Articoli

Quando l’infrastruttura è critica

21/12/2012

La redazione

 

In passato un attacco terroristico prevedeva, “semplicemente”, di posizionare una bomba in un luogo particolarmente affollato, preferibilmente su un aereo, o di elevato valore simbolico e provocare il maggior numero di morti possibili. A fronte di un simile evento, gli Stati si difendevano dispiegando uomini armati a difesa degli obiettivi sensibili o attivando azioni di intelligence, per intercettare i terroristi ancor prima che tentassero la propria azione. Benché non banale, tutto questo era relativamente semplice e, anche nella malaugurata ipotesi che un’iniziativa terroristica avesse successo, gli effetti erano circoscritti a una specifica area. Con la globalizzazione, ma anche con la sempre maggiore dipendenza della nostra società dalla tecnologia, le strategie terroristiche sono in evoluzione. A confermare l’allarme è il Ministero della Difesa, il cui Centro Militare di Studi Strategici ha diffuso lo studio “La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici”.

 

L’attenzione, in particolare, si sta concentrando sulle infrastrutture critiche (Ic), ovvero quelle che il Decreto Legislativo 61/2011 identifica come essenziali “per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo”. Il Decreto definisce inoltre Infrastruttura critica europea (Ice) un’infrastruttura “il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri”. Alla luce di questa definizione, la Difesa sottolinea come “l’estensione e la quantità di asset che compongono tali infrastrutture rende praticamente impossibile una loro protezione globale, ciò anche in relazione al fatto che la tipologia delle minacce si va, a causa dei fenomeni di interdipendenza, amplificando e generalizzando. In questo contesto terroristi, o più in generale i criminali, potrebbero effettuare attacchi contro tali infrastrutture, identificate come target attrattivi, sia per gli effetti materiali e psicologici legati al venir meno dei servizi essenziali che esse erogano alla popolazione, sia per la relativa facilità di individuazione ed accesso alle stesse”.

 

Le “paure” internazionali

 

Le preoccupazioni sottolineate dal nostro Ministero della Difesa sono confermate anche a livello internazionale, al punto che il report “Previsioni sulle minacce nel 2012”, pubblicato da McAfee, non lascia dubbi sul fatto che, tra le principali minacce dei prossimi mesi, sarà indispensabile confrontarsi anche con gli attacchi industriali di alto profilo e le dimostrazioni di guerra cybernetica, spesso condotti per motivazioni politiche o di notorietà. Lo studio parte dalla considerazione che, sulla scorta dell’importanza fondamentale di servizi di pubblica utilità come acqua, elettricità, petrolio e gas, proprio le reti di distribuzione saranno prese particolarmente di mira, sfruttando il fatto che “molti sistemi industriali non sono preparati per affrontare attacchi cybernetici. Molti degli ambienti in cui i sistemi Scada vengono implementati non dispongono di pratiche di sicurezza rigorose”.

 

Proprio il coinvolgimento di un’azienda specializzata nell’ambito Ict dimostra come gli attentatori non si “limitino” più a piazzare bombe o sparare all’impazzata, ma stiano sviluppando tecniche di attacco sempre più sofisticate. Eclatante quanto accaduto con Stuxnet, il virus sviluppato per bloccare l’industria nucleare iraniana. Un esempio del fatto che il codice dannoso può dar luogo a una risposta cybernetica nel mondo reale. Sicuramente meno eclatante, ma significativo, quanto accaduto in Olanda. In un Paese in cui il corretto funzionamento dei sistemi di pompaggio dell’acqua è vitale, un’emittente televisiva ha mostrato a tutto il mondo come, con disarmante facilità, sia stato possibile assumere il controllo degli impianti della contea di Veere. La violazione, seppur a scopo dimostrativo, ha permesso all’autore di porsi nelle condizioni per controllare da remoto l’attivazione o la disattivazione del sistema di gestione delle acque.

 

Prevenire e reagire

 

Anche se da poco tempo l’opinione pubblica sta prendendo coscienza di questa situazione, a livello europeo il pericolo è stato compreso già da anni. Al punto che già nel 2008, con il varo della Direttiva 2008/114/Ce, recepita in Italia con il Decreto Legislativo 61/2011, è stato posto l’accento sulla necessità di stilare adeguati piani di protezione e reazione per simili realtà. La nuova norma, in particolare, prevede che ogni azienda proprietaria di infrastrutture ritenute “critiche” debba avere un responsabile della sicurezza unico, incaricato di rappresentare il punto di contatto per tutte le problematiche di sicurezza, con le autorità locali e nazionali. Tali aziende sono inoltre chiamate a redigere un “Piano della Sicurezza dell’Operatore” (Pso), validato e approvato dalle autorità competenti, con una dettagliata analisi di minacce e vulnerabilità, corredato dalle contromisure da adottare in funzione delle specifiche situazioni di rischio.

 

Trattandosi di una situazione di “emergenza”, con la necessità di ingenti investimenti in termini economici e di competenze, è stato stabilito di assegnare la priorità ai settori dell’energia e dei trasporti, con l’obiettivo dichiarato di migliorarne la protezione e la sicurezza, anche a fronte di guasti accidentali ed eventi naturali. In particolare, nell’allegato A, vengono citate esplicitamente le “infrastrutture e impianti per la produzione e la trasmissione di energia elettrica e per la fornitura di elettricità”. Ma vengono ovviamente considerati anche gli impianti necessari per la produzione, lo stoccaggio e la distribuzione di gas e prodotti petroliferi. Per quanto riguarda i trasporti, invece, il documento individua l’ambito stradale, ferroviario, aereo e marittimo. Da qui la necessità, fissata dal Decreto, di stabilire le procedure per “l’individuazione e la designazione di Infrastrutture critiche europee (Ice)”, nonché le modalità di “valutazione della sicurezza di tali infrastrutture e le relative prescrizioni minime di protezione dalle minacce di origine umana, accidentale e volontaria, tecnologica e dalle catastrofi naturali”.

 

É inoltre interessante sottolineare come la classificazione di “criticità” dipenda, ovviamente, dalle possibili conseguenze che un’interruzione o un guasto potrebbero avere sulla popolazione civile. Per tale ragione il Decreto ha fissato una serie di criteri di valutazione:

  1. le possibili vittime, in termini di numero di morti e di feriti
  2. le possibili conseguenze economiche, in termini di perdite finanziarie, di deterioramento del bene o servizio e di effetti ambientali;
  3. le possibili conseguenze per la popolazione, in termini di fiducia nelle istituzioni, di sofferenze fisiche e di perturbazione della vita quotidiana, considerando anche la perdita di servizi.

Al di là dei ritardi con cui si sta attuando questo piano in Italia, il Ministero della Difesa ha posto l’attenzione sui costi della non sicurezza: “Il non-investire in sicurezza (nell’accezione di garantire la continuità operativa delle diverse infrastrutture critiche) comporterà una crescente emarginazione dello specifico Stato nello scenario mondiale. Infatti, aumentando il divario fra Paesi “affidabili” e Paesi in cui i rischi sistemici sono maggiori, il flusso degli investimenti internazionali andrà a ridursi in questi ultimi a beneficio dei primi, accentuando in tal modo l’effetto di “divide”. Inoltre quei Paesi/soggetti considerati non affidabili avranno maggiore difficoltà (e quindi un costo maggiore) ad accedere alle grandi infrastrutture internazionali”.

 


pagina precedente