Infrastrutture Critiche, cosa sono e come proteggerle
La continuità delle funzioni e la sicurezza delle attività in alcuni settori critici sono rilevanti per il loro ruolo strategico ed essenziale a supporto della sicurezza e della vita del Paese.
Cosa sono le infrastrutture critiche?
La Direttiva Europea 2008/114/CE definisce l’infrastruttura critica come “un elemento, un sistema o parte di questo […] che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo […] a causa dell’impossibilità di mantenere tali funzioni”.
La Direttiva è stata attuata in Italia attraverso il D.Lgs n°61 dell’11 Aprile 2011. Tramite il Decreto Legislativo si acquisiscono inoltre le metodologie e gli strumenti, definiti in ambito europeo, per individuare anche le Infrastrutture Critiche di interesse nazionale.
Sicurezza delle infrastrutture critiche: rischi e minacce
Fondamentale nella definizione e nella gestione delle Infrastrutture Critiche è l’identificazione dei rischi e degli impatti di una minaccia su di un determinato settore. Le minacce possono essere di tipo naturale – prevedibili o imprevedibili – che nel nostro Paese si individuano in particolare nel rischio idrogeologico, alluvioni, terremoti, attività vulcaniche ed incendi; oppure di natura antropica, sia volontarie come un attacco terroristico, che accidentali, come un errore umano.
L’impatto che tali minacce possono avere sul settore individuato come essenziale, si delinea come uno strumento basilare per permettere di definire la criticità dell’infrastruttura. L’Unione Europea ha infatti definito come criterio per determinare le Infrastrutture Critiche l’impatto che una crisi potrebbe avere in termini di vittime, di effetti economici (intesi come perdite e deterioramento di prodotti e servizi) e di effetti pubblici, ossia l’impatto sulla fiducia dei cittadini, il turbamento della vita quotidiana e la salute pubblica. Tra i rischi non naturali acquista sempre più rilevanza, come già riportato, l’utilizzo dello spazio cibernetico. La minaccia si sta infatti evolvendo e ciò permette di individuare nuovi settori critici e di sottolineare la complessità e l’importanza dell’interconnessione tra di essi.
Esempi di infrastrutture critiche e rischi cibernetici
Basti pensare a quante infrastrutture fondamentali sono informatizzate, utilizzano servizi in rete e la tecnologia informatica è centrale o necessaria al loro funzionamento. La lista potrebbe partire dalla stessa infrastruttura di telecomunicazioni e comprendere il settore dell’energia, della salute pubblica, dei trasporti, della finanza e del credito, della pubblica amministrazione, come della difesa e della sicurezza pubblica.
Un esempio ci permette di comprendere con chiarezza il rischio che attraversa lo spazio cibernetico: sono noti e non rari eventi di incidenti, spesso intenzionali e frutto di azioni malevole, che colpiscono i sistemi informatici SCADA, ossia di controllo di supervisione ed acquisizione di dati, demandati al monitoraggio e al controllo di sistemi fisici dei processi industriali. Un attacco cibernetico con potenziali ripercussioni fisiche potrebbe portare all’interruzione ed al deterioramento di processi essenziali, il cui impatto potrebbe risultare considerevole in termini di vittime, di perdita economica e di effetti sulla vita pubblica.
Gestione dei rischi e investimenti nella sicurezza delle infrastrutture critiche
Una valutazione ed una gestione dei rischi per le Infrastrutture Critiche sono quindi necessarie, così come lo è investire risorse nella loro messa in sicurezza e nel miglioramento della loro resilienza e robustezza. Osservata la potenziale gravità dell’impatto, si può convenire sul fatto che il costo di una mancata sicurezza potrebbe risultare ancor maggiore dell’investimento, soprattutto perché potrebbero essere colpiti elementi vitali di un Paese e delle sue funzioni. Un’analisi dei costi di una scarsa sicurezza permette di osservare sia le potenziali perdite immediate, ma anche quelle indirette, definibili come la mancanza di fiducia nelle istituzioni, la perturbazione dell’ordine sociale e gli effetti reputazionali negativi sulle aziende coinvolte.
Fondamentale è quindi l’osservazione di best practice e di standard di sicurezza riconosciuti a livello internazionale ed in particolare definire delle politiche che permettano di gestire ed ottimizzare la sicurezza delle Infrastrutture Critiche in funzione dell’interdipendenza del settore pubblico e privato in tale ambito.
Cooperazione pubblico-privato e information sharing
Nel campo della sicurezza delle Infrastrutture Critiche attori pubblici e privati si trovano a cooperare proprio in ragione dell’interconnessione delle infrastrutture stesse, che diventano così realtà più complesse e reciprocamente dipendenti, e che necessitano di coordinamento per affrontare le vulnerabilità che in tale sistema reticolare potrebbero portare ad un pericoloso effetto domino. Tale interconnessione è ancor più rilevante ed evidente nello spazio cibernetico, dove – come sottolineato anche dal DPCM del 24 Gennaio 2013 – la gestione della sicurezza è compito tanto delle realtà pubbliche quanto delle società private.
In questo scenario acquisisce un valore particolare l’information sharing tra gli operatori delle Infrastrutture Critiche, che permette un’amministrazione più efficace delle interconnessioni, condividendo informazioni relative ai rischi, alle minacce, alle soluzioni adottate ed alle pratiche di sicurezza che permettano di rispondere con reattività ed organicità ad una situazione di crisi condivisa.
A cura di: Luisa Franchina, Presidente AIIC