GNOSIS
Rivista italiana
diintelligence
Agenzia Informazioni
e Sicurezza Interna
» ABBONAMENTI

» CONTATTI

» DIREZIONE

» AISI





» INDICE AUTORI

Italiano Tutte le lingue Cerca i titoli o i testi con
GNOSIS 2/2012
LA CULTURA

'STUDI' DI INTELLIGENCE

di Nicola Pedde

La cybersicurezza dei sistemi industriali




 
La cultura dell'Intelligence è lo strumento attraverso il quale comprendere il ruolo e l'operato dei moderni Servizi di informazione e sicurezza.
Strumento dato dall'approfondimento degli studi e delle analisi dei principali ‘think tank’, centri di ricerca, Università italiane e straniere.
La cultura dell'Intelligence intende, quindi, selezionare e presentare periodicamente i più significativi studi sulle tematiche relative alle strutture di Intelligence o a queste direttamente connesse, agevolando la comprensione della storia, delle metodologie e delle funzioni delle più moderne strutture di settore.
Un contributo per sfatare i tanti miti e luoghi comuni che da sempre accompagnano l'immagine dei Servizi segreti di tutto il mondo e per acquisirne, al contrario, consapevolezza del ruolo e dell'operato.





Aprile - Giugno 2012


Maîtriser la SSI pour les systèmes industriels
Agence Nationale de la Sécurité des Systèmes d’Information
Parigi, Giugno 2012
40 pagine, in lingua francese
http://www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale-2.pdf
Cas Pratique
Agence Nationale de la Sécurité des Systèmes d’Information
Parigi, Giugno 2012
52 pagine, in lingua francese
http://www.ssi.gouv.fr/IMG/pdf/Cas_pratique_version_finale-2.pdfBeware of Imitators
Al-Qa’ida through the lens of its Confidential Secretary
Di Nelly Lahoud
CombatingTerrorism Center

U.S. Department of Defense, Washington, 4 giugno 2012
111 pagine, in lingua inglese
http://www.ctc.usma.edu/wp-content/uploads/2012/06/CTC-Beware-of-Imitators-June2012.pdf

Glossario di Intelligence - Il linguaggio degli organismi informativi
Presidenza del Consiglio dei Ministri, Roma, Giugno 2012
130 pagine, in lingua italiana
http://www.sicurezzanazionale.gov.it/web.nsf/pagine/glossario/glossario- intelligence.pdf





Agenzia Nazionale
per la Sicurezza dei Sistemi di Informazione
ANSSI



L' Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) , è stata creata il 7 luglio del 2009 sotto forma di Servizio di competenza nazionale.
In virtù del decreto n. 2009-834 del 7 luglio del 2009, modificato dal decreto n. 2011-170 dell’11 febbraio del 2011, l’Agenzia assicura la missione dell’Autorità nazionale in materia di difesa e di sicurezza dei sistemi di informazione.
È attribuita al Segretario generale della difesa e della sicurezza nazionale la responsabilità dell’Agenzia, sotto l’autorità del Primo Ministro.






La cybersicurezza dei sistemi industriali


Il documento, predisposto dall’Agenzia Nazionale della Sicurezza dei Sistemi di Informazione (ANSSI), è stato concepito per offrire alle industrie francesi non solo una conoscenza generale del fenomeno di rischio della sicurezza informatica ma, anche, per sviluppare ed adottare una metodologia della prevenzione del rischio per i propri sistemi informatici.
Nel solco di quanto prescritto nel Libro Bianco per la difesa e la sicurezza nazionale redatto nel 2008, il documento sottolinea la necessità, per il sistema industriale nazionale, di adottare una nuova e ben più incisiva politica di prevenzione e di protezione dei propri sistemi informatici, ricordando l’accresciuta dimensione dello spionaggio cibernetico ma anche la diffusa attitudine eversiva delle organizzazioni di hackeraggio.
Secondo l’ANSSI è ancora evidente lo scarso livello di attenzione delle industrie in merito al fattore della sicurezza informatica, e questo atteggiamento espone l’intero sistema industriale nazionale al rischio di attacco da parte della sempre più attiva ed evidente minaccia informatica.
È, quindi, necessario in primo luogo un processo di trasformazione culturale, che evidenzi il fenomeno della cybersicurezza nella sua interezza, se ne comprenda il rischio in termini globali e specifici e si adotti, quindi, una nuova attitudine manageriale della prevenzione dei rischi costruita anche – e soprattutto, oggi – sulle più evolute frontiere della minaccia.
La sicurezza tradizionale – intesa come sicurezza per il personale e per il corretto funzionamento dei macchinari – è stata oggetto di un lungo e sistematico processo di elaborazione nel settore industriale. Con risultati eccezionali che hanno permesso di ridurre drasticamente il verificarsi di incidenti, mitigando in tal modo il rischio.
Questo stesso processo culturale deve necessariamente, secondo l’ANSSI, essere sviluppato con riferimento alle tecnologie informatiche. Transitando da una cultura del rischio, essenzialmente basata su una scarsa percezione delle potenzialità della cybersicurezza, ad una piena e completa consapevolezza di ciò che la minaccia informatica oggi comporta in tema di sicurezza industriale.
La guida predisposta dall’Agenzia Nazionale per la Sicurezza dei Sistemi di Informazione, quindi, è stata predisposta nel solco di questa specifica esigenza. Per illustrare al management delle industrie francesi i criteri generali di questo processo di adeguamento della sicurezza industriale, tracciandone un vero e proprio approccio culturale, oltre a quello prettamente tecnico ed operativo.
Ciò su cui insiste l’Agenzia, quindi, è lo sviluppo di una cultura della sicurezza integrata. Che includa al suo interno la complessità dei sistemi informativi e che interagisca con il sistema della sicurezza tradizionale e della security in senso aziendale. Una completa sinergia, quindi, tra sistema della produzione e sistema della gestione, attribuendo a quest’ultimo un valore ed una collocazione, nel processo di definizione delle procedure di sicurezza, paritaria rispetto al primo.
Il documento sottolinea, anche, in modo chiaro ed evidente come non esista una soluzione univoca ed eguale per tutti nella gestione dello specifico problema, imponendosi al contrario lo sviluppo di una strategia ad hoc e di volta in volta diversa, a seconda del differente contesto produttivo su cui andrà plasmata. Questo, necessariamente, comporterà l’assunzione di nuovi e, spesso, ingenti costi che il sistema industriale deve considerare nella pianificazione economica, considerandoli come essenziali e ricorrenti.


Il manuale

La prima parte del manuale è dedicata essenzialmente ad una introduzione generale al fenomeno, con una interessante parentesi sui ‘miti’ della sicurezza informatica, dove brevemente vengono illustrati alcuni dei più ricorrenti errori concettuali nella considerazione del fenomeno generale.
Viene, poi, illustrata la generalità della casistica degli attacchi e l’insieme dei comportamenti omissivi, sotto il profilo della sicurezza aziendale, che solitamente agevola l’esposizione al rischio da parte di agenti esterni. In questo quadro, quindi, vengono anche a grandi linee evidenziate le principali vulnerabilità informatiche dei moderni sistemi industriali, illustrandone il potenziale di rischio e la dimensione complessiva per la sicurezza aziendale.
La seconda e più consistente parte del manuale è, invece, dedicata alla metodologia per lo sviluppo di una cultura e di una capacità operativa per la sicurezza informatica.
Ampio spazio viene dedicato alla necessità di investimento per la sensibilizzazione del personale, ricordando continuamente come questa costituisca una vera e propria rivoluzione culturale sulla quale è necessario investire in termini economici e di tempo, al fine di determinare una nuova e ben radicata concezione del fenomeno, ad ogni livello della struttura aziendale.
Questa sezione termina poi con una descrizione generale delle procedure e delle metodologie di definizione della strategia di contenimento del rischio informatico e con la necessità di considerare il fenomeno nell’ambito di una visione d’insieme, con il complesso della sicurezza aziendale, sia sotto il profilo della produzione che quello della gestione.
Il documento si completa, inoltre, con quattro allegati dedicati alle vulnerabilità più frequenti, ad una utilissima check-list per la valutazione della propria capacità di gestione della sicurezza, ad un glossario di sigle ed acronimi e ad una bibliografia essenziale per l’ulteriore approfondimento del problema.


I casi pratici

Al manuale principale è abbinato un documento aggiuntivo denominato “I casi pratici”. Questo interessante volume è dedicato all’approfondimento dei temi generali trattati nel manuale principale, focalizzando l’attenzione soprattutto sulla metodologia di sviluppo di una pratica concezione della sicurezza informatica a livello industriale.
Il primo capitolo è dedicato all’illustrazione del contesto generale di applicazione, fornendo al lettore un’utile traccia generale per la comprensione complessiva del problema.
Il secondo capitolo è, invece, dedicato alla fondamentale fase di definizione dell’approccio di sicurezza, con cui l’azienda dovrà misurarsi nel momento in cui dovrà adattare alle proprie specifiche esigenze il piano di gestione della propria infrastruttura di sicurezza.
Il terzo ed il quarto capitolo sono dedicati, infine, alla valutazione dei risultati ed all’implementazione continua dei sistemi di sicurezza, al loro aggiornamento ed alla gestione dei processi di integrazione ed ottimizzazione.
Mentre, nel quinto ed ultimo capitolo, viene trattata la gestione del piano d’azione e delle esigenze di mantenimento dell’operatività delle strutture preposte all’esercizio del controllo della sicurezza informatica industriale.

Uno studio estremamente interessante, in sintesi, oltre che decisamente utile e ben realizzato dall’Agenzia. Che, nell’intento di fornire al proprio complesso industriale nazionale indicazioni di sicurezza attuali e funzionali, rende l’idea di come il problema della cybersecurity abbia assunto una posizione prioritaria nell’esperienza delle Agenzie di Intelligence e della sicurezza della Repubblica Francese.



© AGENZIA INFORMAZIONI E SICUREZZA INTERNA