Foto redazionale | |
I moderni Paesi occidentali hanno realizzato, nel corso degli anni, un modello di società che è caratterizzato da un’elevata "qualità della vita", intendendo con questa locuzione la possibilità di accedere ad un insieme di servizi e di opportunità "di base" che vengono messi a disposizione di ogni singolo cittadino affinché egli possa esprimere al meglio le proprie attitudini e soddisfare i propri bisogni. In questa ottica fanno parte della "qualità della vita", ad esempio, i servizi di fornitura dell’energia, la tutela della salute, il sistema dei trasporti, il sistema bancario. Negli ultimi anni si è venuta ad affermare |
l’esigenza di meglio comprendere la reale dipendenza della nostra società da quelle infrastrutture che consentono l’erogazione dei servizi che caratterizzano la qualità della nostra vita ([LEW1], [HYS1]).
Queste infrastrutture sono state chiamate "critiche" e la necessità di proteggere la loro esistenza e corretta funzionalità è sinonimo di necessità di salvaguardare la qualità della vita. A titolo di esempio, consideriamo quanto avvenuto in Italia, in occasione dello sciopero degli autotrasportatori, nel dicembre 2007. Sono bastati tre giorni di sciopero per mettere in crisi vari sistemi quali l’approvvigionamento di cibo, il servizio sanitario d’emergenza (niente benzina per le ambulanze), i sistemi produttivi basati sul movimento delle persone, il sistema di approvvigionamento dei farmaci nelle grandi città. In sintesi, il venir meno di uno specifico servizio (il trasporto su gomma) ha causato una serie di ripercussioni a catena su settori apparentemente scorrelati dalla vita dei cittadini.
Inoltre, occorre considerare che la sempre più incombente minaccia terroristica rende ipotizzabili scenari ben più complessi e drammatici, in cui il collasso a catena, normalmente indicato come effetto domino, potrebbe interessare un numero ancora più cospicuo di infrastrutture.
Queste considerazioni sono alla base di una crescente attività in ambito internazionale, tanto che la Commissione Europea ha intrapreso un percorso normativo che si è recentemente concluso con l’approvazione di una Direttiva ([EU]) che indica agli Stati Membri una serie di azioni per garantire la corretta funzionalità delle Infrastrutture Critiche europee, cioè di quelle infrastrutture il cui eventuale malfunzionamento potrebbe avere impatto su più Stati dell’Unione Europea.
In questo lavoro viene approfondito nel dettaglio il problema della protezione delle Infrastrutture Critiche, della loro classificazione e dello studio delle loro dipendenze. In particolare: nel par. 1 vengono illustrati i contenuti della Direttiva recentemente negoziata in ambito UE, e ne vengono discusse le implicazioni a livello nazionale; nel par. 2 vengono brevemente descritte le iniziative, in materia di protezione delle infrastrutture critiche, in atto presso alcuni Paesi occidentali e nel par. 3 viene proposta una metodologia di classificazione, basata su un approccio sociologico, utile per mappare le dipendenze tra Infrastrutture Critiche, fornendo degli strumenti di previsione degli effetti domino. |
|
|
1. La Direttiva dell’UE sulla protezione
delle Infrastrutture Critiche
Il Consiglio Europeo del giugno 2004 ha chiesto la preparazione di una strategia globale per la protezione delle Infrastrutture Critiche.
Il 20 ottobre 2004 la Commissione ha adottato una comunicazione relativa alla protezione delle Infrastrutture Critiche nella lotta contro il terrorismo [EU1], che presenta una serie di proposte per incrementare la prevenzione, la preparazione e la risposta a livello europeo in caso di attentati terroristici che coinvolgano le Infrastrutture Critiche.
Nel dicembre 2004 il Consiglio ha approvato, nelle sue conclusioni sulla prevenzione, la preparazione e la risposta in caso di attentati terroristici, la proposta della Commissione di istituire un programma europeo per la protezione delle Infrastrutture Critiche (European Programme for Critical Infrastructure Protection, EPCIP), ed una rete informativa di allarme sulle Infrastrutture Critiche (Critical Infrastructure Warning Information Network, CIWIN).
Nel novembre 2005 la Commissione ha adottato un Libro Verde [EU2] che raccoglie indicazioni sulle diverse alternative strategiche possibili in materia di EPCIP.
Nelle conclusioni relative alla protezione delle Infrastrutture Critiche, il Consiglio "Giustizia e affari interni" (GAI) del dicembre 2005 ha invitato la Commissione a presentare una proposta di programma europeo per la protezione delle Infrastrutture Critiche.
La Comunicazione della Commissione st16932 [EU3] presenta i principi, le procedure e gli strumenti proposti per attuare l'EPCIP. Tale attuazione sarà completata, se del caso, da specifiche comunicazioni settoriali relative all'approccio della Commissione in particolari settori di Infrastrutture Critiche.
Nel maggio 2008 è stata approvata in seconda lettura la versione definitiva della Direttiva, la cui pubblicazione è prevista per l’autunno 2008.
La Direttiva espone le misure previste dalla Commissione ai fini dell'individuazione e della designazione delle Infrastrutture Critiche Europee e della valutazione della necessità di migliorarne la protezione.
Partendo dalla considerazione che nell'Unione Europea vi sono varie infrastrutture il cui malfunzionamento o distruzione può avere un impatto su vari Stati Membri, la Direttiva fornisce le seguenti definizioni:
“Infrastruttura Critica” (IC): quei beni, sistemi o parti di essi collocati negli Stati Membri della UE, che sono essenziali per il mantenimento delle funzioni sociali vitali, della salute, della sicurezza (security e safety), del benessere economico e sociale della popolazione e la cui distruzione, o il cui malfunzionamento, avrebbe come diretta conseguenza un impatto significativo su uno Stato Membro, come risultato del mancato svolgimento di queste funzioni (loss of service).
“Infrastruttura Critica Europea” (ICE): infrastruttura critica collocata negli Stati Membri della EU e la cui distruzione, o il cui malfunzionamento, avrebbe come diretta conseguenza un impatto significativo su almeno due Stati Membri dell’EU. La significatività dell’impatto deve essere stabilita in termini di criteri trasversali ( cross-cutting). Questo comprende gli effetti derivanti da dipendenze intersettoriali su altri tipi di infrastrutture.
Si osservi che la definizione di Infrastruttura Critica data nella Direttiva si concentra unicamente sugli aspetti di mancato servizio ( loss of service).
Due punti di vista che meritano di essere considerati nelle analisi che porteranno all’implementazione della Direttiva nelle varie realtà Nazionali sono quelli di hazard e misuse. Il primo concetto si riferisce alla presenza di sostanze o sistemi che sono per loro natura potenzialmente dannosi (ad esempio un impianto nucleare); il secondo concetto, quello di misuse (uso improprio), si riferisce ad un uso improprio, accidentale o deliberato, di un’infrastruttura; tale concetto può essere applicato anche a infrastrutture che non presentano elementi intrinseci di rischio in condizioni normali d’utilizzo o di funzionamento, ma che se utilizzati intenzionalmente o accidentalmente in modo improprio possono arrecare danno a cose e/o persone (si pensi alla rete di distribuzione dell’acqua potabile in cui vengano disperse sostanze tossiche). Il tema chiave affrontato dalla Direttiva è quello della definizione di un approccio comune per la individuazione delle Infrastrutture Critiche Europee e per la loro protezione. Poiché vari settori dispongo Tab.1.1 - Settori e sottosettori di Infrastrutture Critiche individuati dall'UE | | no di un'esperienza, di una competenza e di requisiti particolari in materia di protezione delle Infrastrutture Critiche, la Direttiva è concepita su base settoriale e sarà attuata secondo un elenco stabilito di settori IC.
Allo stato attuale, i settori individuati dalla Direttiva, a cui si deve applicare la procedura per l’individuazionedelle Infrastrutture Critiche Europee, sono quelli dell’Energia e dei Trasporti (nella Tab.1.1 sono riportati i sottosettori individuati nell’annex 1 della Direttiva). La Direttiva riconosce la necessità di estendere in futuro la lista dei settori critici, ed assegna la priorità al settore della Information and Communication Technology (ICT). |
Vale inoltre la pena di ricordare che, durante la fase di negoziazione della Direttiva, sono stati preliminarmente considerati vari ulteriori settori ( Tab. 1.2), che non sono stati tuttavia inseriti nella versione attuale della Direttiva stessa al fine di giungere, in tempi brevi, ad una versione di compromesso condivisa tra tutti gli Stati Membri. L’inclusione di tali ulteriori settori nella Direttiva sarà oggetto di discussione futura; è previsto, infatti, che la Direttiva sia sottoposta ad un processo di revisione ed aggiornamento, per arrivare ad una versione definitiva entro tre anni.
La Direttiva prevede l’applicazione di una procedura in quattro passi affinché un’infrastruttura sia designata ICE (o l’equivalente acronimo anglosassone ECI: European Critical Infrastructure); tale procedura è illustrata nella fig.1.1.
Step 1: facendo riferimento ai settori definiti nella tab. 1.1, il primo passo richiede agli Stati Membri di verificare se le infrastrutture | | Tab.1.2 Elenco esteso dei settori nella Direttiva UE |
potenzialmente critiche soddisfino i criteri settoriali relativi. La Direttiva stabilisce che i criteri settoriali vengano definiti con il contributo e il consenso delle parti coinvolte, compresi gli operatori, prendendo atto del fatto che spesso, nell’ambito dei settori individuati come critici, esistono già criteri consolidati per l’analisi dei rischi e l’individuazione delle criticità. L’applicazione del primo passo consente di effettuare una prima cernita all’interno di ogni settore.
Step 2: ogni Stato Membro dovrà verificare se le infrastrutture selezionate nel primo passo soddisfino la definizione di infrastruttura critica (IC) riportata precedentemente in questo paragrafo. Step 3: ogni Stato Membro dovrà verificare se le infrastrutture selezionate nel secondo passo soddisfino la definizione di trans-nazionalità (ICE) riportata precedentemente, vale a dire, se un potenziale malfunzionamento o distruzione dell’infrastruttura può avere un impatto su almeno due Stati Membri.
Step 4: occorre, quindi, effettuare un “livellamento” delle infrastrutture individuate, per garantire che vengano designate come ICE tutte e sole quelle infrastrutture che soddisfano un criterio comune e omogeneo di criticità. A tal fine, devono essere applicati criteri intersettoriali (cross-cutting), attualmente definiti in termini generali nella Direttiva, che tengono in considerazione i seguenti aspetti:
• conseguenze sulla salute dei cittadini (potenzialità di causare morte o danni gravi alla salute); | | Fig.1.1 Procedura per la designazione delle ICE |
• conseguenze economiche (entità delle potenziali perdite economiche e/o del deterioramento di prodotti o servizi, comprese quelle dovute ai danni ambientali);
• conseguenze sull’opinione pubblica (di carattere socio-politico o psicologico, comprese quelle derivanti da danni ambientali).
Come illustrato nella fig. 1.1, nel caso in cui un’infrastruttura superi i quattro passi della procedura, segue una fase di natura politica, in cui spetta comunque allo Stato Membro nel cui territorio risiede l’infrastruttura la decisione finale di designare tale infrastruttura come ICE.
1.1 Gli adempimenti imposti
dalla Direttiva UE Come si è detto, la Direttiva stabilisce una serie di procedure e azioni per l’individuazione e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. In particolare, l’attuazione della Direttiva comporta una serie di adempimenti per i Paesi Membri, riassunti nel seguito.
Individuazione delle ICE La Direttiva prevede l’applicazione di una procedura in vari passi affinché un’infrastruttura sia riconosciuta come ICE. In particolare, nel quadro della Direttiva verranno indicati criteri relativi ai singoli settori e criteri inter-settoriali per selezionare quelle infrastrutture la cui rilevanza a livello comunitario è tale da ritenerle di interesse europeo. Spetta, infine, ad ogni Stato Membro la designazione finale dell’infrastruttura come ICE, mediante una comunicazione alla Commissione. Allo stato attuale la Direttiva indica come settori prioritari, a cui deve essere applicata da subito la procedura per l’individuazione delle Infrastrutture Critiche Europee, quelli dell’Energia e dei Trasporti. La Direttiva riconosce inoltre la necessità di estendere in futuro la lista dei settori critici, ed assegna la priorità al settore della Information and Communication Technology (ICT), e in particolare alle reti di comunicazione fissa e mobile.
Punto di Contatto Ogni Stato Membro interagirà con gli altri Stati Membri e con la Commissione mediante un organismo nazionale competente per la protezione delle Infrastrutture Critiche. Inoltre, per garantire il coordinamento delle attività, ciascuno Stato Membro dovrà nominare un Punto di Contatto unico.
Valutazione dei rischi Ogni Stato Membro sarà tenuto ad effettuare una valutazione dei rischi e delle minacce riguardanti le ICE situate nel proprio territorio nazionale.
Piani di Sicurezza dell’Operatore Ogni proprietario/operatore di Infrastruttura designata come ICE dovrà disporre di un Piano di Sicurezza dell’Operatore (PSO). La Direttiva fornisce un’indicazione dei contenuti minimi che dovranno essere trattati nel Piano; in particolare, il PSO deve identificare i beni dell’infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione. Le procedure dovranno coprire almeno:
• l’identificazione dei beni critici;
• un’analisi dei rischi che comprenda le minacce, le vulnerabilità e l’impatto potenziale per ogni bene;
• l’identificazione, la selezione e la prioritarizzazione delle contromisure, suddivise tra quelle permanenti e quelle attuabili gradualmente.
Inoltre, dovrà essere designato un Security Liason Officer, che terrà i contatti con l’Organismo nazionale competente.
Funzionario di collegamento Ogni proprietario/operatore di Infrastruttura designata come ICE dovrà nominare un funzionario di collegamento in materia di sicurezza che agisca come punto di contatto per le questioni di sicurezza fra l'ICE e l’Organismo nazionale competente per la protezione delle Infrastrutture Critiche.
1.2 Governance nazionale delle
Infrastrutture Critiche In fase di recepimento a livello nazionale della Direttiva (fase discendente) gli organi legislativi dovranno, quindi, porsi il problema di come implementare, nella realtà nazionale italiana, le azioni implicate dalla Direttiva stessa.
Volendo affrontare in modo sistemico il problema della governance delle IC a livello nazionale, e considerando i requisiti minimi imposti della Direttiva, l’organismo nazionale competente sarà chiamato a fornire risposte e a supportare azioni di rappresentanza formale nei seguenti ambiti minimi:
• Identificazione del ICE:
- l’organismo nazionale competente dovrà essere in grado di identificare le possibili ICE italiane e le possibili ICE straniere con impatto sull’Italia. A tal fine esso dovrà innanzituttto possedere le informazioni necessarie per poter compiere un censimento delle infrastrutture esistenti nel Paese, e individuare quelle che, in base ai valori sociali fondanti della Nazione, assumono caratteristiche di criticità. Questo potrà comportare l’identificazione di settori critici ulteriori rispetto a quelli individuati in ambito UE, la messa a punto di criteri settoriali nazionali e la valutazione degli effetti domino tra infrastrutture.
• Rappresentatività verso l’estero:
- azioni di tutela degli operatori nazionali: al fine di gestire le eventuali richieste avanzate da altri Stati Membri relativamente a potenziali ICE situate sul nostro territorio (azione di push), è necessario comprendere la dipendenza che le IC nazionali inducono sullo Stato estero e mediare soluzioni che rispondano ai dettami della Direttiva senza penalizzare i nostri operatori nazionali;
- azioni di claim: lo studio degli effetti domino comporterà come esito finale anche l’individuazione delle dipendenze da infrastrutture situate oltre confine, consentendo di poter attuare un’azione di pull da parte dell’Italia verso altri Stati dell’Unione (e in linea di principio anche fuori dall’Unione). A questo specifico riguardo è necessario che la struttura designata si ponga come autorevole interlocutore rispetto ai Governi degli altri Stati Membri nel presentare le richieste di garanzie di grado di servizio, a tutela dei cittadini e degli operatori nazionali.
• Censimento dei Piani di Sicurezza degli Operatori: l’Organismo nazionale competente dovrà possedere le competenze e le informazioni per poter compiere un censimento critico sulla completezza e congruenza dei PSO, non solo al loro interno, ma anche rispetto al contenuto di altri PSO presentati a livello nazionale.
• Gestione dei rapporti con l’UE: come si è detto, la dipendenza delle infrastrutture nazionali rispetto a quelle collocate all’estero richiede una continua e autorevole rappresentatività, che deve essere esplicata non solo verso altri Stati Membri, ma anche verso l’UE, al fine di contribuire a indirizzare le scelte comunitarie verso obiettivi di utilità nazionale, tutela degli operatori nazionali e tutela dei cittadini italiani.
• Scambio di informazioni al fine di incrementare la protezione: uno strumento fondamentale per raggiungere un miglior assetto di sicurezza a livello nazionale è quello dello scambio di informazioni tra gli operatori di infrastrutture (sulla scorta delle esperienze anglosassoni degli ISAC – Information Sharing and Analysis Centre). Ovviamente questo scambio deve avvenire in un contesto in cui il singolo operatore si senta tutelato nel condividere con altri operatori informazioni spesso di carattere riservato. Un ruolo fondamentale dell’organismo nazionale, in questo caso, dovrebbe essere proprio quello di agire come “facilitatore” e garante dello scambio di informazioni a livello di settore e, soprattutto, come fulcro di un centro di condivisione di informazioni trasversale, che consenta quindi di concentrare e condividere tutte le informazioni rilevanti per lo studio di dipendenze ed effetti domino.
• Gruppi di esperti settoriali, ricerca e progettualità: attraverso il coinvolgimento di esperti settoriali in problemi specifici si potrebbe costituire un know-how nazionale su questo tema. Questo faciliterebbe lo sviluppo di filoni di ricerca, anche finanziabili dall’Europa, sulla tematica delle Infrastrutture Critiche, con ricadute positive sia in termini di qualità della vita sia in termini economici per il Paese.
2 - Le iniziative estere sulla protezione delle IC
Negli ultimi anni varie Nazioni e Organizzazioni si sono poste l’obiettivo di affrontare in modo organico ed efficace il problema della protezione delle Infrastrutture Critiche; una interessante e completa raccolta delle iniziative di varie Nazioni e Organizzazioni si può trovare in [HB1]. In particolare, in questo capitolo descriveremo gli approcci definiti da:
• alcuni dei principali Paesi europei (Regno Unito, Paesi Bassi, Germania, Francia) (par. 2.1);
• USA (par. 2.2);
• Canada (par. 2.3);
• G8 (par. 2.4).
Gli approcci descritti rappresentano utili esempi per poter comprendere quali possibili strategie si possano intraprendere facendo tesoro dall’esperienza maturata in questo campo da altre nazioni e organizzazioni in cui l’azione a livello istituzionale nella protezione delle infrastrutture critiche si è avviata oramai da diversi anni. Infine, il par. 2.5 viene dedicato ad una breve comparazione dei settori individuati dall’UE, dagli USA e dal G8.
2.1 Iniziative in alcuni Paesi Europei: In questo paragrafo vengono riportate le iniziative per la protezione delle Infrastrutture Critiche intraprese in alcune Nazioni Europee. Per ognuna vengono presentate la definizione di Infrastruttura Critica, gli eventuali settori critici individuati e le strutture governative deputate alla gestione delle iniziative nazionali in materia di Infrastrutture Critiche. A questo riguardo, come si potrà verificare dall’analisi dei paragrafi che seguono, va notato che una caratteristica comune alle Nazioni Europee considerate è quella di aver predisposto per la protezione delle Infrastrutture Critiche un organo centralizzato (anche se con differenti collocazioni istituzionali) per il coordinamento delle attività e degli scambi informativi.
2.1.1 Regno Unito Nel Regno Unito le Infrastrutture Critiche Nazionali sono definite come:
"quelle infrastrutture per le quali la continuità è così importante per la vita nazionale che una perdita, interruzione significativa o degradazione del servizio comporterebbe gravi conseguenze sulla salute pubblica, sull’economia o su altri aspetti sociali del Paese, oppure richiederebbe un’immediata reazione del Governo." [HB1]
Le Infrastrutture Critiche Nazionali sono suddivise in 10 settori e 39 sottosettori, riportati in tab. 2.1. Tab.2.1 - Settori e sottosettori di IC individuati nel Regno Unito | | Nel Regno Unito esistono vari organismi aventi un ruolo nella protezione delle ICN afferenti ai vari settori; essi operano sotto il coordinamento di un centro interministeriale che riferisce al National Infrastructure Security Coordination Centre (NISCC). Il NISCC è un centro interministeriale che coordina e sviluppa le attività all’interno dei ministeri e delle agenzie, e si interfaccia con gli operatori privati di ICN.
Il Direttore del NISCC riferisce ad un consiglio direttivo in cui sono rappresentati l’Ufficio del Primo Ministro, il Communications Electronics Security Group (CESG — l’autorità tecnica del Governo sulla sicurezza dell’informazione; ha il compito di proteggere le comunicazioni e le informazioni del governo centrale, delle agenzie e di altre parti dell’infrastruttura nazionale informativa, sviluppando politiche e misure di protezione dalle minacce), il Ministero degli Interni, e l’Intelligence. |
2.1.2 Paesi Bassi Il Governo dei Paesi Bassi, mediante una campagna di consultazioni che ha coinvolto industrie private e agenzie governative, ha individuato l’insieme di settori e sottosettori ritenuti critici, secondo la seguente definizione: "Le infrastrutture sono ritenute critiche se costituiscono una risorsa essenziale indispensabile per la società, e se la loro distruzione porterebbe rapidamente ad uno stato di emergenza o potrebbe avere effetti avversi sulla società nel lungo termine." [HB1]
Sono stati individuati 12 settori e 33 prodotti e servizi critici, riportati in tab. 2.2.
Nei Paesi Bassi esistono vari organismi aventi un ruolo nella protezione delle ICN afferenti ai vari settori; la responsabilità della protezione delle Infrastrutture afferenti ai vari settori è in linea di massima riconducibile ai corrispondenti Ministeri. Il Ministero degli Interni e delle Relazioni del Regno, oltre ad avere la responsabilità della protezione delle infrastrutture informatizzate governative, ha il compito di coordinare le politiche di protezione delle Infrastrutture Critiche tra i vari settori, e di rappresentare la Nazione in ambito internazionale.
2.1.3 Germania La Costituzione tedesca riconosce come una responsabilità dello Stato quello di garantire la sicurezza pubblica e di assicurare che alla popolazione siano forniti i beni essenziali; è quindi responsabilità dello Stato proteggere le Infrastrutture Critiche, definite come: | | Tab.2.2 Settori e sottosettori di IC individuati nei Paesi Bassi |
"L’insieme di quegli elementi la cui indisponibilità o malfunzionamento comporterebbe una carenza di approvvigionamenti o altre conseguenze drammatiche per larga parte della popolazione" [HB1] Tab.2.3 Settori e sottosettori di IC individuati in Germania | | Sono stati individuati 9 settori, riportati in tab. 2.3.La responsabilità e il coordinamento delle attività legate alla protezione delle Infrastrutture Critiche ricadono sul Ministero degli Interni (BMI), mediante le sue Agenzie quali il Federal Office for Information Security (BSI), la Federal Agency of Civil Protection and Disaster Response (BBK), la Federal Law Enforcement Agency (BKA), e la Federal Police (BPOL). Il BMI opera in cooperazione con altri ministeri per gli aspetti specifici e con gli operatori privati di IC.
2.1.4 Francia In Francia sono ritenute Infrastrutture Critiche:
"Quelle Infrastrutture che sono vitali per il mantenimento dei processi primari sociali e economici" [HB1]
Sono stati individuati 9 settori, riportati in tab. 2.4. |
In Francia la responsabilità della protezione delle Infrastrutture Critiche ricade completamente sul Segretariato Generale per la Difesa Nazionale (SGDN), che riferisce direttamente al Primo Ministro. Inoltre, all’interno del Ministero della Difesa una struttura chiave per la protezione delle Infrastrutture Critiche è la Divisione Centrale per la Sicurezza dei Sistemi Informatici (DCSSI) che gestisce una commissione interministeriale.
2.2 La strategia USA A seguito degli eventi dell’11 settembre 2001, gli USA hanno messo a punto una strategia nazionale dettagliata e organica per la protezione della patria che ha portato alla creazione del Department of Homeland Security (DHS). | | Tab.2.4 Settori di IC individuati in Francia |
Nel luglio 2002 il DHS ha emesso una prima versione della "National Strategy for Homeland Security" [DHS1], poi aggiornata varie volte fino all’ultima versione del luglio 2007.
Una delle sei "critical mission areas" identificate nella strategia mira a proteggere le Infrastrutture Critiche e i beni chiave.
La strategia nazionale specifica in materia di Infrastrutture Critiche deriva dalla Homeland Security Presidential Directive/Hspd-7 del Dicembre 2003 [DHS2], che recepisce la definizione di infrastruttura critica data al punto 1016 del USA Patriot Act del 2001:
Infrastrutture Critiche: sistemi e beni, sia fisici sia virtuali, così vitali per gli USA che una indisponibilità o distruzione di tali sistemi o beni avrebbe un impatto debilitante sulla sicurezza, sull’economia nazionale, sulla salute pubblica o su una combinazione di questi aspetti.
La Direttiva Hspd-7 introduce il National Infrastructure Protection Plan (NIPP) [DHS3] che fornisce una struttura unificante per l’integrazione della protezione delle Infrastrutture Critiche e delle risorse chiave in un unico programma nazionale. Il NIPP fornisce una cornice globale per i programmi e le attività in corso nei vari settori, come anche per i progetti di protezione futuri o in fase di sviluppo.
L’obiettivo di questo sforzo collaborativo tra:
• il settore privato,
• i governi statali, territoriali, locali e tribali,
• le organizzazioni non-governative,
• il governo federale,
è la prioritarizzazione delle iniziative di protezione e degli investimenti nel settore. Viene assicurato, inoltre, che le risorse siano destinate ai contesti in cui esse forniscono il maggior beneficio per la mitigazione del rischio e la riduzione delle vulnerabilità, scoraggiando le minacce e minimizzando le conseguenze degli attacchi terroristici o di altri incidenti. In base al NIPP, il Department of Homeland Security (DHS) ha la responsabilità di guidare, integrare e coordinare lo sforzo complessivo nazionale per migliorare la protezione delle Infrastrutture Critiche, di sviluppare e implementare programmi e metodologie di analisi del rischio, di sviluppare linee guida inter-settoriali e trans-giurisdizionali per la protezione delle Infrastrutture Critiche e di fornire metriche e criteri settoriali e cross-settoriali per il risk management.Il NIPP individua 17 settori di Infrastrutture Critiche, elencati nella seconda colonna di tab. 2.5. Per ogni settore, il NIPP designa una Sector Specific Agency (SSA), ovvero un’Agenzia governativa responsabile di collaborare con il DHS per implementare il modello di partnership e gestione del rischio del NIPP, di sviluppare programmi di protezione settoriali e di fornire linee guida sotto il coordinamento del DHS.
Uno degli aspetti caratterizzanti del NIPP è il modello di cooperazione tra organismi governativi e partner privati, che prevede un intenso scambio e condivisione di informazioni. Il modello di information-sharing alla base del NIPP è di tipo magliato e permette la distribuzione e l’accesso alle informazioni sia verticalmente sia orizzontalmente. | | Tab.2.5 Settori di IC individuati dal DHS USA e relative SSA |
La fig. 2.1 illustra come i soggetti coinvolti nella protezione delle Infrastrutture Critiche siano coinvolti negli scambi di informazione e nei processi decisionali.
Per rendere efficace l’azione del NIPP, i partner devono impegnarsi a condividere e proteggere le informazioni necessarie a raggiungere gli obiettivi del NIPP stesso. Il DHS, in collaborazione con le SSA, è responsabile del coordinamento della rete di information-sharing. Fig.2.1 Schema delle interazioni tra i partner del NIPP | | Sotto, la fig. 2.2 mostra la struttura attraverso la quale organismi pubblici e privati collaborano e condividono informazioni; tale struttura è costituita da un insieme di ISAC (, [ISA1]): ogni settore prevede un ISAC per l’ambito privato e uno per quello governativo, coordinati tra loro; inoltre, tutti i settori nell’ambito privato così come in quello governativo sono coordinati in un ISAC cross-settoriale.
I due ISAC cross–settoriali (in ambito privato e governativo) hanno a loro volta una struttura di coordinamento. Una delle attività di maggior rilievo condotta nell’ambito del NIPP, e resa possibile dall’articolata struttura finora descritta, è quella dello studio delle interdipendenze tra i vari settori.
Dalla breve descrizione dell’approccio utilizzato negli USA si può immediatamente evincere:
• l’enorme impegno che il governo americano ha destinato alla gestione della protezione delle Infrastrutture Critiche;
• la collocazione delle responsabilità in materia di |
protezione delle Infrastrutture Critiche in un organo centrale che costituisce di fatto l’Autorità Nazionale per la Sicurezza;• la forte enfasi sulla necessità di una collaborazione continua tra pubblico e privato e di uno scambio di informazioni.
2.3 La strategia Canadese In Canada sono ritenute Infrastrutture Critiche:
"Quegli apparati, reti e beni fisici o informatici che, se distrutti o resi indisponibili, comporterebbero un serio impatto sulla salute, sulla sicurezza (safety e security) o sul benessere economico dei Canadesi o sul funzionamento efficace delle istituzioni " HB1.
Sono stati individuati 10 settori, riportati in tab. 2.6.In Canada la protezione delle Infrastrutture Critiche è demandata al Ministero per la Public Safety and Emergency Preparedness (PSEPC) che comprende al suo interno la Royal Canadian Mounted Police, il Canadian Security | | Fig.2.2 Schema del sistema di information-sharing del NIPP |
Intelligence Service, il Correctional Service of Canada, il National Parole Board, il Canada Firearms Centre, il Canada Border Services Agency, e tre organi di revisione. Il governo canadese collabora anche con il settore privato e i governi territoriali, mediante una relazione di partnership.
Tab.2.6 Settori e sottosettori di IC individuati din Canada | |
2.4 Le best practice del G8 per la protezione delle Infrastrutture Critiche Il G8 ha da tempo avviato attività di indirizzo per la protezione delle Infrastrutture Critiche. Partendo dalla considerazione che, nei Paesi industrializzati, gran parte delle infrastrutture sono governate da sistemi informatici, l’enfasi delle attività in ambito G8 è sulla protezione delle cosidette Critical Information Infrastructures (CII). In [G8_1] un’infrastruttura critica è definita come:
• entità o organizzazione (inclusa la Pubblica Amministrazione) con le proprie strutture fisiche e informatiche, i sistemi, le reti, i servizi e i beni;
• entità di maggiore importanza per la vita economica, politica e sociale della comunità di un Paese.
Per “maggiore importanza” si intende il fatto che una distruzione, sospensione, riduzione o non disponibilità delle funzionalità dell’infrastruttura potrebbe: |
• avere un serio impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica o il benessere economico, o sull’effettivo funzionamento dello Stato; Tab.2.7 Settori di IC individuati dal G8 | | • portare gravi conseguenze sociali o altre drammatiche conseguenze per la comunità.
In tab. 2.7 riportiamo i settori individuati in [G8_1] dove sono fornite, inoltre, una serie di best practice e di politiche per la protezione delle CII. |
2.5 Approcci a confronto La tab. 2.8 riporta la classificazione dei settori critici individuati dall’UE, dal G8 e dagli USA a confronto. Nel caso della UE, per completezza, viene riportato l’intero elenco di settori individuati come potenzialmente critici nel corso della negoziazione della Direttiva. Infatti, il mancato inserimento di alcuni settori nella versione attuale della Direttiva non è dovuto a considerazioni di carattere tecnico, ma piuttosto alla necessità di trovare una rapida convergenza tra tutti gli Stati Membri su un insieme minimo di settori a cui applicare immediatamente la Direttiva stessa. Come si può notare (vedasi anche [FRA2]), esiste una corrispondenza di massima tra i settori individuati nei contesti analizzati; nel caso europeo, alcuni settori non sono considerati in quanto l’UE riporta solo i settori che possono avere una criticità “europea” cioè transnazionale (su almeno uno Stato Membro diverso da quello di appartenenza della infrastruttura ritenuta critica).
Inoltre, le definizioni di settori riportate nei casi UE esteso e USA, contengono settori critici per l’evenienza di loss of service (interruzione o riduzione di servizio/prodotto) e settori critici per gli effetti di sostanze e apparati potenzialmente pericolosi (hazard), come ad esempio per ciò che riguarda l’industria chimica | | Tab.2.8 Corrispondenza tra i settori di IC dell'UE, del G8 e dell'HSD |
e nucleare; non è invece considerato l’eventuale misuse (uso improprio deliberato o accidentale) di sostanze o impianti che non contengono nel loro utilizzo proprio elementi di rischio. Questo è riconducibile al fatto che, come già osservato, ciò richiederebbe di occuparsi dell’integrità dei prodotti o servizi erogati mediante l’infrastruttura, oltre che dell’infrastruttura stessa. La gamma variegata dei possibili tipi di misuse e delle loro conseguenze rende particolarmente complesso effettuare una valutazione ex ante dei possibili danni.
L’inclusione del concetto di misuse può risultare fondamentale se ci si pone l’obiettivo di analizzare in modo completo il problema della protezione delle IC.
Questo è riconducibile al fatto che, come già osservato, ciò richiederebbe di occuparsi dell’integrità dei prodotti o servizi erogati mediante l’infrastruttura, oltre che dell’infrastruttura stessa. La gamma variegata dei possibili tipi di misuse e delle loro conseguenze rende particolarmente complesso effettuare una valutazione ex ante dei possibili danni.
L’inclusione del concetto di misuse può risultare fondamentale se ci si pone l’obiettivo di analizzare in modo completo il problema della protezione delle IC.
Ciò che accomuna i tre approcci riportati è il fatto che, nel processo di individuazione dei settori critici, si è proceduto in modo assiomatico riconoscendo delle realtà consolidate e, quindi, catalogando come settori gli ambiti della vita sociale che sono considerati critici in base ad un approccio legato al “buon senso”. Inoltre, nel caso dell’UE, si è mirato a risolvere un problema essenzialmente “politico” rappresentato dall’esigenza di conciliare, ad un livello decisionale elevato e non tecnico, gli interessi specifici di ogni singolo Paese.
Di conseguenza, i settori individuati in molti casi non sono direttamente riconducibili a esigenze concrete, e tanto meno sono adatti ad effettuare un’analisi dettagliata delle vere interdipendenze tra i vari settori e sottosettori. Tale analisi, delegata nel caso dell’UE ai singoli Paesi Membri, deve essere condotta su un piano più marcatamente tecnico, adottando metodologie analitiche e, ove possibile, strumenti di verifica più legati alla conoscenza dettagliata dell’effettivo “funzionamento” delle varie Infrastrutture Critiche che, tra l’altro, potrebbe variare profondamente da Paese a Paese.
3 - Una metodologia per la protezione delle Infrastrutture Critiche
Avendo introdotto che cosa si intenda per Infrastrutture Critiche, e quali siano i principi generali per la loro governance, nel seguito di questo lavoro viene illustrato un modello per l’individuazione e l’analisi delle Infrastrutture Critiche. In particolare, viene proposta una metodologia di classificazione, basata su un approccio sociologico, utile per mappare le interdipendenze tra Infrastrutture Critiche diverse, fornendo degli strumenti di previsione degli effetti domino. Questa analisi costituisce uno strumento decisivo per consentire di gestire la pianificazione e il coordinamento delle misure di previsione e prevenzione a tutela dei cittadini e della Nazione.
3.1 Un approccio “sociologico” per ottenere la governance delle IC Il primo aspetto da affrontare per predisporre una strategia di protezione delle IC è quello della loro individuazione. Gli approcci generalmente utilizzati a tal fine [DHS, UE, G8] procedono in modo assiomatico riconoscendo delle realtà consolidate e, quindi, catalogano come settori gli ambiti della vita sociale che sono considerati critici secondo un approccio legato al “buon senso”, che disegna una tassonomia dei principali settori legati all’industria e al vivere sociale. Di conseguenza, i settori individuati in molti casi non sono direttamente riconducibili a esigenze concrete, e tanto meno sono adatti ad effettuare un’analisi dettagliata delle vere interdipendenze tra i vari settori e sottosettori. Tale analisi deve essere condotta su un piano più marcatamente tecnico, adottando metodologie analitiche e, ove possibile, strumenti di verifica più legati alla conoscenza dettagliata dell’effettivo “funzionamento” delle varie Infrastrutture Critiche che, tra l’altro, potrebbe variare profondamente da Paese a Paese.
Un approccio più efficace, che come vedremo permette di affrontare in modo organico l’analisi delle IC e delle loro interrelazioni, e di tenere conto delle specificità della Nazione oggetto dell’analisi, consiste nel procedere secondo i passi seguenti, illustrati in fig.3.1:
• analizzare i bisogni primari dei cittadini;
• individuare le risorse che permettono di soddisfare i bisogni primari; Fig.3.1 Processo di derivazione delle Risorse e dipendenze tra IC. | | • analizzare le specificità di ogni risorsa, fino ad individuare, in base a criteri e metriche stabiliti, le criticità e le dipendenze dalla risorsa stessa.
In riferimento al primo passo, per l’individuazione dei bisogni elementari è utile partire dalla piramide dei bisogni primari di Maslow [MAS1].
Secondo questo approccio i bisogni dell’individuo sono suddivisi in cinque differenti livelli, dai più elementari (necessari alla sopravvivenza dell'individuo) ai più complessi (di carattere sociale). La fig.3.2 fornisce una rappresentazione grafica della stratificazione dei bisogni.
Come si può vedere dalla figura, i livelli di bisogno concepiti sono:
1. bisogni fisiologici (fame, sete, ecc.);
2. bisogni di sicurezza e protezione;
3. bisogni di appartenenza (affetto, identificazione); |
4. bisogni di stima, di prestigio, di successo;
5. bisogni di realizzazione di sé (realizzando la propria identità e le proprie aspettative e occupando una posizione soddisfacente nel gruppo sociale). I bisogni individuati nella piramide di Maslow sono di carattere individuale, cioè, sono riferiti al singolo individuo in un contesto astratto. Volendo condurre un’analisi applicata ad un “sistema Paese”, ovvero ad una collettività che ha implicitamente accettato un patto sociale valido nel Paese stesso, tali bisogni assumono connotazioni specifiche, che caratterizzano la realtà sociale del Paese. Ad esempio, in molti Paesi occidentali è data per scontata l’esistenza di un sistema di sanità pubblica accessibile gratuitamente a tutti i cittadini, sistema che costituisce un cardine per la garanzia della qualità della vita; in altri Paesi, il sistema sanitario è di carattere prevalentemente privato e il cittadino sa di non poter fare pieno affidamento sulla sanità pubblica gratuita.
Nel processo di individuazione delle risorse occorrerà, quindi, “pesare” i bisogni elementari con i principi che costituiscono il patto sociale del nostro Paese. Ai fini dell’individuazione organica delle risorse necessarie per | | Fig.3.2 |
soddisfare i bisogni occorre redigere degli elenchi individuando, in considerazione della situazione italiana (considerando, quindi, la nostra organizzazione sociale, la nostra Costituzione ma anche la nostra Storia e i nostri costumi nazionali), le risorse in relazione ai diversi livelli della piramide. Tab.3.1 Risorse che realizzano i bisogni della Piramide di Maslow | |
La tab. 3.1 riporta, per ogni livello della piramide, le risorse che permettono di realizzarlo.
è quindi possibile riorganizzare tutte le risorse individuate in una tabella (tab. 3.2) che, ad ogni risorsa, associa il livello della piramide di Maslow da cui essa deriva.
Un approccio che individua le risorse a partire dai bisogni consente anche di definire dei criteri di criticità progressiva delle risorse stesse; ad esempio, si potrebbe fissare una soglia ad un dato livello della piramide, per escludere dalle risorse critiche quelle che realizzano i bisogni degli ordini più elevati. Ai fini di questa analisi, comunque, si è deciso di considerare tutte le risorse individuate nella tabella, anche in considerazione del fatto che esse contribuiscono tutte a soddisfare almeno un bisogno appartenente ai primi tre livelli.
|
L’aver individuato le risorse non è sufficiente per svolgere l’analisi delle dipendenze; infatti, le risorse sono definite ad un livello di astrazione troppo alto per analizzare le dinamiche che legano tra loro le risorse stesse. Il modello di classificazione strutturata qui proposto si basa su tre livelli di astrazione distinti: risorse, frutti, componenti. Una risorsa definisce in modo generale un’area concettuale omogenea che consente di soddisfare i bisogni dei cittadini di uno Stato. Per esempio, in questa accezione, il trasporto è una risorsa.
Un frutto definisce in modo specifico una sottoarea concettuale tipica di una risorsa; esso può essere caratterizzato:
• dal fatto che consente di garantire al cittadino uno specifico servizio (intendendo come servizio il soddisfacimento di un bisogno specifico). In questo senso, un frutto della risorsa acqua è l’acqua potabile;
• in base alla propria catena fruttuosa (vedi le successive definizioni), nel caso in cui questa presenti delle specificità: in questo senso, ad esempio nel caso della risorsa trasporto, il frutto trasporto ferroviario si distinguerà dal frutto trasporto su gomma non in base al bisogno che soddisfa (possono soddisfare entrambi il bisogno di mobilità) ma in base alla catena fruttuosa che conduce alla loro fruizione. | | Tab.3.2 Risorse e livelli di Maslow a cui si riferisce |
Una risorsa comprende normalmente una molteplicità di frutti distinti. Per esempio, in questa accezione i frutti della risorsa trasporto potrebbero essere: trasporto su gomma, trasporto aereo, trasporto ferroviario, trasporto marittimo, trasporto fluviale. Si osservi che si può caratterizzare come frutto qualunque servizio, ma anche la disponibilità per i cittadini di alimenti o di beni (genericamente prodotti) che soddisfino bisogni.
Un componente definisce una fase del processo ( catena fruttuosa) che conduce, a partire dalla elaborazione delle materie prime alla base del frutto, fino alla sua fruizione da parte dell’utente. I componenti della catena fruttuosa sono tipicamente legati alla produzione, al trasporto, alla distribuzione, alla fruizione; tali fasi sono così definite:
- produzione: raccolta ed elaborazione delle materie prime, fino alla creazione del frutto stesso;
- trasporto: inteso come trasferimento del frutto dalla sede di produzione fino ai punti di smistamento/immagazzinamento; questa fase è comprensiva di logistica, stoccaggio, ecc.;
- distribuzione: fase che porta il frutto dai punti di smistamento/immagazzinamento fino all’utente finale e, quindi, ha carattere prettamente locale; anche questa fase è comprensiva, a livello locale, di logistica, stoccaggio, ecc.;
- fruibilità: la possibilità da parte dell’utente di usufruire del prodotto/ servizio secondo parametri di qualità predefiniti generici (disponibilità, integrità, autenticità, tracciabilità o non ripudiabilità, etc.) o specifici di settore e costi congrui; questa fase è comprensiva della vendita al dettaglio e del servizio al pubblico.
è possibile applicare il concetto di catena fruttuosa a tutti i frutti individuati: in alcuni casi mancheranno una o più caselle intermedie (tipicamente trasporto e distribuzione), ma si può sempre pensare un frutto come rappresentato da un (o più) servizio/prodotto e dalla produzione (trasporto e distribuzione) dello stesso.
Per esempio, in questa accezione il frutto trasporto aereo potrebbe essere caratterizzato dai seguenti componenti: aeroporti, compagnie aeree, controllo navigazione, assistenza al volo. Occorre notare che un singolo componente non consente il soddisfacimento di un bisogno e non si configura quindi come frutto in sé, ma concorre alla realizzazione di un frutto. La fig. 3.3 illustra il processo che, a partire dai bisogni elementari, conduce all’individuazione delle risorse e dei frutti e, quindi, ai componenti di ogni frutto.
è utile osservare che in analisi ancora più specifiche a livello settoriale, potrebbe essere necessario suddividere logicamente le singole componenti in ulteriori elementi di dettaglio che tipicamente costituiscono gli asset dell’infrastruttura.
L’approccio descritto permette di definire una tassonomia, esemplificata in fig. 3.4, in cui ad ogni frutto è associato un albero. In questa accezione, un’infrastruttura è costituita dal soggetto giuridico (operatore, produttore, ente | | Fig.3.3 Processo di raffinamento dei bisogni elementari |
governativo…) che garantisce o contribuisce a garantire un frutto, Fig.3.4 Esempio di tassonomia dei frutti | | insieme ai componenti e agli elementi necessari per la sua operatività.
3.2 Esempio di applicazione al caso nazionale
Il nostro esempio di applicazione al caso italiano partirà dalla tab. 3.1, che riporta le risorse individuate per il soddisfacimento dei bisogni dei cittadini Italiani, per procedere all’individuazione di possibili frutti per ogni risorsa.
Occorre ricordare che, utilizzando un approccio che parte dai bisogni elementari, non esiste più la distinzione tra le risorse che risultano critiche per loss of service e quelle che risultano critiche in quanto hazardous; inoltre, l’approccio consente di tenere in conto anche il caso di misuse (considerando cioè il prodotto/servizio erogato dall’infrastruttura oltre che l’infrastruttura stessa).
|
In questa accezione, infatti, l’ambiente preservato in condizioni idonee a garantire la qualità della vita risulta essere una risorsa necessaria a soddisfare un bisogno elementare e, quindi, un evento che comprometta tale risorsa si configura comunque come una loss of service. Nella tab. 3.3 è mostrata una prima proposta di classificazione strutturata in Risorse e Frutti.
Le analisi che hanno condotto all’individuazione delle singole voci inserite in tabella costituiscono il risultato di un’attività di analisi preliminare (vedi anche [FRA1]).
La tabella, comunque, deve essere considerata un punto di partenza da raffinare ulteriormente con l’apporto di competenze specifiche di settore tipiche, per esempio, degli ISAC [ISA1], prima di poter procedere ad un’analisi di livello nazionale delle dipendenze e degli effetti domino.
Una volta individuati i frutti che permettono di garantire ogni risorsa, è possibile procedere al raffinamento di questi in Componenti, secondo quanto specificato nel par. 3.1. La tab. 3.4 mostra un possibile esempio, di tale raffinamento nel caso della risorsa trasporto. Questa tabella, comunque, deve essere considerata a titolo di esempio del tutto preliminare; essa, infatti, può essere completata solo con l’apporto di competenze specifiche di settore.
L’approccio proposto, mediante il raffinamento dei frutti nelle catene fruttuose permette una immediata individuazione delle Infrastrutture Critiche a livello di componenti, ovvero degli elementi che possono compromettere la fruibilità di un servizio/prodotto da parte dell’utente.
Inoltre, i frutti sono stati derivati mediante un metodo quanto più possibile rigoroso, oggettivo e analitico, e hanno la caratteristica di essere mutuamente disgiunti dal punto di vista concettuale (caratteristica di ortogonalità); di conseguenza, un’analisi delle interdipendenze tra Infrastrutture Critiche impostata a livello di frutti risulta particolarmente efficace e ordinata. | | Tab.3.3 Classificazione strutturata in risorse e frutti | Tab.3.4 Frutti e componenti della risorsa trasporto | |
3.3 Dalla classificazione delle risorse alla valutazione degli effetti domino
Purtroppo, per garantire e tutelare la continuità dei servizi essenziali che caratterizzano la nostra qualità della vita, non è sufficiente individuare e proteggere le singole infrastrutture, ma occorre condurre un’analisi sistematica delle relazioni di dipendenza che intercorrono tra le diverse IC. Ciò rende possibile evidenziare quali fra queste hanno un maggiore impatto sulla corretta operatività delle altre e potrebbero, quindi, innescare un effetto domino, ossia una diffusione a catena dell’interruzione o del danno ad altre IC.
|
A titolo di esempio, nella fig. 3.5 si riporta una rappresentazione grafica (non esaustiva) delle dipendenze a monte (quelle che influenzano) e a valle (quelle che sono influenzate) del settore carburanti (in particolare per la distribuzione di carburanti, si faccia riferimento all’esempio riportato nel par.1). Nell’analisi dell’evoluzione delle dipendenze intersettoriali nel tempo occorre fotografare la situazione in diversi momenti (per esempio, 4 ore, 24 ore, 4 giorni, 4 settimane) dall’inizio di un malfunzionamento (che si suppone perdurare al momento in analisi). Una volta terminato il malfunzionamento, l’effetto domino rientra, anche se non istantaneamente (esiste sempre una isteresi nella ripresa della totale operatività, dovuta al tempo fisicamente necessario perché il rientro a regime delle infrastrutture che hanno subito il problema si “propaghi” a tutto il sistema Paese).
Inoltre, le dipendenze tra infrastrutture possono essere di natura diretta (il funzionamento di un’infrastruttura dipende direttamente da quello di un’altra infrastruttura) oppure indiretta.
In quest’ultimo caso, un’infrastruttura può es- | | Fig.3.5 Rappresentazione delle dipendenze nel settore carburanti |
sere messa in crisi da una catena di eventi di blocco, che potrebbe partire dal blocco di un settore apparentemente scorrelato. Questa circostanza rende particolarmente difficile per il singolo operatore di infrastruttura critica individuare in modo esaustivo le proprie dipendenze da altre infrastrutture; nella maggior parte dei casi, infatti, l’operatore individua esclusivamente le dipendenze dirette, non avendo visibilità sulle eventuali dipendenze che queste ultime hanno a loro volta. Inoltre, quand’anche l’operatore riuscisse ad individuare tutte le sue dipendenze, non sempre sarebbe in grado di tutelarsi rispetto ad esse: solo in alcuni casi, infatti, le relazioni di dipendenza sono coperte da una forma contrattuale che preveda opportuni SLA (Service Level Agreement); spesso, tale forma contrattuale non prevede forme di negoziazione da parte dell’utente, ma una semplice adesione ad un contratto “preconfezionato” (si pensi, ad esempio, ai tipici contratti di utenza telefonica privata).
Il metodo proposto per l’analisi delle dipendenze è illustrato nella fig. 3.6.
Il problema di analizzare le interdipendenze in questo approccio è “spezzato” in due analisi distinte: la prima, di tipo settoriale (parte sinistra della fig. 3.6), è finalizzata ad individuare le cause che potrebbero portare alla mancata fruizione di un singolo “frutto”, la seconda, di tipo strategico, utilizza le informazioni provenienti dalle varie analisi. | | Fig.3.6 Approccio per l'analisi delle dipendenze |
settoriali per individuare una strategia di coordinamento nazionale, volta a minimizzare in modo “globale” gli effetti delle interdipendenze tra settori.
I due tipi di analisi sono svolti da soggetti diversi. L’analisi settoriale, molto tecnica, è tipicamente svolta dagli operatori delle infrastrutture che mettono a disposizione un particolare frutto e che, quindi, posseggono tutte le informazioni reali che consentono di individuare le cause di una possibile indisponibilità del frutto stesso. Ovviamente, in questa analisi verranno evidenziate, in modo generale, le dipendenze da altri frutti, sui quali la struttura settoriale non ha alcuna conoscenza specifica.
Tali informazioni verranno utilizzate ad un livello di analisi più elevato, il “coordinamento nazionale”, per individuare in modo “globale” le reali interdipendenze tra i vari settori presenti nel nostro Paese. E' proprio a questo livello di coordinamento strategico che potranno essere individuate alcune soluzioni al problema delle interdipendenze che saranno di valenza più generale rispetto a quelle che potrebbero essere individuate limitando l’analisi all’interno di ogni singolo settore.
Al fine di garantire il successo del modello proposto, dovranno essere utilizzate metodologie di analisi di tipo scientifico che siano già state utilizzate con successo nel passato, sia pure per risolvere problemi di diversa natura. Un esempio di metodologia “utile” è rappresentato dal ben noto metodo di analisi “fault case” che tende ad enumerare, in un modo logicamente strutturato e completo, tutte le possibili cause di malfunzionamento di un “frutto”. Fig.3.7 | | Tale enumerazione può avvenire a diversi livelli di complessità, partendo dal più semplice che prevede l’individuazione di una semplice dipendenza non meglio specificata tra frutti diversi, fino ai casi più complicati in cui la dipendenza è descritta anche in termini quantitativi e qualitativi.
Per esemplificare questo secondo approccio, si potrebbe descrivere la dipendenza di un frutto da un altro specificando anche quali siano le caratteristiche minime in cui tale dipendenza si manifesta oltre una certa gravità (severità) oppure quale sia il grado di sostituibilità (fungibilità) del frutto “in crisi” con un altro frutto “disponibile”.
Inoltre, associate all’analisi di tipo “fault case” sono utilizzate, in ambito scientifico, metodologie che evidenziano anche i “percorsi critici”, le probabilità di occorrenza dei vari eventi, i “single point of failure”. |
Tenendo conto degli elementi sopra descritti, è possibile costruire delle mappe sintetiche di dipendenza temporale e di severità dei frutti e delle mappe di previsione dell’effetto domino. Fig.3.8 | | Entrambi questi strumenti costituiscono un fondamentale ausilio nelle fasi di prevenzione e gestione delle emergenze al fine di assumere decisioni rapide che consentano di evitare o limitare gli impatti di disservizi da un frutto verso gli altri frutti.
Due esempi di tali mappe sono mostrati nelle fig. 3.7 e 3.8.
La fig. 3.7 mostra delle matrici frutti-frutti, che “fotografano” le interdipendenze tra i frutti in diverse fasce temporali (4 ore, 24 ore, 4 giorni, 4 settimane), evidenziando con colori distinti diversi gradi di severità del disservizio: tali mappe consentono di avere un quadro di insieme delle dipendenze in vari intervalli di tempo.
La fig. 3.8 mostra l’evoluzione temporale dello |
effetto domino conseguente all’assenza del frutto x all’istante t0: l’evoluzione temporale dell’effetto domino, analizzato nelle fasce temporali 4 ore, 24 ore, 4 giorni, 4 settimane dall’evento che scatena la crisi, fornisce uno strumento fondamentale per la prevenzione e la gestione dell’emergenza al fine di prendere delle decisioni per tentare di allontanare nel tempo gli effetti più distruttivi o di limitare i danni prodotti alle popolazioni.
Concludendo questa analisi, possiamo affermare che con gli strumenti qui proposti, ed eventualmente con altri che dovessero risultare utili, sarà possibile raggiungere, oltre all’obiettivo di garantire il “governo” delle Infrastrutture Critiche nazionali, anche l’obiettivo di individuare i punti di maggiore criticità all’interno di ogni singolo ambito, punti di criticità che potranno essere mitigati in fase preventiva da ogni singola infrastruttura critica, senza necessariamente coinvolgere il livello decisionale più elevato.
Riferimenti
- [EU] Proposta di Direttiva del Consiglio relativa all'individuazione e alla designazione delle Infrastrutture Critiche europee e alla valutazione della necessità di migliorarne la protezione, 9403/08, Bruxelles, 22-05-2008.
- [DHS] National Strategy for Homeland Security, Homeland Security Council, October 2007 http://www.dhs.gov/xlibrary/assets/ nat_strat_homelandsecurity_2007.pdf.
- [G8] Best Practices for Improving CIIP in Collaboration of Governmental Bodies with Operators of Critical Information Infrastructures.
- [HB1] International CIIP Handbook 2006, an inventory of 20 national and 6 international critical Infrastructure Protection Policies, ETH, Zurich, February 2006.
- [ISA1] A Functional Model for Critical Infrastructure Information Sharing and Analysis, ISAC Council White Paper, January 31 2004; http://www.isaccouncil.org/pub/Information_Sharing_and_Analysis_013104.pdf.
- [FRA1]La protezione delle Infrastrutture Critiche: un approccio in funzione del tempo per l’analisi delle interdipendenze; L. Franchina, L. Gratta, M. Carbonelli, D. Perucchini, gennaio 2008, in corso di pubblicazione su ICT Security.
- [MAS1] Motivation and Personality, Abraham Maslow, NY, Harper, 1954.
- [LEW1]Critical Infrastructure Protection in Homeland Security Defending a Networked Networked, Ted G. Lewis, 2006 John Wiley & Sons.
- [HYS1] Critical Information Infrastructures Resilience and Protection, Maitland Hyslop, 2007 Springer Science + Business Media.
| |