Reti elettriche, acquedotti, strade, ospedali. Sono queste le prime cose che ci vengono in mente quando pensiamo al concetto di infrastruttura critica: strutture e servizi necessari, con il loro funzionamento continuo e coordinato, allo sviluppo, alla sicurezza e alla qualità della vita. In realtà stabilire che cosa sia un’infrastruttura e quando questa sia “critica” non è così banale, tant’è che se n’è occupato diverse volte il Legislatore. Per approfondire questo tema abbiamo intervistato Luisa Franchina, presidente di AIIC – Associazione Italiana Esperti Infrastrutture Critiche.
Indice degli argomenti
Quali sono le infrastrutture critiche
Secondo la definizione ufficiale di Infrastrutture Critiche contenuta nel decreto legislativo 61/2011 adottato in esecuzione della direttiva 114/2008 della Commissione Europea, Infrastruttura è un elemento, un sistema o parte di questo, che contribuisce al mantenimento delle funzioni della società, della salute, della sicurezza e del benessere economico e sociale della popolazione; Infrastruttura Critica (IC) è invece un’infrastruttura, ubicata in uno Stato membro dell’Unione europea, che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in quello Stato, a causa dell’impossibilità di mantenere tali funzioni; infine, Infrastruttura Critica europea (ICE) è un’infrastruttura critica ubicata negli Stati membri dell’UE il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri.
“La rilevanza di tale impatto è valutata in termini intersettoriali”, spiega Luisa Franchina. “Bisogna infatti tenere presente che la criticità alla quale ci riferiamo è spesso caratterizzata dalla interdipendenza di diverse strutture anche relative a servizi molto differenti. Questo aspetto assume particolare evidenza nelle reti telematiche, in un mondo sempre più automatizzato che, in pochi decenni, ha sviluppato grandi potenzialità e vulnerabilità. Per questo è molto importante l’attuazione della strategia Europea per la Cyber Security del 2013 attraverso la Direttiva NIS (Network & Information Security), approvata dal Consiglio Europeo il 17 maggio 2016. La direttiva è finalizzata a incrementare la preparazione e la cooperazione degli Stati membri nell’ambito della sicurezza informatica, fornendo al tempo stesso agli operatori di servizi essenziali e servizi digitali quello che può considerarsi il primo quadro normativo unitario sulla sicurezza dei sistemi, delle reti e delle informazioni”.
La direttiva NIS parla quindi di “servizi essenziali” e non più di “Infrastrutture Critiche” sottolineando in tal modo la centralità di tali servizi e offrendo una focalizzazione ancora più forte sul concetto di servizio (erogato da infrastrutture o gruppi di infrastrutture, materiali e immateriali). “Va notato che la direttiva NIS è limitata alla sicurezza informatica – spiega l’ing. Franchina – ma si applica anche ad entità diverse dalle Infrastrutture Critiche ed è molto articolata nelle norme e negli strumenti, con riguardo tra l’altro all’individuazione dei servizi essenziali e dei servizi digitali, alla valutazione della gravità degli incidenti, agli obblighi procedurali anche di comunicazione. Soprattutto la direttiva mira al coordinamento europeo, proprio nella consapevolezza delle interdipendenze che superano le frontiere politiche”.
I possibili rischi
Quali sono i rischi dai quali occorre proteggere le infrastrutture che sono preposte all’erogazione dei servizi pubblici essenziali? “Sicuramente la minaccia terroristica è un tema molto attuale – spiega l’ing. Franchina – ma non si devono dimenticare azioni con altri fini illeciti, come quelli legati al furto e all’abuso di dati personali e di segreti industriali. Anche trascuratezze non dolose possono provocare effetti indesiderati e perfino drammatici”.
Sotto il profilo della criticità occorre prestare particolare attenzione alle interconnessioni, per prevenire l’effetto-domino. “Lo Stato deve fare il possibile per proteggere le Infrastrutture Critiche da rischi che potrebbero inficiare il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione. Per questo, regole, ma anzitutto informazione e formazione, devono riguardare anche i privati e perfino la popolazione, considerato che molti servizi sono gestiti con modalità privatistiche e che, soprattutto per le procedure telematiche, la interazione con gli utenti espone a criticità aggiuntive”, commenta l’ing. Franchina.
Un problema anche culturale
Negli Stati Uniti, pionieri della cultura digitale, l’informatica sarà insegnata nelle scuole elementari, nella convinzione che solo con un’adeguata diffusione dell’alfabetizzazione digitale possa prosperare l’economia. A che punto siamo in Italia? “Anche in Italia, forse con minore tempestività, è stato varato il piano nazionale Scuola Digitale e aziende italiane si stanno specializzando in servizi collegati a questi temi. Un aspetto importante è la diffusione della cultura informatica, cosa ben diversa dal semplice l’addestramento all’uso di programmi molto noti. In questa direzione va ad esempio il progetto Programma il futuro, parte del piano nazionale per la Scuola Digitale, che intende far capire agli studenti delle scuole primarie la logica negli strumenti informatici e avvicinarli al pensiero computazionale. Dal punto di vista del funzionamento e della sicurezza della società e delle Infrastrutture Critiche è importante che i cittadini siano consapevoli delle implicazioni dell’uso degli strumenti informatici e che si sviluppino competenze”.
Quali sono le iniziative che AIIC sta mettendo in campo per aumentare la awareness su questi temi? “AIIC ha tra i propri scopi lo sviluppo e la diffusione di analisi e cultura riguardo le Infrastrutture Critiche e la loro protezione. Ha all’attivo studi, convegni e rapporti e bandisce il premio Razzè per tesi di laurea sulle Infrastrutture Critiche. Quest’anno i soci di AIIC sono stati chiamati a collaborare in diversi gruppi di lavoro, in particolare connessi all’applicazione nell’ambito delle Infrastrutture Critiche del Framework Nazionale per la Cyber Security”.
Il capitolo Cyber Security
Già, il Framework Nazionale di Cyber Security. Di che cosa si tratta? “In pratica è un documento che indica un ‘quadro di riferimento’ per offrire alle organizzazioni un approccio omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber, cioè quella relativa alla gestione digitale di reti e servizi. L’approccio del framework è intimamente legato a un’analisi del rischio e a metodologie e non a standard tecnologici. Il Framework è stato prodotto da CIS-Sapienza e dal Laboratorio Nazionale di Cyber Security, in collaborazione con diverse organizzazioni pubbliche e private. AIIC ha dato alcuni contributi e, soprattutto, è ora impegnata, tramite suoi gruppi di lavoro, nel formulare indicazioni per la migliore applicazione dello schema alle Infrastrutture Critiche. Bisogna tenere presente che parliamo di una cornice di indicazioni tra loro sistemicamente molto collegate ma da adattare ai diversi contesti, secondo metodologie che sono pure parte del Framework”.
Il continuo aumento di attacchi informatici nel mondo a industrie, nodi dell’informazione e altre infrastrutture fa temere che possa esistere un concreto rischio di un cyber attacco che possa bloccare l’Italia. È un timore fondato? “Non si hanno evidenze di un pericolo imminente; concettualmente un attacco sistemico è possibile in qualsiasi Paese. Quotidianamente, in tutto il mondo, sono moltissimi i tentativi di intromissione nei sistemi informatici attraverso Internet. È necessario sviluppare e applicare alti livelli di sicurezza in tutte le reti di dati, senza dimenticare che le minacce non viaggiano solo su Internet. Ci sono stati casi, anche recenti, di clamorosi furti di dati e di contagi con codice informatico dannoso, anche involontari, attraverso accessi diretti alle macchine, ad esempio collegandovi memorie esterne. Anche semplici errori nelle procedure possono bloccare servizi molto importanti”.
Verso un piano nazionale
Il direttore del Dipartimento delle informazioni per la sicurezza, Alessandro Pansa, ha recentemente dichiarato che il Paese ha bisogno di un Progetto Nazionale di Cybersecurity, che – in una nuova accezione di Sicurezza Nazionale – possa confrontarsi con le nuove minacce. Questo Progetto potrebbe, secondo Pansa, beneficiare della dotazione messa a disposizione dalla legge di stabilità per il 2016. Siamo sulla giusta strada?
“Certamente. L’approccio sistemico ed una visione strategica sono necessari, anche perché è un sistema complesso e complessivo quello che dobbiamo proteggere. Ed è giusto tenere conto della differenza in termini di competitività del paese data da adeguati livelli di sicurezza, oltre che del possibile contributo degli investimenti ad un volano economico”, commenta l’ing. Franchina.
Perché conoscere e affrontare un tema come quello della cyber security ha a che fare anche con la competitività delle imprese e del sistema paese? “Da un lato il blocco dei servizi pubblici o privati, ma anche un gran numero di piccole difficoltà, riducono drasticamente efficienza ed efficacia nel sistema paese; dall’altro, se ritenessero di avere standard di sicurezza inferiori che altrove, investitori internazionali e partner anche politici sarebbero meno disposti ad investire e collaborare nel nostro paese”.
L’anello debole della catena
Uno dei gruppi di lavoro di AIIC è dedicato alla supply chain: perché la security è un tema che va al di là dei tradizionali confini aziendali? “La sicurezza si misura sull’anello debole della catena, è inutile mettere in sicurezza un sistema se non si mette in sicurezza anche la sua catena di fornitura. Anche le grandi aziende si avvalgono di forniture esterne per l’energia, le materie prime, i semilavorati, ma sempre più pure per servizi che confluiscono come in filiera nel prodotto finale, spesso arricchito da elementi collaterali per l’assistenza e altri rapporti con i clienti. Se viene a mancare un elemento necessario al risultato finale si può bloccare tutto. Questa non è una novità. Ma l’interconnessione di procedure digitali ha elevato molto la complessità. Il sub-fornitore può creare problemi non solo se non fornisce quanto stabilito ma anche se le sue procedure insufficientemente sicure fungono da cavallo di Troia per attaccare la struttura cliente. Vale anche la reciproca: tutti sono responsabili delle loro possibili interferenze sull’intera filiera. E l’affidabilità del personale rimane un altro aspetto da non dimenticare. Non sempre l’elettronica è il solo punto debole. Il gruppo di lavoro di AIIC ha preso in esame due casi reali di grandi aziende italiane e dei loro fornitori suddivisi per tipologie di fornitura e conseguenti punti di intersezione diversi nelle procedure della azienda cliente. In tal modo si stanno identificando le particolari criticità e delineando distinti profili di sicurezza collocati nel sistema del FrameWork”.
Luisa Franchina, presidente dell’Associazione Italiana Infrastrutture Critiche, è ingegnere elettronico con dottorato e post dottorato di ricerca in ingegneria elettronica (Università di Roma la Sapienza) e master in geopolitica (IASD) del Centro Alti Studi Difesa. Ha conseguito la qualifica militare CBRN presso la Scuola di Rieti. Ha lavorato come ricercatore in alcune università estere (Sud America e far east) e come consulente in Spagna. È stata Direttore Generale della Segreteria per le Infrastrutture Critiche (Presidenza del Consiglio dei Ministri 2010-2013), Direttore Generale del Nucleo Operativo per gli attentati nucleari, biologici, chimici e radiologici (Dipartimento della Protezione Civile 2006-2010) e Direttore Generale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Ministero delle Comunicazioni 2003-2006). Attualmente ha fondato una azienda che eroga servizi di gestione del rischio, informative e reporting. Docente presso master specialistici di alcune università (Sapienza, Tor Vergata, SIOI – scuola della Farnesina, Campus Biomedico, Bocconi, Università di Milano, ecc.) in temi di sicurezza. Ha pubblicato numerosi articoli e libri su temi di sicurezza e protezione infrastrutture critiche.