovvero rivolti a sistemi industriali, sono moltissimi. Oltre alla descrizione della tipologia di attacco c’è la data in cui il fatto si è verificato e, laddove è stato possibile verificarlo, la paternità del malware.
Il fatto che in questo specifico caso il tema non sia mai stato sollevato non può che lasciare qualche perplessità. Ne abbiamo parlato con l’esperto di cyber security Alessandro Curioni, presidente del Gruppo Di.Gi e Di.Gi. Academy, che da anni è impegnato sul fronte della costruzione di una “coscienza cyber” collettiva, puntando soprattutto sulla scuola.
Il caso Stuxnet
“Di sistemi industriali attaccati da un malware è piena la storia recente: nel 2007 Stuxnet attacca una centrale nucleare iraniana, nel 2014 Black energy e nel 2016 Industroyer attaccarono i sistemi di distribuzione elettrica in Ucraina; nel 2017 NotPetya provocò danni per oltre 60 miliardi di dollari”
Proprio con riferimento a Stuxnet – definito da Curioni una “mostruosità” – le analogie con il disastro di Bargi sono piuttosto inquietanti. Anche in quel caso il malware provocò la distruzione delle turbine della centrale nucleare di Natanz. Tuttavia, se in quel caso si è trattato di un attacco deliberato e mirato a distruggere proprio le turbine della centrale, nel caso della centrale di Bargi potremmo forse parlare di un incidente.
Non un attacco, ma un incidente
“Possibile – conferma Curioni – negli ultimi anni si è fatto un pesante ricorso alle tecnologie digitali, che aprono i sistemi industriali alla rete. Pensiamo al caso Colonial Pipeline”.
L’attacco hacker al sistema di distribuzione petrolifera Colonial Pipeline, avvenuto nel maggio 2021, mise in ginocchio la distribuzione di carburante nella East Coast americana per diverse settimane. Nel caso della centrale Enel Green Power, occorre sottolinearlo, non sappiamo quale sistema fosse installato, ma il fatto che fosse in atto una manutenzione straordinaria può far supporre che vi sia stato un ammodernamento dei sistemi. Ipotizzando uno scenario del genere, ed escludendo un attacco, come potrebbero essere andate le cose?
“Sappiamo che tipicamente le tecnologie cosiddette industriali, hanno un ciclo di vita molto lungo. I sistemi digitali che gestiscono questi apparati possono arrivare ad avere 15 anni, 20 anni, e quindi montare dei software, dei sistemi operativi che non sono aggiornati, che non sono nemmeno più aggiornabili e che quindi portano con sé tutte le vulnerabilità e debolezze che storicamente hanno. Oggi in circolazione ci sono migliaia di malware, la maggior parte dei quali non produce alcun effetto, perché i sistemi che siamo abituati a utilizzare sono aggiornati. Ora, immaginiamo invece che uno di questi malware, per una qualche ragione, si trasferisca in un ambiente che gli è consono, magari attraverso una chiavetta usb utilizzata per un aggiornamento o attraverso un computer che è infetto ma portatore sano, perché evidentemente non è più attaccabile da quel malware, di fronte a cosa siamo? Di certo non un attacco, ma un incidente”.
Il precedente tedesco
Ovviamente tutto questo resta un’ipotesi. Quello che stava accadendo nella centrale di Bargi, quali sistemi stessero collaudando, è ancora un mistero, ma di certo il discorso che fa Alessandro Curioni è molto chiaro: nei sistemi informatici “preistorici” delle industrie possono nascondersi dei malware/fossili che, magari sopiti per decenni, vengono risvegliati da attività di aggiornamento, tornando a fare il loro lavoro in silenzio e nell’indifferenza di tutti. È già accaduto.
Nella centrale nucleare tedesca di Gundremmingen, vicino Monaco, nel 2016, senza che fossero accaduti incidenti o malfunzionamenti, durante un controllo di routine vennero trovati diversi malware annidati nei sistemi informatici. Tutto sembrava essere partito da un computer infettato nel 2008.
I sistemi di controllo non hanno funzionato
In questo caso, la riflessione che stiamo facendo è questa: non è possibile che anche per la centrale di Bargi sia accaduto qualcosa di simile? Dopotutto, che qualcosa non sia andato come doveva andare è drammaticamente evidente. Pensiamo ai sistemi di controllo, che in teoria esistono proprio per evitare il verificarsi di anomalie. Perché invece, come riferito dagli operai sopravvissuti, la turbina è andata fuori giri? Perché il sistema non è andato in protezione, bloccando tutto?
“Considerando che quasi tutti questi sistemi di controllo sono digitali, io personalmente qualche domanda me la farei – dice Curioni, che aggiunge – le ipotesi che si possono fare sono molte, così come le domande: perché non hanno funzionato? Perché quella turbina ha continuato a girare fino a incendiarsi? Cos’è che ha impedito che si fermasse?”
Domande per ora senza risposta. E il rischio è che una risposta, pur cercandola, possa non esserci. Per determinare se vi sia stato un incidente di natura informatica le Scada potrebbero non bastare. Occorrerebbe sottoporre le macchine coinvolte nell’incidente e i computer a un’analisi forense di tipo informatico. Ma considerando che tutto si trova ancora sommerso e lo sarà per i prossimi mesi, lo scenario si presenta piuttosto complesso.
Di certo, l’ipotesi che si tratti di una questione legata alla cyber security non è un aspetto che si può sottovalutare. Di fronte a sette operai morti bisogna percorrere tutte le strade possibili. Ed è quello che anche noi cercheremo di fare.