Oggi, sempre più spesso, si sente parlare di Infrastrutture Critiche… ma cosa sono? Come vengono gestite? E perché sono così importanti?
Per Infrastrutture Critiche si intendono “quelle risorse fisiche, servizi e installazioni, reti e risorse informatiche le cui degradazione (disruption) avrebbe un serio impatto sulla sicurezza o il benessere economico degli Europei o sul funzionamento efficace dell’Unione Europea o dei Governi degli Stati Membri”.
La Direttiva 2008/114/CE del Consiglio Europeo, dell’8 dicembre 2008, introduce una procedura per individuare e designare le infrastrutture critiche europee (ECI). L’oggetto di tale Direttiva, oltre alle procedure di individuazione delle infrastrutture, intende stabilire “un approccio comune per la valutazione della necessità di migliorarne la protezione al fine di contribuire alla protezione delle persone” [art.1, 2008/114/CE]. Nell’ambito della Direttiva, dopo aver individuato i settori sui quali intervenire in modo prioritario occorre verificare la presenza di possibili infrastrutture secondo la definizione di cui all’art. 2 lettera a) “La responsabilità principale e definitiva della protezione “e dell’identificazione” delle “Infrastrutture Critiche Europee (ICE)” ricade sugli Stati membri e sui proprietari/operatori di tali infrastrutture”.
Allo stato attuale i settori ai quali si applicano con priorità le procedure recepite anche dal nostro Paese tramite il D.Lgs 11 aprile 2011, n° 61, sono quelli dell’energia e dei trasporti e dei relativi sottosettori ovvero: Elettricità (Infrastrutture e impianti per la produzione e la trasmissione di energia elettrica e per la fornitura di elettricità), Petrolio (Infrastrutture per la produzione, raffinazione, trattamento, stoccaggio e trasporto di petrolio attraverso oleodotti), Gas (Infrastrutture per la produzione, raffinazione, trattamento, stoccaggio e trasporto di gas attraverso oleodotti e terminali GNL); Trasporto stradale, Trasporto ferroviario, Trasporto aereo, vie di navigazione interna, Trasporto oceanico, trasporto marittimo a corto raggio e porti.
In seno al Consiglio europeo l’esigenza di predisporre una strategia globale per la protezione delle Infrastrutture Critiche nacque in conseguenza delle ripercussioni dirette e indirette provocate dai gravi attentati degli anni Duemila (tra i più noti: 2001 New York Undici Settembre; 2004 Madrid 11 marzo; 2005 Londra 7 luglio; 2010 Stoccolma).
La strategia di sicurezza necessaria a garantire il corretto funzionamento delle Infrastrutture Critiche, sia in condizioni normali sia in condizioni di emergenza, richiede la predisposizione di misure e procedure comprensive di presidi strutturali ex ante e ex post, non ancora completamente definiti dal punto di vista operativo.
Infatti, dal Primo Rapporto sulla Sicurezza Informatica nella Pubblica Amministrazione – CIS/AGID 2015, è emerso che in Italia, nella Pubblica Amministrazione, solo 22 amministrazioni su 42 hanno sufficiente organizzazione e consapevolezza del rischio, che nessuna amministrazione regionale tra quelle esaminate ottiene il punteggio minimo e 14 hanno manifestato criticità gravi in materia di sicurezza.
Il 21% delle 42 amministrazioni pubbliche centrali italiane analizzate ha dichiarato di aver subito più di 10 mila cyber attack nell’ultimo anno. Gli attacchi agli ospedali sono aumentati dal 2014 del 200%.
Dal rapporto è emerso che i difetti principali in materia di sicurezza delle infrastrutture critiche nazionali sono: mancanza di risk assessment, mancanza di un piano di risposta agli attacchi e mancanza di un integrated security management system; mancanza di sistemi di controllo di identità fisiche e logiche; mancanza di pentesting e di vulnerability assessment; mancanza di un gruppo/comitato di gestione degli incidenti; mancanza di verifiche periodiche dell’organizzazione e del funzionamento della sicurezza ICT; mancanza di definizione e/o approvazione del Piano di sicurezza ICT.
Certamente un “quadro strategico nazionale” che miri al miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati sarebbe fondamentale. Inoltre sono di elevata importanza procedure come:
– il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il Sistema-Paese;
– l’incentivazione della cooperazione tra istituzioni ed imprese nazionali;
– la diffusione della cultura della sicurezza;
– il rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali on-line;
– il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica;
– la promozione e diffusione della cultura della sicurezza informatica;
– la formazione e addestramento;
– l’ implementazione di un sistema di information risk managemetn nazionale.
