Lo sviluppo, la sicurezza e la qualità della vita nei paesi industrializzati dipendono sempre più dal funzionamento, continuo e coordinato, di un insieme di infrastrutture che, per la loro importanza, sono definite Infrastrutture Critiche.

Con tale termine si intende un sistema, una risorsa, un processo, la cui distruzione, interruzione o anche parziale e momentanea indisponibilità ha l’effetto di indebolire in maniera significativa l'efficienza e il funzionamento normale di un Paese.

Lo sviluppo tecnologico, finanziario e sociale dei paesi industrializzati dipende, e dipenderà sempre più, dalla disponibilità e dal corretto funzionamento di infrastrutture tecnologiche quali: rete di trasmissione e distribuzione dell’energia (elettrica, del gas ecc.), reti di telecomunicazione, reti di calcolatori, reti di trasporto (automobilistico, ferroviario, aereo ecc.), sistema sanitario, circuiti bancari e finanziari, sistemi idrici ecc..

Per la loro rilevanza queste infrastrutture sono generalmente indicate globalmente con il termine di Infrastrutture Critiche poiché un loro non corretto funzionamento, anche per un periodo di tempo limitato, può incidere negativamente sull’economia di singoli o di gruppi, comportando perdite economiche se non addirittura mettendo a rischio la sicurezza di cose e persone. 

Fino a qualche decennio fa, ognuna di queste infrastrutture poteva considerarsi un sistema autonomo, sostanzialmente indipendente e gestito da operatori verticalmente integrati. Per un insieme di motivi di natura tecnologica, economica e sociale tale struttura si è profondamente modificata. Le varie infrastrutture tendono, infatti, ad essere sempre più strettamente connesse, al punto che esse risultano interdipendenti. Ciò comporta che un guasto (di natura accidentale o dolosa) in una di loro può facilmente propagarsi con un meccanismo di domino alle altre, amplificando i suoi effetti e provocando disfunzioni e malfunzionamenti anche ad utenti remoti, sia dal punto di vista geografico che funzionale, rispetto dove si era originariamente generato il guasto. 

Negli ultimi anni si sono avuti diversi episodi rappresentativi del livello di interdipendenza esistente fra le diverse infrastrutture tecnologiche. Il più famoso è certamente quello occorso nel 1998 al Galaxy IV, il satellite per telecomunicazioni in orbita geostazionaria sulla costa occidentale degli Stati Uniti. Il suo guasto comportò che circa 20 voli della United Airline in fase di decollo subirono ritardi di diverse ore a causa della mancata comunicazione del clima in quota, alcune emittenti radiofoniche rimasero oscurate, ma la cosa più sorprendente furono le conseguenze sul sistema di trasporto viario. Infatti, a causa dell’impossibilità di processare le carte di credito nelle aree di servizio lungo le autostrade (che utilizzavano le comunicazioni satellitari per la connessione con i circuiti degli enti emettitori) vi furono notevoli difficoltà nell’effettuare i rifornimenti di carburante. 

Un altro esempio è fornito dal worm “slammer” che il 25 gennaio 2003 si è rapidamente diffuso su Internet. Questo worm sfruttava una nota vulnerabilità nel sistema SQL 2000 server di Microsoft e comportò un incremento anomalo nel traffico IP. Questo ha causato, oltre ai prevedibili problemi di accessibilità a molti siti e ai servizi erogati tramite Internet, anche conseguenze al sistema bancario e finanziario (negli USA circa 13.000 apparecchi bancomat andarono fuori servizio, in Italia in 11.000 Uffici Postali non fu possibile eseguire operazioni finanziarie e l’intero sistema bancario e finanziario del sud-est asiatico rimase quasi completamente bloccato), ai trasporti aerei (diversi voli in partenza dall’aeroporto di Huston subirono pesanti ritardi o furono cancellati) ed ai sistemi di emergenza (il call-center per chiamate di emergenza di Seattle andò fuori servizio lasciando scoperto un bacino di utenza di circa 165.000 persone

Cosa succede nel Mondo

Governi  stanno studiando e realizzando misure precauzionali per ridurre il rischio che le infrastrutture critiche vengano a mancare in caso di guerra, disastri naturali, scioperi, vandalismi o sabotaggi.

A livello internazionale l’intera problematica riguardante la protezione delle Infrastrutture Critiche è indicata con il termine CIP – Critical Infrastructure Protection. Nell’ambito della problematica delle CIP, quando si focalizza l’attenzione principalmente sugli aspetti di vulnerabilità ed interdipendenza introdotti dalla presenza del cyberspace, si tende a parlare di CIIP – Critical Information Infrastructure Protection.

Gli Stati Uniti hanno cominciato nel 1996 a studiare questo problema. Gli eventi tragici degli scorsi anni (in particolare l'attacco terroristico dell'11 settembre 2001) hanno, ovviamente, accresciuto l’interesse per la tematica, e portato la problematica ai primissimi posti nell’agenda governativa con l’emanazione nel luglio del 2006 del NIPP – National Infrastructure Protection Plan.

L’Unione Europea è fortemente impegnata su questo tema promuovendo al livello scientifico e tecnologico attività di ricerca e a livello normativo e regolamentare con la proposizione del EPCIP (European Program on Critical Infrastructure Protection.

In Italia l'AIIC (Associazione esperti Italiani Infrastrutture Critiche) presieduta dal Prof. Salvatore Tucci, che riunisce i maggiori esperti del settore, sta sviluppando una cultura e un'attenzione (tecnica, scientifica e accademica) qualificate per questi temi, per le loro vulnerabilità esistenti e, soprattutto, per prevenire le conseguenze della crescente interconnessione sulla normale vita del Sistema Paese. Uno degli aspetti di ricerca di maggiore interesse ed attualità è lo sviluppo di modelli e strumenti di ausilio allo studio e alla comprensione del comportamento delle diverse infrastrutture critiche in presenza di interdipendenze reciproche. Infatti, la presenza di queste induce una complessità che sembra essere superiore a quella gestibile dagli strumenti metodologici su cui si basano gli attuali paradigmi di modellazione e simulazione.

Infrastrutture critiche: chi le protegge?

Per la difesa e protezione dell’infrastrutture critiche sono necessarie e attese delle azioni da parte governativa, da parte delle aziende che le gestiscono, ma soprattutto da parte dei singoli che agiscono all’interno di una cultura orientata alla sicurezza con una visione ampia sui sistemi oltre che sui componenti. Progettisti, Consulenti, Responsabili IT e Responsabili della sicurezza aziendale, ma anche esponenti del mondo accademico, sono gli esperti da cui dipende il funzionamento e la protezione di molte infrastrutture strategiche. Da loro deve venire lo sviluppo di nuovi approcci e metodologie per ridurre le vulnerabilità e fronteggiare le nuove minacce a cui questi complessi sistemi, sempre più indispensabili per il nostro vivere quotidiano e la sicurezza e prosperità di un Paese, sono soggetti.

Information Sharing

L’information sharing, ciò di cui stiamo parlando, è il terreno su cui sono più avanti gli americani. Il governo Usa è partito già alla fine degli anni ’90; oggi vi sono 14 Isac (Information Sharing and Analysis Centre) a presidio di altrettanti settori, coordinati da una struttura orizzontale, l’Isac Council.

Missione degli Isac è costruire una rete di responsabili di aziende ed enti per prevenire eventi pericolosi o accelerare il ripristino della normalità in caso di attacco o emergenza dovuta a cause naturali. Ogni struttura riunisce esperti e tecnici che condividono informazioni e dati relativi ad attacchi e vulnerabilità informatiche. Scopo degli Isac è acquisire una visione globale e aggiornata dei rischi, delle minacce, degli attacchi che possono compromettere il funzionamento delle infrastrutture. Gli Isac lavorano a stretto contatto con il governo federale, con uno scambio continuo di informazioni.

Emblematico il caso dell’uragano Katrina: durante tutto il periodo della crisi il Council ha ricevuto dal governo un report quotidiano che indicava di volta in volta le criticità che si manifestavano con la sollecitazione a contribuire per le sue competenze. La rete di persone chiave nelle aziende e negli enti era al corrente dell’evolversi della situazione e poteva reagire per le competenze proprie, ma in base a una visione d’insieme.

Pin It on Pinterest

%d blogger hanno fatto clic su Mi Piace per questo: