Come proteggere le infrastrutture critiche


Fonte: Formiche - 6 dicembre 2016

L'analisi di Fabio Lazzini, responsabile Security Governance e Privacy di Sogei


 
 

Il concetto di infrastruttura critica nasce intorno al 2000 con il millennium bug. Il passaggio dal 1999 al 2000 ha portato per la prima volta il mondo intero a rendersi conto della propria ormai spiccata informatizzazione e dell'interdipendenza fra settori distinti dell'assetto sociale. Oggi, dopo quasi diciassette anni da allora e dopo numerose attività avviate a livello mondiale per la protezione dei diversi "sistemi Paese", possiamo trarre alcune conclusioni su quanto è stato fatto.

Proteggere il proprio sistema sociale è un obiettivo chiaro nella declinazione di ogni strategia nazionale. Il decreto legislativo 61/2011 definisce infrastruttura critica (Ic) una infrastruttura essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione, il cui danneggiamento o la cui distruzione avrebbe un impatto significativo, a causa dell'impossibilità di mantenere tali funzioni. I Governi nazionali e federali si sono occupati del tema delle infrastrutture critiche avviando processi di identificazione delle stesse, di normazione dei loro requisiti minimi di protezione, di misurazione e di successivo allineamento dei loro cosiddetti profili di maturità, intesi come livelli di consapevolezza e attenzione sul tema della protezione al fine di garantire la propria continuità nel rispetto dei vincoli di interdipendenza che i sistemi complessi nei quali siamo immersi determinano.

Cosa significhi colpire una infrastruttura critica collegata alla gestione di quantità massive di dati, per esempio i dati personali dei cittadini, è intuibile osservando alcuni fra gli attacchi più noti operanti nel territorio cibernetico degli ultimi anni.

Relativamente all'attacco alla Sony del 2011 furono rubati dati, tra cui credenziali per l'uso di carte di credito, di oltre cento milioni di clienti. Si può affermare che a fondamento delle iniziative legislative dell'Unione europea in tema di infrastrutture critiche, vi è principalmente la necessità di far fronte agli aspetti legati alla sicurezza, con particolare attenzione all'ambito dell'antiterrorismo. Se pensiamo agli ultimi attentati vediamo che un effetto secondario, ma ugualmente pervasivo, è il blocco delle attività sociali e professionali del Paese colpito e i trasporti e le attività commerciali sono i settori primi ad essere centrati rimanendo interessati per alcuni giorni.

Le infrastrutture critiche necessitano, pertanto, di livelli adeguati di protezione tanto per il loro funzionamento quanto per la sicurezza dei dati amministrati. Le minacce alla stabilità del Sistema Paese e alla garanzia del corretto uso dei dati dei cittadini sono innumerevoli e diffuse anche sul territorio cibernetico. Quest'ultimo, in particolare, fornisce ai malintenzionati oltre a quello prettamente fisico, un ulteriore livello di azione, attraverso il quale agire anche da remoto e con alcune significative risorse di occultamento delle tracce.

Nel contesto della minaccia cibernetica una strategia di protezione necessita di una "situational awareness" che non può essere raggiunta da sistemi di protezione isolati perché è necessario condividere informazioni per proteggere al meglio le organizzazioni che condividono le stesse minacce all'interno di una comunità. In molti Paesi occidentali nascono continue collaborazioni tra settore pubblico e privato al fine di creare tavoli di scambio e di analisi delle informazioni. A tal riguardo gli "Information Sharing and Analysis Center", meglio noti come Isac, rivestono un ruolo fondamentale nella condivisione delle informazioni, specialmente negli
Stati Uniti, dove questo concetto è nato (PDD-63, 1998) come contromisura preventiva con la quale il Governo ha chiesto a ogni settore che gestisce infrastrutture critiche di organizzarsi per la condivisione delle informazioni che minacciano e rendono vulnerabile il proprio ambito di competenza.

Nel tempo, gli Stati hanno elaborato strategie di sicurezza nazionale che comprendono anche gli aspetti cibernetici creando strutture governative appositamente dedicate alla "cyber defence". In tal senso è considerata fondamentale l'approvazione della Direttiva Nis (Network & Information Security) che stabilisce obblighi comuni di sicurezza per gli operatori di servizi essenziali e per i fornitori di servizi digitali.

In Italia questa Direttiva rappresenta un'ulteriore guida per definire una procedura di identificazione, designazione e conduzione delle infrastrutture critiche nazionali che allinea il nostro Paese agli altri governi europei e al contempo consolida il concetto che lo spazio cibernetico rappresenta una criticità per la continuità del sistema sociale e la salvaguardia delle identità e delle informazioni personali dei cittadini. Tale processo implicherebbe la creazione di un organismo unico ovvero l'istituzione di una struttura di missione istituita presso la presidenza del consiglio dei Ministri, che individui le infrastrutture critiche e gestisca i rapporti tra queste e il Governo per gli scopi correlati alla protezione del sistema Paese. In tal modo questo organismo governativo riceverebbe in tempo reale dai vari operatori di infrastrutture critiche, informazioni sensibili , notifiche di data-network breach, producendo de facto un avanzamento della maturità operativa del Governo in tema di cyber defence.