Nuove tecnologie per la Sicurezza Come si proteggono le infrastrutture strategiche |
Luisa FRANCHINA |
I paesi maggiormente industrializzati sono dotati di sempre più estesi e sofisticati sistemi infrastrutturali, le cosiddette Infrastrutture Critiche Nazionali (CNI - Critical National Infrastructures). Appartengono a tali sistemi infrastrutture pubbliche o private il cui corretto funzionamento è essenziale per l'operatività e la sicurezza dell'intera nazione. La loro presenza consente di garantire l'efficacia operativa di molti servizi vitali per la società: la distribuzione dell'energia, i trasporti, le telecomunicazioni, la tutela della salute dei cittadini, la difesa nazionale e, in generale, tutta la pubblica amministrazione. Le CNI possono essere soggette a vari tipi di malfunzionamento, legati a problemi tecnologici, a disastri naturali, ad attacchi intenzionali... Una caratteristica tipica delle moderne CNI è quella di utilizzare in modo sempre più massiccio servizi vitali forniti dalle infrastrutture che gestiscono il trasferimento delle informazioni e la comunicazione. Si tratta delle cosiddette Infrastrutture Informatiche Critiche (CII - Critical Information Infrastructures). Da questo punto di vista, le CII debbono garantire, nel loro funzionamento, la regolare operatività delle CNI, sia in condizioni di funzionamento normale, sia in condizioni di emergenza, allorchè eventi critici mettono in repentaglio la fornitura dei servizi fondamentali di una nazione. foto redazionale 1. Il lavoro della Commissione Europea sul tema della protezione delle infrastrutture critiche 1.1 Dal 2004 al 2007 Il Consiglio europeo del giugno 2004 ha chiesto la preparazione di una strategia globale per la protezione delle infrastrutture critiche. La Commissione ha adottato, il 20 ottobre 2004, una comunicazione relativa alla protezione delle infrastrutture critiche nella lotta contro il terrorismo, che presenta una serie di proposte per incrementare la prevenzione, la preparazione e la risposta a livello europeo in caso di attentati terroristici che coinvolgono le infrastrutture critiche (IC). Le conclusioni del Consiglio sulla prevenzione, la preparazione e la risposta in caso di attentati terroristici e il programma di solidarietà dell'Unione europea sulle conseguenze delle minacce e degli attentati terroristici adottato dal Consiglio nel dicembre 2004 hanno appoggiato l'intenzione della Commissione di proporre un programma europeo per la protezione delle infrastrutture critiche (European Programme for Critical Infrastructure Protection, EPCIP), ed espresso il proprio accordo sulla costituzione, ad opera della Commissione, di una rete informativa di allarme sulle infrastrutture critiche (Critical Infrastructure Warning Information Network, CIWIN). Nel novembre 2005, la Commissione ha adottato un libro verde relativo a un programma europeo per la protezione delle infrastrutture critiche (EPCIP), che ha presentato varie alternative relative all'elaborazione dell' EPCIP e della CIWIN. Nelle conclusioni relative alla protezione delle infrastrutture critiche, il Consiglio "Giustizia e affari interni" (GAI) del dicembre 2005 ha invitato la Commissione a presentare una proposta di programma europeo per la protezione delle infrastrutture critiche. La comunicazione st16932 presenta i principi, le procedure e gli strumenti proposti per attuare l'EPCIP. Tale attuazione sarà completata, se del caso, da specifiche comunicazioni settoriali relative all'approccio della Commissione in particolari settori di infrastrutture critiche. La proposta di direttiva st16933 (2006/0276 CNS) espone le misure previste dalla Commissione ai fini dell'individuazione e della designazione delle infrastrutture critiche europee (ICE) e della valutazione della necessità di migliorarne la protezione. 1.2 Obiettivo, principi e contenuti dell'EPCIP 1.2.1 Obiettivo dell'EPCIP L'obiettivo generale dell'EPCIP è il miglioramento della protezione delle infrastrutture critiche nell'UE. Tale obiettivo sarà realizzato con la creazione di un quadro UE per la protezione delle infrastrutture critiche, descritto nella presente comunicazione. 1.2.2 Tipi di minacce affrontate dall'EPCIP Pur riconoscendo la minaccia terroristica come una priorità, la protezione delle infrastrutture critiche sarà basata su un approccio multirischio. Se il livello delle misure di protezione in un particolare settore di infrastrutture critiche è ritenuto adeguato, le parti interessate devono concentrarsi su altre minacce rispetto alle quali sono vulnerabili. 1.2.3 Principi Guideranno l'attuazione dell'EPCIP i seguenti principi fondamentali: - Sussidiarietà - Nel settore della protezione delle infrastrutture critiche (PIC), la Commissione concentrerà gli sforzi su quelle strutture che sono critiche su un piano europeo, e non tanto nazionale o regionale. Nonostante ciò, qualora richiesto e tenendo debito conto delle competenze comunitarie esistenti e delle risorse disponibili, la Commissione può fornire sostegno agli Stati membri per quanto riguarda le loro infrastrutture critiche nazionali (ICN). - Complementarietà - Qualora a livello UE, nazionale o regionale determinati sforzi già forniti si siano rivelati efficaci per proteggere le infrastrutture critiche, la Commissione eviterà di ripetere tali sforzi. L'EPCIP completerà quindi le misure settoriali esistenti e porterà avanti quanto già realizzato. -Riservatezza - Sia a livello dell'UE che a livello degli Stati membri, le informazioni relative alla protezione delle infrastrutture critiche saranno dichiarate riservate e ne sarà dato l'accesso solo a chi ha bisogno di conoscerle. La condivisione delle informazioni sulle infrastrutture critiche dovrà avvenire in un clima di fiducia e di riservatezza. - Cooperazione delle parti interessate - Nella misura del possibile tutte le parti interessate - proprietari/ operatori di infrastrutture critiche designate come infrastrutture critiche europee (ICE) così come autorità pubbliche o altri organismi competenti - saranno coinvolte nell'elaborazione e nell'attuazione dell'EPCIP. - Proporzionalità - Saranno proposte misure solo se ne è stata riscontrata la necessità in seguito a un'analisi delle carenze esistenti in materia di sicurezza. Le misure saranno proporzionate al livello di rischio e al tipo di minacce individuati. - Approccio settoriale - Poiché vari settori dispongono di un'esperienza, di una competenza e di requisiti particolari in materia di protezione delle infrastrutture critiche, l'EPCIP sarà concepito su base settoriale e sarà attuato secondo un elenco stabilito di settori PIC (la cui proposta è riportata nella tabella di seguito). 1.2.4 Quadro EPCIP L'EPCIP comprenderà: - una procedura per l'individuazione e la designazione delle infrastrutture critiche europee e un approccio comune per valutare la necessità di migliorarne la protezione, che saranno attuati attraverso una direttiva; - misure dirette a facilitare l'attuazione dell'EPCIP, fra cui un piano d'azione EPCIP, la rete informativa di allarme sulle infrastrutture critiche (CIWIN), il ricorso a gruppi di esperti in materia di protezione delle infrastrutture critiche a livello UE, procedure di scambio di informazioni sulla protezione di tali infrastrutture, e l'individuazione e l'analisi delle interdipendenze; - misure di sostegno per le infrastrutture critiche nazionali, che potrebbero eventualmente essere usate dagli Stati membri. Un approccio generale alla protezione delle ICN è descritto nella presente comunicazione; - piani d'emergenza; - una dimensione esterna; - misure finanziarie di accompagnamento, in particolare il proposto programma UE riguardante la prevenzione, preparazione e gestione delle conseguenze del terrorismo e di altri rischi relativi alla sicurezza per il periodo 2007-2013, che offrirà opportunità di finanziamento per le misure riguardanti la protezione delle infrastrutture critiche che hanno un potenziale di trasferibilità a livello UE.
1.2.5 Misure settoriali esistenti
Esistono una serie di misure settoriali, fra cui:
Nel settore delle tecnologie dell'informazione:
(a) Direttiva "Servizio universale" (2002/22/CE), che riguarda, fra l'altro, l'integrità delle reti pubbliche di comunicazione elettronica.
(b) Direttiva "Autorizzazioni" (2002/ 20/CE), che riguarda, fra l'altro, l'integrità delle reti pubbliche di comunicazione elettronica.
(c) Direttiva relativa alla vita privata e alle comunicazioni elettroniche (2002/58/CE), che riguarda, fra l'altro, la sicurezza delle reti pubbliche di comunicazione elettronica.
(d) Decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio 2005, relativa agli attacchi contro i sistemi di informazione.
(e) Regolamento (CE) n. 460/2004, del 10 marzo 2004, che istituisce l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA).
·
Nel settore della sanità:
(a) Decisione n. 2119/98/CE del Parlamento europeo e del Consiglio, del 24 settembre 1998, che istituisce una rete di sorveglianza epidemiologica e di controllo delle malattie trasmissibili nella Comunità.
(b) Direttiva 2003/94/CE della Commissione, dell'8 ottobre 2003, che stabilisce i principi e le linee direttrici delle buone prassi di fabbricazione relative ai medicinali per uso umano e ai medicinali per uso umano in fase di sperimentazione.
·
Nel settore finanziario:
(a) Direttiva 2004/39/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativa ai mercati degli strumenti finanziari (MIFID).
(b) Norme di vigilanza per i sistemi di pagamento al dettaglio in euro, adottati nel giugno 2003 dal Consiglio direttivo della Banca centrale europea (BCE).
(c) Direttiva 2006/48/CE del Parlamento europeo e del Consiglio, del 14 giugno 2006, relativa all'accesso all'attività degli enti creditizi ed al suo esercizio.
(d) Direttiva 2006/49/CE del Parlamento europeo e del Consiglio, del 14 giugno 2006, relativa all'adeguatezza patrimoniale delle imprese di investimento e degli enti creditizi.
(e) Proposta di direttiva relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2000/12/CE e 2002/65/CE (COM(2005) 603).
(f) Direttiva 2000/46/CE del Parlamento europeo e del Consiglio, del 18 settembre 2000, riguardante l'avvio, l'esercizio e la vigilanza prudenziale dell'attività degli istituti di moneta elettronica.
(g) Direttiva 1998/26/CE del Parlamento europeo e del Consiglio, del 19 maggio 1998, concernente il carattere definitivo del regolamento nei sistemi di pagamento e nei sistemi di regolamento titoli.
·
Nel settore dei trasporti:
(a) Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza delle navi e degli impianti portuali.
(b) Regolamento (CE) n. 884/2005 della Commissione, del 10 giugno 2005, che istituisce procedure per lo svolgimento di ispezioni della Commissione nel settore della sicurezza marittima.
(c) Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza nei porti.
(d) Regolamento (CE) n. 2320/2002 del Parlamento europeo e del Consiglio, del 16 dicembre 2002, che istituisce norme comuni per la sicurezza dell'aviazione civile.
(e) Regolamento (CE) n. 622/2003 della Commissione, del 4 aprile 2003, che stabilisce talune misure di applicazione delle norme di base comuni sulla sicurezza dell'aviazione.
(f) Regolamento (CE) n. 1217/2003 della Commissione, del 4 luglio 2003, recante specifiche comuni per i programmi nazionali per il controllo di qualità della sicurezza dell'aviazione civile.
(g) Regolamento (CE) n. 1486/2003 della Commissione, del 22 agosto 2003, che istituisce procedure per lo svolgimento di ispezioni della Commissione nel settore della sicurezza dell'aviazione civile.
(h) Regolamento (CE) n. 68/2004 della Commissione, del 15 gennaio 2004, che modifica il regolamento (CE) n. 622/2003 della Commissione che stabilisce talune misure di applicazione delle norme di base comuni sulla sicurezza dell'aviazione.
(i) Regolamento (CE) n. 849/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, che modifica il regolamento (CE) n. 2320/2002 che istituisce norme comuni per la sicurezza dell'aviazione civile.
(j) Regolamento (CE) n. 1138/2004 della Commissione, del 21 giugno 2004, che stabilisce una definizione comune delle parti critiche degli aeroporti.
(k)Regolamento (CE) n. 781/2005 della Commissione, del 24 maggio 2005, che modifica il regolamento (CE) n. 622/2003 che stabilisce talune misure di applicazione delle norme di base comuni sulla sicurezza dell'aviazione.
(l) Regolamento (CE) n. 857/2005 della Commissione, del 6 giugno 2005, che modifica il regolamento (CE) n. 622/2003 che stabilisce talune misure di applicazione delle norme di base comuni sulla sicurezza dell'aviazione.
(m)Direttiva 2001/14/CE relativa alla ripartizione della capacità di infrastruttura ferroviaria.
(n) Il trasporto di merci pericolose per ferrovia è disciplinato dalla direttiva 96/49/CE (modificata dalla direttiva 2004/110/CE, che adotta il RID 2005).
(o) Convenzione sulla protezione fisica dei materiali nucleari (firma nel 1980, adesione nel 1981 ed entrata in vigore nel 1987).
·
Nel settore chimico:
(a) Impianti pericolosi ai sensi della direttiva Seveso II (direttiva 96/82/ CE del Consiglio del 9 dicembre 1996 sul controllo dei pericoli di incidenti rilevanti connessi con determinate sostanze pericolose) modificata dalla direttiva 2003/105/CE del Parlamento europeo e del Consiglio del 16 dicembre 2003.
·
Nel settore nucleare:
(a) Direttiva 89/618/Euratom del Consiglio, del 27 novembre 1989, concernente l'informazione della popolazione sui provvedimenti di protezione sanitaria applicabili e sul comportamento da adottare in caso di emergenza radioattiva.
(b) 87/600/Euratom: Decisione del Consiglio del 14 dicembre 1987 concernente le modalità comunitarie di uno scambio rapido d'informazioni in caso di emergenza radioattiva.
1.2.6 Contenuti degli articoli della proposta di direttiva
Articolo 1 - Presenta l'oggetto della direttiva. La direttiva stabilisce una procedura comune per l'individuazione e la designazione delle infrastrutture critiche europee, ossia di quelle infrastrutture la cui distruzione o perturbazione avrebbe conseguenze su due o più Stati membri, o su uno Stato membro se l'infrastruttura critica è ubicata in un altro Stato membro.
La direttiva introduce inoltre un approccio comune per la valutazione della necessità di migliorare la protezione delle infrastrutture critiche europee. Tale valutazione contribuirà alla preparazione di specifiche misure di protezione nei singoli settori PIC.
Articolo 2 - Contiene le seguenti definizioni:
a) "infrastruttura critica": quelle strutture o parti di esse che sono essenziali per il mantenimento delle funzioni cruciali della società, tra cui la catena di approvvigionamento, la salute, la sicurezza e il benessere economico o sociale dei cittadini;
b) "infrastruttura critica europea": infrastruttura critica la cui perturbazione o distruzione avrebbe conseguenze significative su due o più Stati membri, o su uno Stato membro se l'infrastruttura critica è ubicata in un altro Stato membro. Sono compresi gli effetti derivanti da dipendenze intersettoriali in relazione ad altri tipi di infrastrutture;
c) "gravità": l'impatto della perturbazione o della distruzione di una particolare infrastruttura, con riferimento ai seguenti aspetti:
- conseguenze per i cittadini (numero di persone colpite);
- conseguenze economiche (entità delle perdite economiche e/o del deterioramento di prodotti o servizi); - conseguenze ambientali; - conseguenze politiche; - conseguenze psicologiche; - conseguenze a livello di salute pubblica; d) "punto vulnerabile": caratteristica o elemento della progettazione, della realizzazione o del funzionamento di un'infrastruttura critica che la espone a una minaccia di perturbazione o distruzione. Sono comprese le dipendenze in relazione ad altri tipi di infrastrutture; e) "minaccia": qualsiasi indicazione, circostanza o evento potenzialmente in grado di perturbare o distruggere un'infrastruttura critica o un suo elemento; f) "rischio": la possibilità di perdita, danno o lesione rispetto al valore attribuito all'infrastruttura dal suo proprietario/operatore e alle ripercussioni della perdita o dell'alterazione dell'infrastruttura, e la probabilità che una particolare minaccia sfrutti uno specifico punto vulnerabile; g) "informazioni relative alla protezione delle infrastrutture critiche": fatti specifici relativi a un'infrastruttura critica che, se divulgati, potrebbero essere usati per pianificare ed eseguire azioni con danni certi e con conseguenze inaccettabili per tali strutture. Articolo 3 - Presenta la procedura per l'individuazione delle ICE, ossia di quelle infrastrutture critiche la cui perturbazione o distruzione avrebbe gravi conseguenze su due o più Stati membri o su uno Stato membro se l'infrastruttura critica è ubicata in un altro Stato membro. Tale procedura prevede tre fasi. In primo luogo, la Commissione, gli Stati membri e le parti interessate sviluppano insieme criteri intersettoriali e settoriali per l'individuazione delle ICE, che sono successivamente adottati secondo la procedura di comitato. I criteri intersettoriali sono definiti in funzione della gravità della perturbazione o distruzione dell'IC. La gravità delle conseguenze della perturbazione o distruzione di una determinata infrastruttura dovrebbe, nella misura del possibile, essere valutata sulla base dei seguenti elementi: - conseguenze per i cittadini (numero di persone colpite); - conseguenze economiche (entità delle perdite economiche e/o del deterioramento di prodotti o servizi); - conseguenze ambientali; - conseguenze politiche; - conseguenze psicologiche; - conseguenze a livello di salute pubblica. Successivamente ogni Stato membro individua le infrastrutture che corrispondono ai criteri stabiliti, e infine le comunica alla Commissione. I lavori necessari sono intrapresi nei settori PIC prioritari selezionati annualmente dalla Commissione fra quelli elencati nella tabella 1. L'elenco dei settori PIC di cui alla tabella 1 può essere modificato mediante la procedura di comitato, nella misura in cui ciò non ampli il campo d'applicazione della direttiva. Ciò significa in particolare che le modifiche dell'elenco avrebbero lo scopo di chiarirne il contenuto. La Commissione considera il settore dei trasporti e dell'energia fra le priorità d'azione immediate. Articolo 4 - Presenta la procedura di designazione delle ICE. Una volta terminata la procedura di individuazione ai sensi dell'articolo 3, la Commissione prepara un progetto di elenco delle ICE, basato sulle comunicazioni ricevute dagli Stati membri e su altre informazioni rilevanti della Commissione stessa. L'elenco è successivamente adottato conformemente alla procedura di comitato. Articolo 5 - Piani di sicurezza per gli operatori (PSO). L'articolo 5 obbliga tutti i proprietari/operatori di IC designate come ICE a stabilire un piano di sicurezza identificando le strutture interessate e fissando pertinenti soluzioni di sicurezza per la loro protezione. L'allegato II alla proposta di direttiva indica il contenuto minimo di tali PSO, che comprende: - l'individuazione delle strutture importanti; - un'analisi dei rischi basata sulle minacce più gravi, sulla vulnerabilità di ogni struttura e sull'impatto potenziale; - l'individuazione, la selezione e la prioritarizzazione di contromisure e procedure, con una distinzione fra: . misure permanenti di sicurezza, che individuerebbero gli investimenti e gli strumenti necessari in materia di sicurezza che i proprietari/operatori non possono realizzare a breve termine. Questa categoria conterrà informazioni riguardanti le misure generali, le misure tecniche (inclusa l'installazione di mezzi di rilevamento, controllo dell'accesso, protezione e prevenzione), le misure organizzative (incluse procedure di allarme e gestione della crisi), le misure di controllo e verifica, la comunicazione, la sensibilizzazione e la formazione, e la sicurezza dei sistemi di informazione; ..misure graduali di sicurezza, attivate in funzione dei diversi rischi e livelli di minaccia. Ogni settore PIC può elaborare PSO settoriali specifici basati sui requisiti minimi di cui all'allegato II. Tali PSO settoriali specifici possono essere adottati secondo la procedura di comitato. Per quei settori in cui esistono già obblighi analoghi, l'articolo 5, paragrafo 2 prevede la possibilità di esenzione dall'obbligo di stabilire i piani di sicurezza sulla base di una decisione adottata secondo la procedura di comitato. Si considera che la direttiva 2005/65/CE del Parlamento europeo e del Consiglio, relativa al miglioramento della sicurezza dei porti, soddisfi già la condizione relativa all'elaborazione di un piano di sicurezza per operatori. Una volta stabilito un PSO, ogni proprietario/operatore di ICE deve presentarlo all'autorità nazionale competente. Ciascuno Stato membro predisporrà un sistema di supervisione dei piani di sicurezza, per garantire che i proprietari/operatori delle ICE ricevano un sufficiente feedback sulla qualità dei piani e in particolare sull'adeguatezza della valutazione dei rischi e delle minacce. Articolo 6- Funzionario di collegamento in materia di sicurezza. L'articolo 6 impone a tutti i proprietari/ operatori di IC designate come ICE l'obbligo di nominare un funzionario di collegamento in materia di sicurezza che agirebbe come punto di contatto per le questioni di sicurezza fra l'ICE e le autorità nazionali competenti per la protezione delle infrastrutture critiche. Questi dovrebbe pertanto ricevere tutte le informazioni rilevanti sulla protezione delle infrastrutture critiche dalle autorità nazionali e sarebbe responsabile della trasmissione di informazioni rilevanti dalla ICE allo Stato membro. Articolo 7 - Comunicazioni. L'articolo 7 introduce una serie di misure di comunicazione. Ogni Stato membro è tenuto ad effettuare una valutazione dei rischi e delle minacce riguardanti le ICE. Queste informazioni costituiranno la base del dialogo fra gli Stati membri e le ICE sulle questioni di sicurezza (supervisione), come indicato all'articolo 5. Poiché tale articolo impone ai proprietari/operatori delle ICE l'obbligo di stabilire piani di sicurezza e di sottoporli alle autorità nazionali, viene chiesto a ogni Stato membro di elaborare un quadro generale dei tipi di punti vulnerabili, minacce e rischi riscontrati in ogni settore PIC, e di fornire tali informazioni alla Commissione. In base ad esse la Commissione valuterà l'esigenza o meno di adottare misure di protezione supplementari. Tali informazioni potrebbero in seguito essere usate per l'elaborazione di valutazioni dell'impatto, destinate ad accompagnare proposte future in questo ambito. L'articolo prevede inoltre l'elaborazione di metodologie comuni per effettuare le valutazioni dei punti vulnerabili, delle minacce e dei rischi in relazione con le ICE. Tali metodologie comuni verrebbero adottate secondo la procedura di comitato. Articolo 8 - Sostegno della Commissione alle ICE. La Commissione sosterrà i proprietari/operatori di ICE fornendo loro l'accesso alle migliori prassi e metodologie disponibili in ambito PIC. La Commissione si incarica di raccogliere tali informazioni da varie fonti (ad es. Stati membri, fonti interne) e di metterle a disposizione degli interessati. Articolo 9 - Punti di contatto PIC. Per garantire la cooperazione e il coordinamento per le questioni legate alla protezione delle infrastrutture critiche, ciascuno Stato membro è tenuto a designare un punto di contatto PIC. Compito di tale punto di contatto sarebbe il coordinamento delle questioni legate alla protezione delle infrastrutture critiche all'interno dello Stato membro, con gli altri Stati membri e con la Commissione. Articolo 10 - Riservatezza e scambio di informazioni relative alla protezione delle infrastrutture critiche. La riservatezza e lo scambio di informazioni sono un elemento fondamentale e delicato dei lavori nell'ambito della protezione delle infrastrutture critiche. Di conseguenza la direttiva prevede che la Commissione e gli Stati membri prendano i provvedimenti adeguati per proteggere tali informazioni. È opportuno che tutto il personale che gestisce informazioni riservate sulla protezione delle infrastrutture critiche sia sottoposto alla necessaria verifica di sicurezza da parte delle autorità dello Stato membro. Articolo 11 - Comitato. Alcuni elementi della direttiva saranno applicati secondo la procedura di comitato. Il comitato sarà composto da rappresentanti dei punti di contatto PIC. Il programma di protezione delle infrastrutture critiche dell'Homeland Security Dpt. Statunitense L'Homeland Security Department Statunitense (HSD) ha presentato il 25 maggio 2007 una bozza di Programma di Protezione delle Infrastrutture Critiche - Piani Specifici di Settore per dare un approccio coordinato, efficace ed efficiente ai meccanismi di finanziamento federale mirati a ridurre le vulnerabilità, identificare le minacce e ridurre le conseguenze di possibili attacchi e/o incidenti alle infrastrutture critiche nazionali. I piani verranno aggiornati continuamente con procedure di tipo "plan, do, test, act" e daranno consistenza anche alle attività congiunte pubblico/ privato fornendo scenari e obiettivi. I loro principali obiettivi sono: - definire partner, autorità, basi giuridiche, ruoli, responsabilità e interdipendenze per ogni settore; - stabilire o istituzionalizzare procedure esistenti de facto per l'information sharing, l'interazione, il coordinamento e le partnership di settore e intrasettoriali; - stabilire i processi necessari a raggiungere gli obiettivi sicurezza identificati per ogni settore; - aprire gli scenari e considerazioni internazionali; - identificare i metodi di risk analysis and management consistenti con le caratteristiche di ciascun settore. Tutti i piani avranno la seguente struttura: - identificazione di caratteristiche ed obiettivi di settore; - descrizione di asset, sistemi, reti e funzioni di settore; - valutazione del rischio; - assegnazione delle priorità tra le infrastrutture; - sviluppo e realizzazione di piani di protezione; - misura dei risultati. I settori individuati sono 17: 1. agriculture and food; 2. banking and finance; 3. chemical; 4. commercial facilities; 5. communications; 6. dams; 7. defence industrial base; 8. emergency services; 9. energy; 10. government facilities; 11. information technology; 12. national monuments and icons; 13. nuclear reactors, materials and waste; 14. postal and shipping; 15. public health and healthcare; 16. transportation systems; 17. water. La bozza di Piano riporta una breve descrizione di ogni settore, comprensiva di: - visione di settore; - obiettivi; - autorità coinvolte per la sicurezza del settore; - priorità; - iniziative di esercitazioni e formazione; - criticità; - interdipendenze con altri settori. 1. Agriculture and food Il settore è interamente costituito da operatori privati (oltre due milioni di fattorie ed altrettante aziende). La vision comune è la difesa da contaminazioni della catena alimentare che possano nuocere alla salute, alla sopravvivenza o al benessere dei cittadini. Tra gli obiettivi individuati abbiamo l'identificazione di punti di contatto delle aziende per la gestione delle emergenze e la partecipazione dell'industria ai centri operativi statali di gestione delle emergenze. Le criticità sono identificate nella velocità di trasporto e distribuzione delle merci e nella difficoltà di rilevazione e determinazione di eventuali contaminazioni che potrebbero manifestarsi anche a notevole distanza spazio-temporale dall'innesco. Le interdipendenze segnalate sono verso i seguenti settori: acqua (per l'irrigazione), trasporti (per la movimentazione dei prodotti), energia (per l'alimentazione degli impianti produttivi), finanziario, chimico, e dighe. Da notare che nulla viene riportato riguardo e comunicazioni e IT, laddove, a parere della scrivente, almeno l'IT può invece avere una influenza, soprattutto sui sistemi di controllo delle aziende di produzione e lavorazione alimentare. 2. Banking and Finance Questo settore rappresenta l'8 % del prodotto interno lordo annuale statunitense. Gli obiettivi sono caratterizzati dalle forti interdipendenze da altri settori, dalla caratteristica internazionale del settore e dalla collaborazione e dipendenza dagli enti preposti alla lotta al crimine (dalle truffe al riciclaggio). E' inoltre sentito il problema dell'incremento di crimini informatici (caratterizzati dalla difficoltà di tracciamento e dalla internazionalità delle procedure di innesco). In particolare gli obiettivi sono: - mantenimento della posizione (attraverso resilienza, ridondanza, duplicazione e separazione); - conoscenza e gestione dei rischi derivanti anche dalla forte dipendenza dai settori di comunicazione, IT, energia e trasporti; - cooperazione con le forze dell'ordine, l'intelligence e le controparti internazionali per ridurre il crimine. Le interdipendenze segnalate sono verso i seguenti settori: comunicazioni, energia e, in seconda battuta, IT e trasporti. 3. Chemical Il settore comprende centinaia di migliaia di industrie statunitensi (impianti manifatturieri e di produzione, aziende di trasporto e aziende di distribuzione) operanti su prodotti che vanno dal farmaceutico ai pesticidi, ai sanitari, cosmetici, ecc.. Le minacce rilevate da questo settore riguardano egualmente gli aspetti fisici, umani (anche insider) e informatici. Gli obiettivi del piano sono: - censimento delle strutture e delle loro dipendenze e interdipendenze nazionali e internazionali; - definizione del profilo di rischio e delle conseguenti priorità per e tra tali asset; - programmi di standardizzazione della protezione volontaria e obbligatoria che non inficino la resa del settore e la disponibilità sul mercato dei prodotti; - misura e miglioramento continuo dell'efficacia e della resa dei programmi; - information sharing e coooperazione pubblico-privato; - incremento dei programmi di ricerca e sviluppo per la sicurezza del settore. Le criticità sono legate prima di tutto ai prodotti dual use (utilizzabili in attività civili normali, ma anche come armi di distruzione di massa) e ai prodotti che potrebbero determinare criticità su altri settori o direttamente alla salute pubblica in caso di assenza dal mercato. In generale è auspicata una normativa di settore sulla sicurezza cyber-physical-human di tali impianti. Le interdipendenze segnalate sono verso i seguenti settori: IT, comunicazioni, trasporti, (ed energia, a parere della scrivente). Il settore chimico viene percepito anche come fondamentale per il corretto funzionamento di altri settori (soprattutto acqua e agricoltura, curiosamente non sanità). 4. Commercial Facilities Questo settore comprende i media, le associazioni e le leghe, il retail, gli esercizi commerciali, le facility del tempo libero (sport, divertimenti, cinema, ecc.). E' tipicamente un settore "open public access" con pochi controlli e poche barriere alla fruizione. E' anche uno dei settori maggiormente colpiti nell'attentato delle torri. La sicurezza è divenuta dal 2001 un punto chiave della fidelizzazione di clienti e impiegati del settore, tutte le realtà hanno avviato processi di risk analysis and management, ottemperando alla regola di massima flessibilità e apertura, ma facendo della security un punto chiave del proprio marketing. Lo scambio delle informazioni e la fiducia del pubblico sono gli obiettivi principali del programma. La realizzazione del programma come la relazione pubblico-privato è anche qui resa complessa dalla dispersione delle realtà private in gioco (non tutte raggiungibili attraverso associazioni di categoria, per es.). Le interdipendenze segnalate sono verso i seguenti settori: trasporti e comunicazioni (non cita esplicitamente energia e IT). 5. Communications E' uno dei settori maggiormente critici. Da solo detiene l'85% delle infrastrutture critiche censite negli USA. E' anche uno dei settori più interconnessi a livello di sottosettori (le reti TLC sono numerosissime, tutte interconnesse, con tecnologie estremamente diversificate, wireless, cavo, fibra, satellite, radio, broadcast… e non sempre interoperabili). Gli obiettivi del settore sono: - robustezza; - resilienza; - protezione del backbone; - velocità di risposta e recupero a livello federale e regionale; - business continuity; - informazione e campagne di sensibilizzazione a clienti e stakeholder; - cooperazione intersettoriale (questo settore è fondamentale per la maggior parte degli altri). Il programma mira esplicitamente a creare priorità nella gestione dei servizi durante le emergenze per assistere il Governo a livello federale e regionale. Tali priorità riguardano tutti i settori della comunicazione, soprattutto le reti mobili e satellitari. Viene inoltre citata l'information sharing coordinata soprattutto dall'ISAC (Information Sharing and Analysis Center) come un cardine dell'attività di prevenzione e protezione. La sicurezza, anche in questo settore, prevede tre aspetti: fisico, umano e informatico. Infine, viene indicata come priorità la modellizzazione e la simulazione per l'analisi degli scenari e delle dipendenze. Le interdipendenze segnalate sono verso i seguenti settori: trasporti e comunicazioni (non cita esplicitamente energia e IT). Le interdipendenze segnalate sono verso i seguenti settori: energia e IT (che a loro volta dipendono dalle TLC), mentre questo settore è indicato come fondamentale per la gestione dell'acqua. 6. Dams Il settore delle dighe e dei bacini idrici in genere è uno fra i più delicati. Tali strutture sono infatti utilizzate per l'alimentazione degli acquedotti, per la produzione di energia, per la prevenzione di disastri naturali legati a inondazioni di varia natura, per la navigabilità dei bacini interni e per le vie d'acqua in genere, ecc. Gli USA hanno oltre 80.000 dighe di cui il 60% a gestione privata. Tutto il settore è molto attivo nel campo della sicurezza. I principali obiettivi, oltre ai classici di prevenzione e protezione, sono legati all'information sharing, alla cooperazione pubblico-privato, alla modellizzazione degli scenari di rischio, all'identificazione delle minacce e delle vulnerabilità connessa con un accurato studio delle interdipendenze. Il numero elevato di siti e la loro differenza strutturale, funzionale e di realizzazione non consente di identificare un unico programma di sicurezza, ma impone un censimento preventivo dello stato dell'arte per dare le giuste priorità agli interventi, in relazione a vulnerabilità e minacce reali e ai possibili effetti domino. Molto di questo deve ancora essere realizzato. Le interdipendenze sono segnalate verso agricolture, trasporti, acqua ed energia i quali dipendono da questo settore. Non sono segnalate dipendenze da alcun settore, mentre a parere della scrivente energia, comunicazioni e IT sono fondamentali per i sistemi di controllo (monitoraggio e comando) di tali impianti (soprattutto se remoti). 7. Defense industrial base Questo settore comprende centinaia di migliaia di industrie di vario taglio legate alla produzione e al mantenimento di prodotti, sistemi e servizi per la difesa. E' un settore caratterizzato dal cliente finale, con le sue esigenze di sicurezza, invece che dal proprio business. La maggior parte degli operatori del settore ha realizzato procedure e sistemi di sicurezza al proprio interno per soddisfare i requisiti del cliente, creando un business e un know-how che potrebbero essere molto utili agli altri settori. Il settore collabora anche alla Difesa del Department of Defense ed ha quindi un programma di sicurezza connesso con tale Dicastero. Gli obiettivi del programma riguardano: - la riduzione dei siti e delle strutture a rischio; - sicurezza del personale; - sicurezza fisica; - sicurezza informatica; - assicurazione delle informazioni (assicurazioni su prodotti e distribuzione); - lotta alla minaccia insider; - monitoraggio e reportistica; - formazione e informazione; Tutti gli operatori del settore sono privati. Non si segnala necessità di standardizzazioni, tutto il settore ha già identificato priorità e procedure per l'information sharing, per la collaborazione tra pubblico e privato e per le procedure di sicurezza umana, fisica e logica. Le interdipendenze segnalate sono verso i seguenti settori: energia, comunicazioni e trasporti (l'IT è stato più volte citato nella descrizione). Questo settore collabora con latri per l'identificazione delle interdipendenze, delle sovrapposizioni e dei gap nelle responsabilità e nella sicurezza dei vari asset. 8. Emergency Services Il settore comprende nove linee di attività: - Forze dell'ordine; - Artificieri; - Operazioni tattiche e su armi speciali; - Vigili del fuoco; - Servizio medico di emergenza; - Search and rescue nazionale; - Search and rescue urbano; - Gestione delle emergenze; - Gestione di materiali pericolosi. Sono attivi numerosi programmi di sicurezza, molti dei quali basati anche sul volontariato e mirati alla cooperazione, alla mutua assistenza, alle contromisure attive e passive, alla realizzazione di edifici robusti e resilienti, alla duplicazione delle strutture di accoglienza, alla condivisione delle risorse. Tutti i Governi, federale, statali, regionali e municipali sponsorizzano programmi di assistenza. Il programma mira prima di tutto a dotare gli operatori di protezioni ordinarie e straordinarie per tutti i tipi di rischio, a gestire coordinamento e risposta alle emergenze e a garantire la fiducia del pubblico. Gli obiettivi sono: - comprensione delle interdipendenze nazionali e internazionali a livello di protezione umana, fisica e logica; - supporto alla determinazione delle priorità di protezione tra i vari settori; - supporto alla protezione del settore senza inficiare l'attività di soccorso sua propria; - analisi e reporting sull'efficacia degli interventi, attraverso metriche adeguate; - information sharing, formazione e informazione a tutti i settori e all'interno del settore; Le criticità sono identificate nei sistemi e metodi di comunicazione tra i vari livelli di risposta all'emergenza (soprattutto tra i vari livelli di governo), nella cooperazione pubblico/privato, nel trasporto efficienti di uomini, materiali e mezzi, nella garanzia di un adeguato livello di risposta (realizzabile solo attraverso piani di emergenza predefiniti e condivisi e attraverso una conoscenza puntuale e tempo-reale del territorio) a differenti tipi di minaccia, sempre diversificata. Le interdipendenze segnalate sono verso i seguenti settori: energia, IT, comunicazioni, acqua, trasporti e sanità. 9. Energy Questo settore consiste di centinaia di migliaia di siti e aziende per la produzione, il trasporto e la distribuzione di energia, gas e carburanti. La sicurezza informatica gioca un ruolo chiave nella protezione dei sistemi (SCADA e non) di controllo di tali impianti; nel 2006 è stato lanciato un programma di sicurezza informatica per il settore, con quattro priorità: - misura della sicurezza delle postazioni; - sviluppo e integrazione della sicurezza; - rilevazione e risposta alle intrusioni; - sostegno all'incremento coordinato della sicurezza. L'obiettivo principale del settore è la continuità del servizio (e dell'erogazione) al Paese. Gli altri obiettivi tattici sono: - diffusa consapevolezza e information sharing; - incremento della preparazione e della resilienza; - piani e test di continuità del servizio e di gestione dell'emergenza; - ruoli definiti e chiari a tutti per la gestione delle responsabilità e delle emergenze (a livello pubblico e privato); - analisi delle interdipendenze e cooperazione per gestire le stesse (NB si fa specifico riferimento alla necessità di inserire le interdipendenze nei piani di emergenza); - incremento della fiducia di governo e cittadini nelle capacità (efficacia ed efficienza) di risposta e continuità del settore. Le principali criticità individuate sono: - miglioramento continuo delle possibilità di accesso e trasporto verso e dentro le aree di crisi per assistere i soccorsi e il ripristino; - formazione all'uso intelligente delle risorse in aree di crisi per prevenire incidenti e supportare le squadre di soccorso; - incremento delle risorse di comunicazione in aree di crisi (con sistemi interoperabili e trasportabili e con la determinazione di priorità di uso dei canali disponibili); - incremento delle capacità di coordinamento, realizzazione di piani e condivisione delle informazioni preventivi. Le interdipendenze segnalate sono verso i seguenti settori: trasporti, finanziario, governativo, comunicazioni, IT, dell'acqua e delle dighe. Molte infrastrutture di questo settore dipendono da altre infrastrutture dello stesso. 10. Government facilities Il settore comprende un elevato numero di strutture (circa un miliardo di metri quadri e trecento milioni di ettari, 87.000 strutture separate) situate nel territorio o all'estero, alcune aperte al pubblico altre no, ma in ogni caso ricche di informazioni, processi, materiali ed equipaggiamenti altamente critici. Il programma prevede iniziative per il censimento delle strutture ai vari livelli di governo territoriale, per l'information sharing, per la redazione e la condivisione di piani di emergenza e per attività di ricerca e sviluppo. Gli obiettivi sono: risk management a tutti i livelli di governo, cooperazione fra tutti i livelli di governo, condivisione delle informazioni sulle possibili minacce raccolte dall'intelligence, integrazione, sviluppo delle capacità di reazione, ottimizzazione dell'uso delle risorse. Viene esplicitamente segnalato il ruolo di immagine che tali strutture giocano nei confronti dei cittadini durante una crisi: la loro eventuale disfunzione crea serio danno alla fiducia dei cittadini nelle Istituzioni. Inoltre le strutture che si occupano di istruzione condividono un programma per la formazione nelle scuole e per la gestione del ciclo dell'emergenza nelle sue quattro parti: prevenzione, preparazione, risposta e recupero. Le interdipendenze segnalate sono verso i seguenti settori: energia, acqua, IT, comunicazioni. 11. Information Technology Il settore è altamente critico soprattutto perché interessa il 7% del PIL e influenza direttamente il settore bancario, governativo e la risposta alle emergenze. Le criticità sono legate soprattutto alla riservatezza di dati e alla continuità del servizio. Il programma lavora per garantire che eventuali interruzioni o manipolazioni al sistema siano brevi, infrequenti, gestibili, geograficamente isolati e con minime conseguenze. A tal fine è fondamentale la cooperazione con gli altri settori e l'integrazione pubblico-privato. I principali obiettivi sono: - prevenzione e protezione attraverso procedure di risk management; - consapevolezza e conoscenza delle situazioni; - risposta, recupero e restaurazione; - investimenti efficaci ed efficienti su progetti condivisi; - incremento della resilienza delle risorse condivise e delle catene di alimentazione e supporto; - incremento della creatività nella risposta alle minacce; - miglioramento della tracciabilità e della identificabilità degli attori di eventuali attacchi; - gestione coordinata delle interconnessioni nazionali e internazionali tra le reti reali e virtuali; - information sharing per la preparazione a minacce estremamente variabili; - monitoraggio costante e attività di mitigazione delle conseguenze di attacchi; Le interdipendenze sono segnalate verso tutti i settori per la dipendenza di questi dall'IT. Sono citate esplicitamente la intrinseca resilienza delle reti, la loro interconnessione e la loro interdipendenza come fattori di massima importanza. E' già stata evidenziata dipendenza dalle reti TLC. A parere della scrivente vi è anche una interdipendenza con il settore energetico. 12. National Monuments and Icons Queste strutture hanno una alta rappresentatività. Dopo l'undici settembre i Dicasteri responsabili di tali realtà (soprattutto il Dipartimento Affari Interni) hanno incrementato sensibilmente i livelli di sicurezza e protezione, cercando di minimizzare gli impatti sulla fruibilità di tali strutture da parte del pubblico. L'equilibrio tra fattori estetici, di sicurezza e di fruibilità è mirato soprattutto a scoraggiare il terrorismo dall'attaccare tali obiettivi e a preservare l'immagine che tali strutture devono trasmettere. Gli obiettivi del programma sono: - identificare gli asset; - identificare ruoli e responsabilità; - risk assessment sugli asset; - incrementare la comunicazione con l'intelligence e le forze dell'ordine; - assicurare il coordinamento e la cooperazione tra gli appartenenti al settore; - realizzare e mantenere il coordinamento intersettoriale; - integrare tecnologie per la sicurezza che rispondano ai requisiti di impatto sociale del settore; - sviluppare programmi flessibili sulle necessità stagionali e dei grandi eventi del settore; - protezione contro gli insider e protezione dei visitatori; - sviluppare e mantenere aggiornati i piani di emergenza; Il settore coinvolge comunque tutti i livelli di Governo, federale, statale, regionale e municipale. Gli investimenti stanziati dopo 9/11 richiedono ora ulteriori investimenti per il mantenimento dei livelli di sicurezza raggiunti. Le interdipendenze segnalate sono verso i seguenti settori: energia, acqua e settore commerciale, già citato. 13. Nuclear reactors, materials and waste Il settore ha piani di sicurezza e standard di prevenzione e protezione altissimi sin dalla sua nascita. Esiste una Commissione Nazionale per il settore che regolamenta gli standard e controlla la redazione, il rispetto e l'esercizio dei piani di sicurezza. La Commissione ha anche processi ormai consolidati per l'identificazione delle strategie di finanziamento, l'allocazione delle risorse e la definizione delle priorità. Il settore è fondamentale per la produzione di energia. Gli obiettivi del programma di settore sono: - stabilire una collaborazione e una comunicazione permanenti e robuste tra tutti gli aventi competenza e responsabilità per la sicurezza e per le emergenze; - identificare dipendenze e interdipendenze con altri settori; - incrementare la consapevolezza e la conoscenza da parte del pubblico di tale settore, delle misure di sicurezza, delle conseguenze e delle azioni da intraprendere in caso di contaminazione; - migliorare i metodi di rilevazione e di tracciamento dei materiali radioattivi per evitare usi illegali; - sviluppare, insieme con intelligence e forze dell'ordine a tutti i livelli, misure preventive di attacchi terroristici relativi al settore; - proteggere le reti di comunicazione e i sistemi ICT di controllo usati dal settore; - usare procedure di definizione delle priorità di finanziamento che tengano conto dei rischi reali; - incrementare le capacità di risposta a incidenti anche terroristici di tipo nucleare da parte dei privati e dei governi a livello federale, statale, regionale e municipale. Le criticità segnalate riguardano la necessità di una risposta integrata alle emergenze da parte dei diversi attori aventi competenza al riguardo e il controllo del materiale radioattivo e del suo uso. Tra le priorità, infine, è segnalata l'urgenza della cooperazione internazionale per le misure di protezione. Le interdipendenze segnalate sono verso i seguenti settori: energia (che influenza ed è influenzato da questo settore) e trasporti. La sanità è indicata come dipendente da questo settore per le applicazioni radiologiche. A parere della scrivente anche le reti TLC e il settore dell'IT possono avere grande influenza sul corretto funzionamento e sulla gestione di questo settore (si pensi ai sistemi di monitoraggio e telecontrollo). 14. Postal and shipping Questo settore comprende numerosissime reti (mono e multi-tipo) di raccolta, trasporto e distribuzione. Tali reti possono servire singole aree territoriali predefinite o aree vastissime a livello internazionale. A causa della vastità e della numerosità delle strutture coinvolte nel settore è impossibile e non economicamente sostenibile rendere robusto tutto il settore: l'obiettivo è quindi la realizzazione di un settore resiliente, dove sia facile e veloce la rilevazione delle minacce, la localizzazione delle conseguenze e la minimizzazione dei danni. Il settore vuole garantire la continuità del servizio, la facilità di uso e la fiducia da parte dei consumatori nella sicurezza delle proprie attività. Gli obiettivi includono: - creare un meccanismo di incident reporting insieme con intelligence e forze dell'ordine; - assicurare che intelligence e forze dell'ordine diano tempestiva comunicazione delle minacce agli operatori del settore; - sviluppare meccanismi di coordinamento intersettoriale per gli aspetti operativi e per le misure di protezione; - realizzare misure di sicurezza basate sul rischio reale; - prevenire la possibilità che terroristi accedano ai siti critici del settore; - rilevare e neutralizzare eventuali attacchi RBC (radiologici, biologici e chimici); - sviluppare la cooperazione pubblico/privato; - identificare le azioni e le priorità di settore per la gestione di emergenze nazionali o regionali; - rafforzare la cooperazione con altri settori per consentire anche la rapidarilevazione, identificazione e decontaminazione da eventuali agenti; - creare protocolli di comunicazione al pubblico a livello federale, statale, regionale e municipale per l'informazione tempestiva su eventuali incidenti al settore e la minimizzazione degli effetti e delle conseguenze. La priorità di settore è la resilienza delle reti da ottenere attraverso l'information sharing, la collaborazione, l'efficienza nell'uso delle risorse. La criticità è legata alle dimensioni del settore (255 miliardi di movimentazioni ogni anno) e all'influenza che i tempi e l'efficacia del sistema determinano su settori come il farmaceutico, il finanziario e le attività produttive in genere. Le interdipendenze segnalate sono verso i seguenti settori: IT e comunicazioni (il settore ha uno dei più sofisticati meccanismi di processamento dei dati e tracciamento, nati per l'e-commerce e la logistica) e trasporti. Da questo settore dipendono settori come la sanità, il chimico, il finanziario, le strutture governative. Appare evidente anche una dipendenza dal settore energetico. 15. Public Health and Healthcare Questo settore riguarda tutti i cittadini (attività sanitarie di massa, vaccinazioni, servizi di emergenza, servizi mortuari, ecc.) e da solo riguarda il 15% del prodotto interno lordo. Le priorità sono legate ad un coordinamento efficiente sia a livello internazionale che all'interno del settore. Il settore deve essere sempre pronto per la difesa della popolazione da attacchi deliberati, da disastri naturali e da epidemie, anche originate all'estero. L'obiettivo generale è la resilienza del sistema e il mantenimento della capacità di risposta degli operatori e delle strutture a emergenze ordinarie e straordinarie. Gli obiettivi specifici si articolano in tre categorie: - sicurezza della forza lavoro: . impedire attacchi terroristici sulla forza lavoro, compresi attacchi alla catena alimentare e dell'acqua, alle riserve farmaceutiche e ai materiali radiologici; . impedire attacchi terroristici mirati a meccanismi di sorveglianza della salute pubblica, rilevazione di epidemie, protezione da agenti patogeni, e alla forza lavoro durante l'adempimento dei propri compiti sul campo; . protezione del personale da disastri naturali e antropici; - sicurezza fisica: . prevenire attacchi convenzionali terroristici o criminali; . prevenire attacchi che vedano come attori degli insider; . proteggere le strutture da incidenti naturali e antropici; - sicurezza informatica: . prevenire l'uso illegale dei sistemi informativi e dei dati; . difendere le strutture da attacchi informatici deliberati; . proteggere i sistemi da disastri naturali o antropici. Le principali criticità sono legate alla cooperazione tra pubblico e privato, alla frammentazione del settore e alle molteplici peculiarità e particolarità delle strutture afferenti, al coinvolgimento di tutti i vari livelli di Governo e al rapporto con le forze dell'ordine e con altri enti pubblici per la gestione di quarantene e vaccinazioni di massa. Inoltre durante le emergenze nazionali tutti i settori sono dipendenti da questo. Le interdipendenze segnalate sono verso i seguenti settori: trasporti, energia, comunicazioni, IT, acqua, servizi di emergenza, strutture governative. 16. Transportation Systems Questo settore comprende quattro milioni di miglia di strade e autostrade, cento mila miglia di linee ferroviarie, cinquecento mila stazioni ferroviarie, seicento mila ponti, cinquecento aeroporti civili, ecc.. Dopo il 9/11 questo settore ha dovuto incrementare fortemente i propri livelli di sicurezza e sorveglianza e questo ha imposto anche maggiore cooperazione tra i vari attori. L'obiettivo generale è la sicurezza e la resilienza dei sistemi di trasporto nella garanzia della disponibilità di movimento di cittadini e beni. Gli obiettivi specifici sono: - prevenzione e rilevazione di attacchi terroristici; - resilienza dei sistemi di trasporto; - miglioramento del rapporto costo prestazioni e dell'efficienza del settore in termini di sicurezza. Su tali obiettivi devono essere assegnate le priorità di budget, nell'uso delle risorse e nell'assegnazione dei finanziamento. Viene sottolineata l'importanza dell'attività di report per la misura dei risultati, delle attività di ricerca e sviluppo e della collaborazione pubblico-privato, internazionale intrasettoriale e nazionale intersettoriale. Le interdipendenze segnalate sono verso i seguenti settori: energia (che dipende anche da questo settore a sua volta). Quasi tutti i settori dipendono da questo, mentre questo dipende fortemente anche dalla cooperazione internazionale e mondiale delle attuali reti di trasporto. 17. Water Questo settore ha oltre 160.000 aziende di produzione di acqua potabile e sedicimila aziende di gestione delle acque reflue. L'84% della popolazione riceve acqua potabile da tali strutture e il 75% ha da questo settore il trattamento degli scarichi. Negli anni sono stati sviluppati parecchi piani di protezione del settore, per la sicurezza fisica, umana e logica. Esistono dei database presso l'Agenzia di protezione ambientale sulle acque potabili e sul trattamento delle acque reflue: tali database saranno fondamentali nel censimento dei siti e nel processo di valutazione dei livelli di sicurezza del settore. L'obiettivo generale è la robustezza e la resilienza del settore, efficienti meccanismi di prevenzione e rilevazione e diffusa capacità di recupero. Gli obiettivi specifici sono: - sostenere la protezione della salute pubblica e dell'ambiente; - riconoscere e ridurre i rischi di settore; - mantenere infrastrutture resilienti; - incrementare la comunicazione e l'informazione al pubblico. Il piano definisce anche alcune priorità di azione: - identificare una lista gestibile e basata su priorità delle minacce dei contaminanti e degli scenari conseguenti che potrebbero interessare il settore; - sviluppare sistemi di identificazione dei contaminanti; - sviluppare tecnologie innovative di monitoraggio; - incrementare la sorveglianza e sistemi di rilevamento delle intrusioni. Le priorità sono centrate inoltre sui siti che servono più di centomila persone. Le criticità sono legate alla competizione intrasettoriale nella assegnazione delle risorse: la sicurezza non è percepita come uno strumento cooperante, ma come un competitor di altre voci di costo, generalmente legate alla manutenzione degli impianti, alla comunicazione e all'information sharing e alla cooperazione intersettoriale (non esistono fonti condivise di settore). Le interdipendenze segnalate sono verso i seguenti settori: energetico, chimico, sanitario, IT, TLC e dighe. D'altro canto i servizi di emergenza e la sanità dipendono da questo settore. I settori più determinanti per la stabilità del sistema sono communications, energy, information technology, public health e transportation. In particolare, per l'Homeland Security Dpt. i settori maggiormente strategici (100% di interdipendenza) sono il public health (senza forza lavoro, tutti gli altri settori sarebbero in difficoltà) e l'information technology, seguiti da energy (70%), communications (65%) e transport (60%). Secondo la scrivente le percentuali di interdipendenza di energy e communications sono anche maggiori: energy (100%), communications (76%). Vediamo un parallelo tra i settori individuati dall'Unione Europea e quelli individuati dall'HSD: ICT e Acqua sono divisi in due nel caso americano, molti altri hanno un chiaro parallelismo, anche se le definizioni statunitensi nel caso di chimico e nucleare sono più ampie. Manca un parallelismo diretto con Spazio e Strutture di ricerca (che in parte rientrano nelle government facilities) dal lato americano, mentre mancano numerose voci (tra le quali pubblica amministrazione e servizi di emergenza) dal lato europeo. 3. Un approfondimento sugli aspetti di information security e sull'outsourcing di tali servizi(1) Abbiamo visto che l'ICT (information technology e communications) è di fondamentale importanza per tutti gli altri settori. La maggior parte degli utenti di ICT non riesce ad assolvere al proprio fabbisogno in modo completamente autonomo (quanto meno si appoggia su reti di telecomunicazioni commerciali, o parzialmente tali). Molto spesso, inoltre, si acquista all'esterno anche il sistema/servizio di sicurezza ICT, demandando all'esterno la definizione di politiche e procedure di sicurezza ed il loro controllo.
In tutti i casi di outsourcing (di servizi e prodotti ICT e/o di ICT security), gli aspetti di sicurezza su cui focalizzare l'attenzione nel processo di contrattualizzazione sono i seguenti: - Definizione del perimetro di azione Fisico e Logico del fornitore. - Definizione delle Responsabilità di Security, nell'ambito delle specificità del servizio offerto. - Protezione degli asset informativi ed attuazione e mantenimento di idonee contromisure logiche, fisiche ed organizzative, con relativa garanzia di performance e modalità di reporting. - Confidenzialità unilaterale/bilaterale e proprietà intellettuale. - Gestione del Subappalto: divieto di subappalto o garanzia di rispetto della security da parte dei Subappaltatori. - Conformità con i requisiti legislativi e standard di riferimento. - Responsabilità di Privacy, secondo quanto dettato dalla legislazione. - Definizione di un idoneo processo per la gestione degli incidenti. - Diritto di Monitoraggio e Audit da parte dell'Organizzazione o suoi delegati. - Requisiti di Business Continuity - Flessibilità della prestazione legata al cambiamento del business e/o requisiti di sicurezza e definizione di un processo di gestione del cambiamento. - Livello di formazione e sensibilità alle tematiche di security delle risorse impiegate. - Controllo di frequenza del "turnover". 3.1 Linee guida generali per uno SLA
Uno SLA dovrebbe contenere le sezioni riportate di seguito.
Durata dell'accordo Proprietari del processo da parte del cliente per la gestione di ogni servizio che assicurano che gli accordi sui servizi siano rispettati.
Descrizione del Servizio
Questa sezione contiene una descrizione dettagliata dei servizi e dei rispettivi accordi per ciascuno di essi con sottosezioni per gli attributi commerciali o le pratiche di sicurezza che sono indipendenti dallo specifico servizio e si applicano a più servizi.
Per ciascun servizio vanno inclusi dei descrittori chiave del servizio come segue:
1) Definizione: una precisa, non ambigua descrizione del servizio che sta per essere erogato, misurato e documentato.
2) Intervalli temporali di misura: istanti di tempo (giorni, date e tempi) di quando verranno effettuate le misure del servizio.
3) Responsabilità: specifica i ruoli e le responsabilità del cliente e del fornitore che devono essere portate a termine per essere a norma con gli accordi sul servizio. Identifica chi è responsabile per eseguire le misure e come ciascuna misura viene validata. Identifica i punti di contatto primari e secondari per entrambe le organizzazioni così come per tutti gli eventuali sottofornitori.
4) Metriche del livello di servizio: le misure e gli intervalli di misura per il servizio sotto contratto come tempo di risposta e disponibilità del servizio. Tipicamente, i livelli di servizio sono descritti con la rispettiva percentuale di probabilità su un arco di tempo. Tali metriche dovrebbero essere calcolate basandosi sulle prestazioni delle singole risorse e non su aggregati di risorse multiple.
5) Formule di misura: descrivono le equazioni che saranno utilizzate e lo strumento di misura usato dal provider, oltre al documento di conferma del cliente che lo strumento è accettabile.
6) Servizi condivisi: quando clienti multipli condividono le stesse risorse di servizio di un provider, un consumo eccessivo da parte di un cliente può avere effetto sulle prestazioni di un altro cliente. Questo può essere indirizzato con la garanzia del provider sull'adeguata capacità, sulla realizzazione di un blocco quando la domanda eccede limiti prestabiliti o con l'opzione di acquisire un accesso esclusivo al servizio.
7) Sorgenti dei dati: questa sezione descrive dove i dati di misura vengono raccolti, cosa è raccolto, come è memorizzato e chi è responsabile per la raccolta.
8) Attività di escalation: si descrive che cosa notificare quando si verificano situazioni di fuori-specifica.
9) Eccezioni contrattuali, Riconoscimenti e Penalità: questa sezione descrive tutte le eccezioni, i riconoscimenti e le penalità negoziate che sono incluse nello SLA e vanno applicate al servizio in esame. Indica le responsabilità per cliente e fornitore di reporting.
10)Formula di calcolo del riconoscimento/penale: descrive la formula matematica usata ed un esempio. Se il cliente od il fornitore usa codici di priorità o severità questi vanno inclusi in questa sezione.
Gestione del livello di servizio
Documenta i seguenti processi necessari per la gestione dei livelli di servizio. Include inoltre l'evento o l'intervallo di tempo che scatena l'esecuzione del processo.
1) Tracciamento delle misure e rendicontazione delle stesse.
2) Problem escalation e risoluzione delle dispute.
3) Richiesta di cambiamento del servizio che includa la rinegoziazione dei termini di misura del servizio.
4) Implementazione di nuovi servizi e nuovi livelli di servizio.
5) Processo di revisione del livello di servizio.
6) Processo di approvazione.
Ruoli e Responsabilità
Questa sezione descrive i ruoli e le responsabilità generali di tutte le parti che non sono coperte dalla definizione dei livelli di servizio sopraccitata. Questo include i clienti, i fornitori, ogni sottofornitori ed ogni comitato governativo o stakeholder chiave che gestisce questo contratto.
In particolare i clienti, essendo i principali attori, come parte delle loro responsabilità dovrebbero fornire:
- una completa e dettagliata informazione relativa alla loro infrastruttura e agli ambienti nei quali i servizi del provider vanno ad inserirsi;
- un'informazione completa e tempestiva su eventuali cambiamenti o problemi (come ad esempio aggiornamenti alla configurazione di rete, problemi con la connessione Internet, eventuali vulnerabilità individuate, attività di rete anomala, ecc.).
Per fare ciò si suggerisce un approccio che consideri anche i seguenti aspetti:
- piani di disaster recovery,
- data center per il backup,
- sicurezza fisica,
- protezione delle persone e dei beni,
- gestione delle policy.
da www.wdr.de/online/ |