Il corretto funzionamento delle infrastrutture critiche (IC) è un prerequisito fondamentale per l’integrità degli elementi vitali alla base del funzionamento delle moderne società. La sicurezza e la resilienza di tali infrastrutture, infatti, sono imprescindibili per il corretto esercizio delle libertà fondamentali dei cittadini e per la realizzazione delle normali attività svolte all’interno delle collettività e delle relative economie.
Tuttavia, alcune peculiari infrastrutture – in particolare gli impianti e i siti industriali maggiormente sensibili (c.d. Sensitive Industrial Plants and Sites – SIPS) – risultano particolarmente esposti a rischi elevati a causa dell’alta probabilità che si verifichino incidenti associati alla presenza di sostanze pericolose.
Infrastrutture critiche bersaglio di attacchi cyber-fisici
Per far fronte al problema, negli anni sono stati sviluppati ed implementati diversi strumenti tecnici e manageriali ispirati all’approccio classico della valutazione della sicurezza industriale che considera i SIPS potenziali fonti di rischio. Dal momento che nell’ambito dell’infrastrutture critiche – ed in particolare degli impianti e dei siti industriali maggiormente sensibili – violazioni della sicurezza possono condurre ad incidenti di sicurezza (fenomeni che nella letteratura scientifica vengono classificati come “security-induced safety cases“), gli approcci e gli strumenti classici devono essere sviluppati in modo tale da fornire risposte efficaci ed economicamente efficienti che consentano un’analisi dettagliata delle complesse interdipendenze esistenti tra le vulnerabilità di sicurezza – sia nel contesto cyber, sia in quello fisico – e le proprietà di sicurezza delle infrastrutture da proteggere.
Tale caratteristica – ancora carente nelle offerte commerciali attualmente disponibili – risulta fondamentale per la realizzazione di un quadro di progettazione e di valutazione che sia effettivamente orientato alla resilienza e che al contempo consenta agli operatori di far fronte agli impegnativi requisiti congiunti di sicurezza e protezione degli SIPS. Inoltre, assume particolare rilievo all’interno dell’emergente panorama europeo della sicurezza dal momento in cui i SIPS risultano essere sempre più il bersaglio di nuove categorie di attacchi che potrebbero essere definiti “ibridi”, cioè di natura cyber-fisica (un esempio è rappresentato dal caso di un attacco informatico che disabilita il meccanismo di protezione, aprendo così la strada a un forse più devastante attacco terroristico). Un problema questo che risulta ulteriormente esacerbato dall’avvento dell’Industrial Internet of Things (IIoT) e dalla rivoluzione industriale 4.0.
Alla luce di tale complesso panorama, diviene pertanto necessario compiere oggi un importante passo avanti nelle tecniche e negli strumenti relativi alla progettazione e alla valutazione degli SIPS per far fronte a queste peculiari sfide e garantire che non si verifichino interruzioni nel funzionamento dei sistemi vitali tali da mettere a rischio le nostre società ed economie.
Sicurezza dei siti industriali, le mosse dell’Europa
Tale obiettivo, particolarmente sentito a livello nazionale e sovranazionale, è al centro di una serie di interventi promossi dal legislatore europeo e finalizzati a limitare i rischi connessi alla sicurezza delle infrastrutture critiche. Particolarmente significativa in tal senso è la direttiva 2012/18/UE – c.d. direttiva Seveso[1] – che mira alla prevenzione degli incidenti rilevanti che coinvolgono sostanze pericolose e al rafforzamento delle misure di intervento da adottare in caso di tali avvenimenti dannosi attraverso la previsione di un quadro specifico di obblighi e di limitazioni a carico delle imprese e degli Stati membri, nonché mediante il riconoscimento di una serie di diritti esercitabili da parte dei cittadini coinvolti, con particolare riferimento a quelli che risiedono nelle prossimità di tali strutture critiche.
Inoltre, risale al 27 ottobre 2017 il lancio da parte della Commissione Europea della call Protecting the infrastructure of Europe and the people in the European smart cities[2], nell’ambito della più ampia Cybersecurity contractual Public Private Partnership (cPPP) promossa a livello europeo e destinata a favorire lo sviluppo di soluzioni comuni in materia di sicurezza digitale, privacy e protezione dei dati personali attraverso il coinvolgimento degli operatori pubblici e privati e degli utenti finali in settori estremamente rilevanti per l’immediato progresso economico-sociale, come quelli relativi al panorama dell’High Performance Computing (HPC) e della gestione e sostenibilità delle risorse critiche[3]. In particolare, il topic denominato Prevention, detection, response and mitigation of combined physical and cyber threats to critical infrastructure in Europe[4] ha consentito di raccogliere e confrontare idee progettuali finalizzate all’individuazione di tecniche innovative, integrate ed incrementali in grado di prevenire, rilevare, rispondere ed attenuare le minacce fisiche ed informatiche dirette a specifiche infrastrutture critiche.
Resilienza dei siti industruali, il progetto Ue Infrastress
In tale contesto si inserisce il progetto europeo INFRASTRESS, Improving resilience of sensitive industrial plants & infrastructures exposed to cyber-physical threats, by means of an open testbed stress-testing system, cofinanziato dalla Commissione Europea nell’ambito del programma di ricerca e innovazione dell’Unione Europea Horizon 2020 con il Grant Agreement No 833088.
La missione perseguita da InfraStress, che coinvolge 27 partner provenienti da 11 paesi europei, coordinati dall’italiana Engineering Ingegneria Informatica[5], è quella di migliorare la resilienza e la capacità di protezione dei Sensitive Industrial Plants and Sites esposti a minacce e rischi cyber-fisici su larga scala di tipo combinato con l’obiettivo di garantire la continuità delle relative operazioni, riducendo contemporaneamente al minimo gli effetti a catena che possono coinvolgere le stesse infrastrutture, l’ambiente circostante, le altre infrastrutture critiche e i cittadini, tutto a costi ragionevoli.
Il progetto coinvolge sia gli impianti sensibili di produzione industriale (quali raffinerie, industrie chimiche, farmaceutiche, ecc.), sia i siti di stoccaggio sensibili (SIPS), insieme alle infrastrutture ICT che li supportano. Ognuna di queste infrastrutture critiche include asset, sistemi, funzioni e reti diverse e affronta un’ampia varietà di rischi che si evolvono nel tempo. Questo rende particolarmente complessa l’attività di valutazione o di quantificazione degli stessi a causa dell’elevato livello di incertezza relativo alla frequenza o alla gravità degli eventi potenziali.
Inoltre, InfraStress considera non solo i rischi naturali / tecnologici (ad es. eventi/condizioni naturali estreme, carenze tecnico-organizzative e umane come l’invecchiamento delle infrastrutture, l’invecchiamento della forza lavoro, ecc.) e le minacce informatiche e fisiche “convenzionali” (ad esempio SCADA hacking, interferenze, accessi non autorizzati) ma anche le minacce “nuove” (ad es. attacchi ai sistemi autonomi nei SIPS, droni a bassa quota) nonché minacce (combinate) di sicurezza fisica ed informatica e minacce naturali. Inoltre, InfraStress analizza le conseguenze di un disastro in termini di effetti a cascata da / verso altre infrastrutture critiche (ad esempio ospedali, acquedotti, trasporti e telecomunicazioni).
Per il conseguimento della propria missione, InfraStress prevede il conseguimento di quattro obiettivi strategici:
1) migliorare la capacità di recupero di un singolo SIPS, attraverso un sistema adattabile, flessibile e personalizzabile di strumenti di sicurezza innovativi e configurabili;
2) realizzare una collaborazione efficace tra gli operatori di infrastrutture critiche e SIPS, al fine di impedire il propagarsi di effetti a cascata: a) tra il mondo fisico e quello cyber; b) tra le IC SIPS interconnesse e c) tra IC SIPS ed altre IC, che fanno affidamento le une con le altre per la realizzazione delle rispettive operazioni;
3) creare un framework aperto che consenta di integrare facilmente in futuro tecnologie di rilevamento aggiuntive, feed di dati e servizi di analisi, servizi di supporto decisionale, ecc. E, soprattutto, al fine di integrare efficacemente le soluzioni già esistenti implementate a livello IC SIPS;
4) consentire il pieno sfruttamento del potenziale di innovazione tecnologica sostenendo una cultura della protezione delle infrastrutture critiche SIPS a livello europeo ed implementando un approccio incentrato sull’uomo, che combini efficacemente il supporto decisionale e l’esperienza umana.
I metodi e le soluzioni che saranno sviluppati all’interno del progetto InfraStress consentiranno di migliorare la sicurezza e la resilienza dei SIPS:
• attraverso la valutazione e la combinazione delle risorse SIPS, delle vulnerabilità, dei rischi e delle minacce combinate cyber-fisico-sociali, generando quindi una conoscenza all’avanguardia sulla protezione delle infrastrutture critiche SIPS in generale, con particolare riferimento ai partner dei SIPS;
• guidando le innovazioni nel settore della sicurezza e delle industrie critiche e sensibili attraverso l’istituzione ed il coordinamento del Sensitive Industry Protection Stakeholder Group (SIP-SG), che coinvolgerà rilevanti stakeholders esterni al progetto e provvederà alla realizzazione di una roadmap per la protezione delle infrastrutture critiche SIPS;
• accelerando la crescita delle società europee di sicurezza all’interno dei mercati della sicurezza C/P – attualmente in rapida crescita – grazie all’utilizzo dei risultati delle ricerche e delle innovazioni realizzate all’interno del progetto.
Maggiori dettagli sono disponibili sul sito del progetto, alla URL: https://www.infrastress.eu/
- Direttiva 2012/18/UE del Parlamento europeo e del Consiglio del 4 luglio 2012 sul controllo del pericolo di incidenti rilevanti connessi con sostanze pericolose, recante modifica e successiva abrogazione della direttiva 96/82/CE del Consiglio.
- Call ID: H2020-SU-INFRA-2018-2019-202 call Protecting the infrastructure of Europe and the people in the European smart citie. Cfr. https://www.ideal-ist.eu/societal-challenges/protecting-infrastructure-europe-and-people-european-smart-cities
- Sulla struttura e le iniziative afferenti alla Cybersecurity contractual Public Private Partnership (cPPP) consultare https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/h2020/ftags/cppps.html#c,topics=flags/s/cPPP/1/1&+callStatus/asc
- H2020-SU-INFRA-2018-2019-2020 – Topic SU-INFRA-01-2018– “Prevention, detection, response and mitigation of combined physical and cyber threats to critical infrastructure in Europe’”- Focus: Sensitive Industrial Plants and Sites.
- https://www.eng.it/
