General Interest

Companiile energetice - supuse cel mai

mult riscului unor atacuri cibernetice
Companiile din energie din România sunt printre companiile vizate de către atacatorii cibernetici atât
pentru ransomware cât și pentru obiective militare sau geostrategice. ”Din perspectivă cibernetică, în
companiile din energie se regăsesc toate problematicile care derivă din existența mediului de control-
proces OT/SCADA și a convergenței acestuia cu mediul IT”, susține Yugo Neumorni, Președinte, CIO
Council, în cadrul unui interviu exclusiv acordat Energynomics.
Fenomenul atacurilor cibernetice are un trend crescător atât cantitativ dar și în agresivitate și în
diversitate tehnologică. Spre exemplu, Checkpoint Research raportează o creștere cu 38% a atacurilor
cibernetice globale în 2022, față de 2021, iar în zona de utilități - cu circa 48%.

Bogdan Tudorache

Care sunt ultimele tendințe în ceea ce privește investițiile în cybersecurity, la nivel mondial? Dar în
România și, în special, în sectorul energetic?

Sunt mai multe tendințe în piața de securitate cibernetică, iar cele mai importante sunt legate de
adopția inteligenței artificiale, centrarea pe factorul uman, reziliența elastică pro activă și crearea de
ecosisteme imune digital cu mecanisme de detecție și răspuns automate.

Apariția ChatGPT și a inteligenței artificiale generative a generat un entuziasm general în jurul adopției
soluțiilor bazate pe AI. Este un trend văzut ca un punct de turnură în industrie, cu un potențial uriaș de
transformare digitală a companiilor. O bornă similară cu apariția Internetului.

În industria cybersecurity există multe speranțe legate de Inteligența Artificială, iar unii o văd ca pe o
soluționare a problemelor cyber. Din păcate, AI poate fi folosit cu succes atât de către apărători, cât și
de către atacatori, iar ultimii se pare că o utilizează mult mai eficient.
Se estimează că atacatorii cibernetici vor utiliza generative AI și LLM pentru a genera atacuri de phishing
și scheme de atac bazate pe inginerie socială. Astăzi poți construi site-uri întregi de conținut sau articole
tehnice profesionale cu Generative AI. În aceeași manieră, poți să generezi mailuri de phishing cu
conținut autentic, familiar și fără greșeli gramaticale, care vor înșela vigilența angajaților.

Modelele bazate pe Generative AI sunt deja folosite pentru a analiza trenduri și tipare în tot ecosistemul
IT, în seturi și fluxuri de date gigant, pentru a depista anomalii dar și pentru a face predicții asupra
viitoarelor atacuri.
Redesenarea strategiilor de securitate cibernetică, având factorul uman în centrul ei, este o altă direcție
pe care companiile o au în vedere. Apărarea cibernetică are sincope în principal datorită factorului uman
și mai puțin datorită tehnologiei sau proceselor operaționale. IBM susține că 95% din atacuri au la bază
eroarea umană.
Centrarea strategiilor pe factorul uman înseamnă integrarea cybersecurity în cultura companiilor prin
educație, programe de conștientizare și abordare a acesteia top down, direct de la CEO. Boardul trebuie
să dea tonul acestei strategii și să o îmbrățișeze. Concepte de tip “security by design” sau “zero trust”
trebuie integrate în cultura organizațională, abordate și înțelese de către toți angajații.

O altă tendință este aceea de a crea ecosisteme IT/OT reziliente la atacurile cibernetice, cu posibilitate
de detecție, intervenție și restaurare rapidă. Practic se acceptă că mai devreme sau mai târziu poți să fii
victima unui atac cibernetic, așa că este important să detectezi rapid prezența atacatorilor în facilitățile
proprii, să ai proceduri de răspuns și - foarte important - să ai o strategie prin care să continui să fii
operațional și să minimizezi pierderile.

Un studiu al IBM din 2022 arată că, în medie, companiile depistează o breșă de securitate după 277 de
zile. Practic, timp de 9 luni după ce infrastructură IT a companiei a fost penetrată, atacatorii pot să
exfiltreze informații senzitive sau pot pregăti un atac cibernetic. Tot 9 luni de zile au petrecut atacatorii
în perimetrul furnizorului ucrainian de energie electrică Prykarpattyaoblenergo până au declanșat atacul
distructiv din 2015, când 28 de substații au fost debranșate din sistem. Nu întâmplător a crescut
interesul companiilor din mediul industrial în optimizarea vizibilității asupra mediului OT, prin instalarea
sistemelor de detecție al intruziunilor și de implementare de SOC (Security Operation Center).

Totodată, cooptarea în cadrul Boardurilor executive a unor directori cu expertiză în securitate

cibernetică este un proces care a început să fie vizibil. Conform Gartner, peste 70% dintre companii vor
coopta în Boarduri un reprezentant cu aptitudini din zona de cybersecurity, în următorii ani.

În același timp, fenomenul ransomware a devenit deja o industrie. În timp ce entități statale văd acest
fenomen ca parte a strategiilor militare, crima organizată îl utilizează că sursă de finanțare. În România,
după cazul Rompetrol din 2022, a venit rândul și furnizorului de servicii CertSign să își găsească serverele
criptate și activitatea operațională parțial periclitată. Să nu ne mire dacă, în lipsa unor investiții serioase,
ne vom trezi și cu sectorul energetic în imposibilitate să factureze sau, mai grav, cu unități debranșate
din sistem și cu turbulențe cibernetice în sistemul energetic. Atacul cibernetic din mai 2023 asupra
infrastructurii SCADA a DEER poate fi un semnal serios.

Cum au evoluat cerințele legate de cybersecurity și bugetele companiilor din ultima perioadă, la nivel
mondial? Dar în România și, mai ales în sectoare-cheie, precum cel bancar sau energetic, sau al
marilor consumatori de energie și gaze?

Fenomenul atacurilor cibernetice are un trend crescător atât cantitativ dar și în agresivitate și în
diversitate tehnologică. Spre exemplu, Checkpoint Research raportează o creștere cu 38% a atacurilor
cibernetice globale în 2022, față de 2021, iar în zona de utilități - cu circa 48%.
Pagubele produse companiilor și economiei globale de către atacurile cibernetice cresc anual și ating
cifre alarmante. Un studiu al Verizon menționează un interval între 5 și 15 milioane USD - pierderi
financiare ale companiilor care suferă atacuri de anvergură.
Dacă verifici statisticile constați că decalajul dintre băieții răi și băieții buni nu numai că nu se reduce, dar
crește an de an. Există destule voci din industrie care se întreabă dacă problema cybersecurity nu este
deja una structurală și ar trebui să revizuim fundamentele tehnologice.

În termeni financiari, fenomenul înseamnă o presiune deosebită pe costuri și pe bugetele companiilor.

Conform Gartner, costurile cu securitatea cibernetică cresc în fiecare an cu circa 11%. Din bugetul total
de IT, procentul alocat cyber a crescut în medie spre 12 – 15%, iar pentru industrii cu marjă mică aceste
procente sunt greu de digerat.

Totodată, Directiva NIS2 aduce și ea costuri suplimentare importante. Se estimează un procentaj de 25%
creșteri bugetare IT pentru companiile care vor fi înrolate în directivă și 15% creșteri pentru cele aflate
deja sub incidența NIS1. Aceste creșteri bugetare în zona de cyber vor deveni în curând nesustenabile și
atunci ne vom uita, poate, și mai atent la fundamentele structurale. Sunt destule companii de tip IMM
care nu vor putea acomoda cerințele NIS2, iar unele nici măcar nu sunt la curent cu aceste viitoare
obligații.

Sectorul financiar-bancar este matur din perspectiva cibernetică. În principal pentru că a avut de suferit
foarte mult la începutul anilor 2000 și s-a investit în cyber, dar și pentru că este un domeniu foarte
reglementat, atât la nivel european, cât și de către băncile centrale. Cazul recent al ICBC, cea mai mare
bancă din lume, chinezească, ale cărei operațiuni au fost oprite printr-un atac de ransomware, ar putea
fi o excepție nefericită.

Cum au evoluat apetitul și deschiderea managerilor față de astfel de servicii, la nivel mondial, în
ultima perioadă? Dar în România? Care sunt așteptările pentru 2024 și pe termen mediu/lung?

Nu există executivi fericiți pentru că trebuie să cheltuie mai mult anual pe cyber. Există multă frustrare
în mediul de business pentru creșterea cheltuielilor de apărare cibernetică, care în loc să fie folosite
pentru dezvoltarea afacerii, erodează EBITDA. În energie există și o presiune suplimentară pentru ca
aceste costuri să fie recunoscute de către reglementator, pentru a fi incluse în costul MWh livrat
consumatorului final.
Tehnologia este și ea parte a problemelor cyber. Departamentele IT cheltuiesc mai mult de 30% din timp
pentru gestionarea update-urilor sistemelor IT, pentru că industria software livrează sisteme cu multe
buguri. În plus, producătorii de software nu sunt responsabili pentru atacurile generate prin specularea
vulnerabilităților. Asociațiile de CIO de la nivel european au solicitat foarte vocal Comisiei Europene să
reglementeze și domeniul industriei de software și sunt convins că acest lucru se va întâmpla.

În același timp, implementarea GDPR și a Directivei NIS au adus multe beneficii societății în general și au
creat premisele unei ecosistem digital solid. Pe masa Comisiei Europene există mai multe inițiative care
vor aduce reglementare și claritate în domeniul digitalizării, ceea ce conferă încredere în viitorul digital.
Care sunt cele mai mari amenințări pentru companiile energetice? Ce ar trebui să aibă în vedere
managerii de resort (CIOs) din România?

Companiile din energie din România sunt printre companiile vizate de către atacatorii cibernetici, atât
pentru ransomware cât și pentru obiective militare sau geostrategice. Nu o spun eu, ci autoritățile
statului. Energia este un domeniu vital, iar o societate poate fi puternic afectată prin privarea de
energie. Orice societate liberal- democrată se poate transformă în anarhie, în lipsa completă a energiei
pe o perioadă mai mare de timp.

În mai 2023, Danemarca a anunțat un val de atacuri cibernetice coordonate, îndreptate asupra unui
număr de 22 companii energetice, iar unele au fost compromise în zona de control al proceselor.
Pierderea controlului în zona de proces se poate solda cu tragedii și victime, nu doar cu efecte
financiare. Astfel de atacuri nu sunt inițiate de către niște băieți teribiliști într-un garaj, ci sunt opera
unor grupări sprijinite de actori statali.

În energie, toți operatorii participă la funcționarea sistemului energetic național și fiecare are un rol.
Atacurile cibernetice pot avea loc pe tot lanțul, de la producție la furnizare. Declanșarea subită a unei
facilități mari de producție energetică sau pierderea controlului asupra unor unități de distribuție poate
conduce la dezechilibre mari în sistemul energetic, cu consecințe potențial grave.

Singurul blackout total din România, care a avut loc în mai 1977 pe durata a 4 ore, a adus pagube de 2,5
ori mai mari decât cutremurul din martie 1977, cel mai devastator din istoria României. Mai știm și că
guvernul SUA a impus în 2019 ca sistemele esențiale ale sistemului energetic să rămână în zona
analogică și să poată fi operate manual, la nevoie. Recent, NERC au făcut test de reziliență a sistemului
energetic, în care au fost implicate peste 250 companii energetice, semn că amenințările asupra rețelei
americane sunt reale.

Din perspectivă cibernetică, în companiile din energie se regăsesc toate problematicile care derivă din
existența mediului de control-proces OT/SCADA și a convergenței acestuia cu mediul IT. Adică
posibilitate redusă de update al sistemelor informatice din OT, securitate minimalistă pentru sistemele
IoT, posibilități limitate de segmentare și introducere de mecanisme de detecție a intruziunilor. Din
perspectiva dispersiei geografice, companiile din energie au o suprafață de atac foarte mare, în anumite
situații fiind dificil să asiguri securitatea perimetrală.

Atât testele de penetrare în aria OT cât și testarea soluțiilor de disaster recovery în mediul de producție
sunt dificil de realizat. Toate aceste problematici sunt ale sectorului la nivel global și nu sunt tipice
României. Specific companiilor românești ar putea fi o anumită subfinanțare a departamentelor IT, asta
dacă dăm crezare diverselor surse din presă.

Oricât ar părea de sumbră situația, există soluții de compensare a riscurilor cibernetice și ele sunt la
îndemâna companiilor. CIO și Boardurile companiilor ar trebui să adopte o strategie de apărare
cibernetică bazată pe managementul riscului operațional și analiza de impact.
Educarea angajaților în cybersecurity ar trebui să devină o normă, iar companiile trebuie să adopte
programe educaționale periodice. Updatarea sistemelor IT trebuie să fie obligatorie, iar acolo unde este
foarte dificil, trebuie adoptate măsuri compensatorii de minimizare a riscurilor.

Adoptarea unei strategii de tip “Assume breach” este esențială. Compania trebuie să aibă planuri de
continuitate pentru cele mai negre scenarii, iar aceste planuri trebuie testate și adaptate permanent. În
final, adoptarea măsurilor de bună practică și a simplei igiene a securității IT te poate salva de 99% din
provocările cyber.

General Interest

Energy companies – the most lileky targets

of cyber attacks
Romanian energy companies are among the companies targeted by cyber attackers both for
ransomware and for military or geostrategic objectives. "From a cybernetic perspective, energy
companies can find all the problems that derive from the existence of the OT/SCADA process control
environment and its convergence with the IT environment," says Yugo Neumorni, President, CIO
Council, in an exclusive interview with Energynomics .
The phenomenon of cyber attacks has an increasing trend both quantitatively but also in
aggressiveness and technological diversity. For example, Checkpoint Research reports a 38% increase
in global cyber attacks in 2022, compared to 2021, and in the utilities area - by about 48%.

Bogdan Tudorache

What are the latest trends in cybersecurity investment worldwide? How about in Romania and, in
particular, in the energy sector?

There are several trends in the cybersecurity market, the most important of which are related to the
adoption of artificial intelligence, centering on human factor, pro-active elastic resilience and the
creation of digitally immune ecosystems with automatic detection and response mechanisms.

The emergence of ChatGPT and generative artificial intelligence has generated general excitement
around the adoption of AI-based solutions. It is a trend seen as a turning point in the industry, with huge
potential for the digital transformation of companies. A landmark that is similar to the advent of the
Internet.
In the cybersecurity industry there are many hopes for Artificial Intelligence, and some see it as a
solution to cyber problems. Unfortunately, AI can be successfully used by both defenders and attackers,
and the latter seem to use it much more effectively.

Cyber attackers are expected to use generative AI and LLM to generate phishing attacks and social
engineering based attack schemes. Today you can build entire content sites or professional technical
articles with Generative AI. In the same way, you can generate phishing emails with authentic content,
familiar and without grammatical mistakes, which will deceive the vigilance of employees.

Models based on Generative AI are already used to analyze trends and patterns throughout the IT
ecosystem, in giant data sets and streams, to detect anomalies but also to make predictions about
future attacks.

Redesigning cyber security strategies, with the human factor at its center, is another direction that
companies are considering. Cyber defense fails mainly due to human factors and less due to technology
or operational processes. IBM claims that 95% of attacks are based on human error.
Centering strategies on the human factor means integrating cybersecurity into company culture through
education, awareness programs and a top-down approach, directly from the CEO. The board must set
the tone for this strategy and embrace it. Concepts like "security by design" or "zero trust" must be
integrated into the organizational culture, addressed and understood by all employees.

Another trend is to create cyber-attack-resilient IT/OT ecosystems, capable of rapid detection,

intervention and restoration. It's basically accepted that sooner or later you can be the victim of a cyber
attack, so it's important to quickly detect the presence of attackers in your facilities, have response
procedures in place and - very importantly - have a strategy to continue to be operationally and
minimize losses.

A 2022 IBM study shows that, on average, companies detect a security breach after 277 days. Basically,
for 9 months after the company's IT infrastructure has been penetrated, attackers can exfiltrate
sensitive information or prepare a cyber attack. The attackers also spent 9 months in the perimeter of
the Ukrainian electricity supplier Prykarpattyaoblenergo until they launched the destructive attack in
2015, when 28 substations were disconnected from the system. It is no coincidence that the interest of
industrial companies in optimizing the visibility of the OT environment has increased, by installing
intrusion detection systems and SOC (Security Operation Center) implementation.

At the same time, the co-opting of directors with cyber security expertise in the Executive Boards is a
process that has started to be visible. According to Gartner, over 70% of companies will co-opt a
representative with skills in the area of cybersecurity to their Boards in the coming years.

Also, the ransomware phenomenon has already become an industry. While state entities see this
phenomenon as part of military strategies, organized crime uses it as a source of funding. In Romania,
after the Rompetrol case in 2022, it was also the turn of the CertSign service provider to find its servers
encrypted and its operational activity partially compromised. Let us not be surprised if, in the absence of
serious investments, we will also find ourselves with the energy sector unable to bill or, worse, with
units disconnected from the system and with cyber turbulence in the energy system. The May 2023
cyber attack on DEER's SCADA infrastructure may be a serious signal.

How have cybersecurity requirements and company budgets evolved recently, worldwide? How about
Romania and, especially in key sectors, such as banking or energy, or of the large consumers of energy
and gas?

The phenomenon of cyber attacks has an increasing trend both quantitatively but also in aggressiveness
and technological diversity. For example, Checkpoint Research reports a 38% increase in global cyber
attacks in 2022, compared to 2021, and in the utilities area - by about 48%.
The damage caused to companies and the global economy by cyber-attacks increases annually and
reaches alarming figures. A Verizon study cites a range of $5 to $15 million in financial losses for
companies that suffer large-scale attacks.
If you check the statistics you will find that the gap between the bad guys and the good guys is not only
not shrinking, but growing year-by-year. There are enough voices in the industry asking if the
cybersecurity problem isn't already a structural one, and we should review the technological
foundations.

In financial terms, the phenomenon means a particular pressure on the costs and budgets of the
companies. According to Gartner, cyber security costs are increasing each year by about 11%. From the
total IT budget, the percentage allocated to cyber has increased on average to 12-15%, and for low-
margin industries these percentages are difficult to digest.

At the same time, the NIS2 Directive also brings important additional costs. A percentage of 25% IT
budget increases is estimated for companies that will be enrolled in the directive and 15% increases for
those already under NIS1. These cyber budget increases will soon become unsustainable, and then we
will perhaps look even more closely at the structural foundations. There are quite a few SMEs that will
not be able to accommodate the requirements of NIS2, and some are not even aware of these upcoming
obligations.

The financial-banking sector is mature from a cyber perspective. Mainly because it suffered a lot in the
early 2000s and invested in cyber, but also because it is a highly regulated field, both at European level
and by central banks. The recent case of ICBC, the world's largest Chinese bank, whose operations were
shut down by a ransomware attack, may be an unfortunate exception.

How has the appetite and openness of managers towards such services, worldwide, evolved recently?
How about Romania? What are the expectations for 2024 and in the medium/long term?

There are no happy executives when they have to spend more annually on cyber. There is a lot of
frustration in the business environment about increasing cyber defense spending, which instead of
being used to grow the business, erodes EBITDA. In energy there is also additional pressure for these
costs to be recognized by the regulator, to be included in the cost of MWh delivered to the final
consumer.
Technology is also part of cyber issues. IT departments spend more than 30% of their time managing IT
system updates because the software industry delivers systems with lots of bugs. In addition, software
manufacturers are not responsible for attacks generated by speculating vulnerabilities. IOC associations
at European level have been very vocal in asking the European Commission to regulate the software
industry as well, and I am convinced that this will happen.

At the same time, the implementation of the GDPR and the NIS Directive have brought many benefits to
society in general and created the prerequisites for a solid digital ecosystem. On the table of the
European Commission there are several initiatives that will bring regulation and clarity in the field of
digitalization, which gives confidence in the digital future.

What are the biggest threats to energy companies? What should Romanian responsible managers
(CIOs) consider?

Romanian energy companies are among the companies targeted by cyber attackers, both for
ransomware and for military or geostrategic objectives. I don't say it - the state authorities do. Energy is
a vital field, and a society can be severely affected by energy deprivation. Any liberal-democratic society
can turn into anarchy, in the complete lack of energy over a longer period of time.

In May 2023, Denmark announced a wave of coordinated cyber attacks targeting 22 energy companies,
some of which were compromised in the process control area. Loss of control in the process area can
result in tragedies and casualties, not just financial effects. Such attacks are not initiated by some
terrible boys in a garage, but are the work of groups supported by state actors.

In energy, all operators participate in the operation of the national energy system and each has a role.
Cyber-attacks can occur throughout the chain, from production to supply. The sudden start-up of a large
energy production facility or the loss of control over some distribution units can lead to large imbalances
in the energy system, with potentially serious consequences.

The only total blackout in Romania, which took place in May 1977 for 4 hours, caused 2.5 times more
damage than the March 1977 earthquake, the most devastating in Romania's history. We also know that
the US government mandated in 2019 that essential systems of the energy system remain in the analog
zone and can be operated manually, if necessary. Recently, NERC conducted energy system resiliency
tests involving more than 250 energy companies, a sign that the threats to the American grid are real.

From a cybernetic perspective, energy companies have all the issues that derive from the existence of
the OT/SCADA process control environment and its convergence with the IT environment. That is,
reduced possibility of updating IT systems in OT, minimalist security for IoT systems, limited possibilities
of segmentation and introduction of intrusion detection mechanisms. From the perspective of
geographical dispersion, energy companies have a very large attack surface, in certain situations it is
difficult to ensure perimeter security.
Both penetration testing in the OT area and testing disaster recovery solutions in the production
environment are difficult to perform. All these problems are of the sector at a global level and are not
typical of Romania. Specific to Romanian companies, there could be a certain underfunding of the IT
departments, if we believe various media sources.

As bleak as the situation may seem, there are solutions to offset cyber risks and they are within the
reach of companies. CIOs and company boards should adopt a cyber defense strategy based on
operational risk management and impact analysis.

Educating employees in cybersecurity should become the norm, and companies must adopt regular
educational programs. Updating IT systems must be mandatory, and where it is very difficult,
compensatory measures to minimize risks must be adopted.

Adopting an "Assume breach" type strategy is essential. The company must have continuity plans for the
worst scenarios, and these plans must be tested and adapted constantly. Finally, adopting good practice
measures and simple IT security hygiene can save you from 99% of cyber challenges.