DOSSIER Grandi Reti 20-11-06 new -...

DOSSIER

ENEA PER IL GOVERNO E LA SICUREZZA DELLE GRANDI RETI TECNOLOGICHE ED

ENERGETICHE

A cura di Sandro Bologna

Workshop

ENEA PER IL GOVERNO E LA SICUREZZA DELLE GRANDI RETI

TECNOLOGICHE ED ENERGETICHE

24 novembre 2006 Roma

2

Il volume è stato redatto con la collaborazione di:

Claudio Balducelli

Ester Ciancamerla

Giovanni Di Costanzo

Giovanni Dipoppa

Adam Gadomski

Michele Minichino

Vittorio Rosato

Giordano Vicoli

3

INDICE

1. Introduzione ................................................................................................. 3

2. Il contributo della Complexity Science ........................................................... 7

Quadro di riferimento ..................................................................................... 7

Offerta ENEA ................................................................................................. 7

Prospettive future .......................................................................................... 8

Bibliografia.................................................................................................... 9

3. Affidabilità delle Reti ................................................................................... 11

Quadro di Riferimento................................................................................... 11

Offerta ENEA ............................................................................................... 11

Prospettive future ........................................................................................ 13

Bibliografia.................................................................................................. 14

4. Riconfigurazione e ottimizzazione funzionale .............................................. 15

Quadro di riferimento. .................................................................................. 15

Offerta ENEA. .............................................................................................. 15

Prospettive future. ....................................................................................... 17

Bibliografia.................................................................................................. 18

5. Tecnologie per contrastare le vulnerabilità delle reti tecnologiche ............... 19

Quadro di riferimento ................................................................................... 19

Offerta ENEA ............................................................................................... 20


Bibliografia.................................................................................................. 23

6. Il problema delle interdipendenze: proposte di soluzioni modellistiche e tecnologiche ............................................................................................... 25


Offerta ENEA ............................................................................................... 26


Bibliografia.................................................................................................. 29

7. La vulnerabilità delle organizzazioni umane: alcuni spunti di riflessione ...... 31


Offerta ENEA ............................................................................................... 32

Prospettive Future........................................................................................ 33

Bibliografia.................................................................................................. 34

8. Conclusioni e prospettive di Ricerca e Sviluppo............................................ 36

Bibliografia.................................................................................................. 38

5

1. INTRODUZIONE

Il buon funzionamento del Sistema Paese è strettamente legato alla disponibilità, affidabilità, sicurezza di molte infrastrutture tecnologiche, comunemente note come Infrastrutture Critiche. La mancata funzionalità di tali infrastrutture ha un impatto enorme sulla vita dei cittadini e può produrre ingenti danni economici.

Le Infrastrutture Critiche stanno subendo una trasformazione epocale, sulla scia di nuovi indirizzi di politica economica e dell’avvento di nuovi strumenti tecnologici; tali modificazioni hanno, tuttavia, riflessi rilevanti sul piano della tecnologia e della gestione delle Infrastrutture medesime.

Da oltre un decennio la gestione delle grandi infrastrutture tecnologiche, a livello nazionale e internazionale, ha subito importanti trasformazioni, indotte dai processi di liberalizzazione e globalizzazione dei mercati, che hanno modificato significativamente il ruolo dei gestori, con importanti ripercussioni sia a livello economico che sociale. Il fenomeno che ha maggiormente inciso sulla struttura dei sistemi è il passaggio da una gestione verticalmente integrata (quasi sempre a forte partecipazione statale) ad una gestione liberalizzata, con le diverse componenti delle infrastrutture (livello fisico, livello di gestione, livello dei servizi) affidate a società tra loro indipendenti, con lo scopo di favorire la concorrenza e aumentare la qualità dei servizi.

Lo scenario delle reti energetiche, inoltre, già di per sé complesso, è reso ulteriormente critico dalle attuali spinte verso lo sviluppo di sistemi per la Generazione Distribuita (GD) e della Micro Generazione (MG), visti come strumento per aumentare la sicurezza dell’approvvigionamento energetico. La diffusione di questi nuovi paradigmi, tuttavia, rende ancora più necessaria la soluzione delle problematiche di gestione e di governo delle reti di trasmissione e distribuzione dell’energia elettrica. Essi comportano una diversa modalità di utilizzo delle reti, progettate e gestite per un utilizzo di natura prevalentemente passiva. Un incremento significativo della penetrazione di GD e di MG comporterebbe l’esigenza di una radicale evoluzione delle reti di distribuzione, basata sull’individuazione di logiche di controllo efficienti e di nuovi sistemi di comunicazione, di modifiche ai sistemi di protezione e alle modalità operative e progettuali delle reti operate dalle imprese di distribuzione.

I processi di trasformazione descritti, oltre a generare effetti positivi (riduzione dei costi dei servizi e migliore gestione degli approvvigionamenti), hanno enormemente aumentato la complessità delle infrastrutture introducendo nuove e pericolose vulnerabilità. A causa dello stretto accoppiamento fra infrastrutture differenti e del delicato interscambio di prodotti e servizi, un guasto o un malfunzionamento che si produce su una di esse può propagarsi facilmente, amplificando le conseguenze negative e influenzando gli utenti a distanza. Lo scenario è ulteriormente complicato dal fatto che, per motivi di concorrenza e per la natura dei servizi erogati, le reti sono gestite da gestori diversi con interessi diversi.

La complessità e l’impatto degli effetti che questo scenario è in grado di produrre sono emersi chiaramente dall’analisi di recenti esempi di disservizio delle grandi infrastrutture (blackout elettrici, informatici, telefonici, trasporti, energetici ecc.). Essi hanno mostrato l’estrema criticità delle grandi reti tecnologiche, in particolare quelle energetiche e di telecomunicazione, e la loro profonda interconnessione con le altri reti, tecnologiche e di servizi. Tali disservizi hanno interessato porzioni considerevoli dei sistemi, in apparenza molto differenti tra loro sia in termini di strutture che di modalità di gestione. In tutti i casi essi hanno messo in evidenza carenze strutturali e problemi di gestione e di interdipendenza che si riscontrano con preoccupante ricorrenza.

È necessario, dunque, operare sia per la soluzione delle carenze strutturali, sia per migliorare la qualità della gestione e aumentare il controllo degli effetti legati alle interdipendenze tra le reti. Questo ultimo compito può essere efficacemente svolto utilizzando le più avanzate tecnologie ICT, in grado di consentire un’efficace analisi del

6

livello di sicurezza e la valutazione, in tempo reale, dei possibili scenari conseguenti ad eventi disastrosi, fornendo un importante strumento di supporto alle decisioni per gli operatori coinvolti nella gestione delle crisi.

Per fronteggiare le nuove problematiche indotte dall’avvento di politiche e tecnologie avanzate, occorre essere pronti a ripensare, anche in modo radicale, gli strumenti tecnologici e le stesse modalità operative, per rendere le Infrastrutture Tecnologiche affidabili e sicure: da un lato, per aumentare l’affidabilità e ridurne la vulnerabilità, dall’altro per garantirne un governo “a prova d’errore”.

Lo scopo del Progetto ENEA per il Governo e la Sicurezza delle Grandi Reti Tecnologiche è quello di produrre nuove conoscenze e realizzare nuovi strumenti per rendere possibile l’attuazione di questo cambio epocale e ridurne i rischi connessi.

Nel presente documento vengono illustrate le competenze e gli strumenti operativi di cui ENEA dispone per affrontare queste sfide:

- l’integrazione di nuovi strumenti concettuali tipici della Scienza della Complessità con l’analisi dei meccanismi di difesa dei sistemi viventi per la realizzazione di una nuova generazione di strumenti tecnologici;

- lo sviluppo di nuovi strumenti per l’analisi dell’affidabilità delle grandi reti tecnologiche;

- lo sviluppo di tecnologie per l’ottimizzazione e la riconfigurazione di strutture e servizi, per garantirne l’incremento dell’efficienza;

- lo sviluppo di tecnologie per la riduzione delle vulnerabilità intrinseche delle infrastrutture;

- l’analisi e il controllo delle interdipendenze tra infrastrutture e la predizione degli effetti indotti da tali interdipendenze;

- lo studio dei problemi organizzativi e l’analisi della componente umana della catena di controllo delle infrastrutture.

7

2. IL CONTRIBUTO DELLA COMPLEXITY SCIENCE

Quadro di riferimento

Negli ultimi anni è avvenuta una naturale convergenza tra varie aree disciplinari; interi domini delle scienze, inizialmente distinti e scarsamente comunicanti, hanno iniziato ad integrarsi fortemente, spesso al punto da essere assimilabili ad un unico corpo di metodologie, trasversali e interdisciplinari, finalizzate ad un reale avanzamento della conoscenza (Complexity Science). Questo trend è il frutto di un nuovo paradigma della scienza che inizia a trovare interazioni e regolarità all’interno di modelli con cui essa cerca di spiegare il reale. Questa regolarità non è percepita come una casualità ma, piuttosto, come il segno di una unitarietà profonda che esula dall’origine dei modelli ma emerge da motivazioni più fondamentali.

L’integrazione in atto comprende aree disciplinari un tempo ritenute e trattate come totalmente disgiunte, sia nelle finalità che nei metodi. L’avvento di una serie di interessanti osservazioni, fatte nell’ultimo decennio, relative alla sostanziale equivalenza della struttura di una serie di sistemi complessi di svariata natura (dalle reti di interazioni proteiche cellulari a quelle dei rapporti sociali, dalla rete mondiale del web alle reti linguistiche delle principali lingue mondiali) ha evidenziato che, al raggiungimento di una data soglia di complessità, corrisponde l’insorgenza di una serie di comportamenti che accomunano, in maniera stupefacente, sistemi di diversissime origini. La complessità sembra essere, dunque, una proprietà al cui sviluppo si associ non il caos ma piuttosto una necessità all’ordine che, sebbene non in maniera diretta, consenta la realizzazione di metafore differenti dello stesso disegno funzionale verso il quale tutti i sistemi (sia quelli viventi che quelli tecnologici) vengono ineludibilmente spinti.

La comprensione delle ragioni profonde e delle modalità che spingono i sistemi tecnologici complessi ad auto-dirigersi spontaneamente verso configurazioni di grande efficienza appare come la chiave di volta per consentirne un reale controllo, in grado di aprire la possibilità di prevederne lo sviluppo. Le infrastrutture tecnologiche complesse (si pensi alle reti di comunicazione, alle reti economiche e finanziarie legate all’intricata connessione tra i vari mercati e alla crescente globalizzazione, alle reti di approvvigio-namento, di trasmissione e di distribuzione dei prodotti energetici ed allo stretto legame di questi ultimi con i mercati delle materie prime) giocano un ruolo ormai vitale nella vita e nello sviluppo delle nazioni. In questo senso sono divenute elementi nevralgici la cui potenziale vulnerabilità può avere ripercussioni difficilmente quantificabili sulle società.

In questo scenario, accanto all’uso di paradigmi conoscitivi e strumenti tecnologici convenzionali, si stanno affermando paradigmi e metodologie trasversali che tentano, sullo stesso piano, di costruire modelli di Sistemi Complessi di differente natura, trovando importanti regolarità e similitudini.

Offerta ENEA

ENEA ha competenze fortemente interdisciplinari che hanno portato alla costituzione di gruppi di ricerca operanti nel campo della Complexity Science, che ha valenza sia speculativa che applicativa.

Le competenze presenti nell’Ente e gli ambiti progettuali nei quali esse sono applicate, hanno consentito il raggiungimento di una serie di importanti traguardi e la messa a punto di metodiche di rilievo:

• ENEA sta realizzando un Database, unico nel suo genere, contenente la struttura topologica (i.e. i grafi) delle principali Infrastrutture Critiche Nazionali (ICN). Alcune di queste strutture sono caratterizzate da dati che consentono di produrre modelli funzionali del loro comportamento;

8

• ENEA dispone di una suite di codici per l’analisi di tali strutture, in particolare per l’analisi delle proprietà topologiche e della vulnerabilità strutturale e di codici per la simulazione del comportamento di tali reti. Tali codici sono stati opportunamente ingegnerizzati su tecnologia web e resi disponibili alla comunità scientifica;

• una collaudata collaborazione tra il settore che si occupa di modellistica e quello delle biotecnologie dell’ENEA ha consentito l’applicazione di metodiche sviluppate nell’ambito tecnologico a sistemi biologici. Il flusso inverso di informazione (dal settore biologico a quello tecnologico) è potenzialmente foriero di risultati ancora più interessanti. È infatti un ambito speculativo molto avanzato quello dello studio delle strategie di controllo e di ottimizzazione messe in opera da sistemi biologici (ant strategies, swarm intelligence ecc.) allo scopo di applicarle a sistemi tecnologici complessi (bio-mimetic strategies). L’interesse di questa classe di applicazioni è testimoniato anche dallo sviluppo di numerosi nuovi centri di ricerca multidisciplinare rivolti allo studio delle interconnessioni possibili tra sistemi biologici e sistemi tecnologici.

Inoltre, nell’ambito di una collaborazione tra ENEA e alcune Università italiane e straniere, sono stati sviluppati modelli per lo studio di interdipendenze tra reti di telecomunicazione e reti elettriche. Questi modelli hanno consentito di mettere in evidenza le possibili amplificazioni di perdita di Qualità di Servizio (QoS) prodotte da una rete sulle altre ad essa funzionalmente legate.

Grafi rappresentanti: la rete italiana di trasmissione elettrica ad alta tensione (380 kV), a

sinistra; la rete internet per la ricerca (GARR), a destra

Prospettive future

Le attività ENEA nell’ambito della Complexity Science proseguiranno su queste linee:

enfatizzazione del processo di fertilizzazione incrociata tra settore della modellistica e settore biotecnologico dell’Ente;

consolidamento delle expertises nel campo dell’analisi sistematica delle Infrastrutture Critiche Nazionali attraverso lo sviluppo dei progetti nei quali i gruppi di ricerca ENEA sono coinvolti (EU-IRRIIS, PON-CRESCO, tra gli altri) verranno. Il

9

questo quadro verrà analizzato il sistema di trasporti nazionale, in collaborazione con il settore dell’Ente che si occupa di Sistemi di Trasporto;

completamento, nell’ambito del progetto PON-CRESCO e in collaborazione con partners italiani ed esteri, della realizzazione del Database delle Infrastrutture Critiche Nazionali, ampliata la suite di codici per l’analisi delle strutture topologiche, iniziate le attività per lo studio di strategie bio-mimetiche per il controllo di reti di comunicazione;

collaborazione con alcuni atenei che hanno avviato linee di attività e corsi legati alla Compexity Science e alle sue ricadute in vari ambiti tecnologici;

sviluppo di nuovi prodotti, successiva ingegnerizzazione, e trasferimento della propria tecnologia al mercato, attraverso la collaborazione con lo spin-off Ylichron Srl.

Bibliografia

[1] V. Rosato, F. Tiriticco, Growth mechanisms of the AS-level internet network, Europhys. Lett. 66 (2004) 471

[2] L. Issacharoff, S. Bologna, V. Rosato, G. Dipoppa, R. Setola, E. Tronci, A dynamical model for the study of complex systesm’s interdependence, Proceedings of International Workshop on Complex Networks and Infrastructure Protection (CNIP06), Rome, March 28-29, 2006

[3] V. Rosato, S. Bologna, F. Tiriticco, Topological properties of high-voltage electrical transmission networks, Electr. Pow. Syst. Res. 77 (2007) 99

[4] V. Rosato, F. Tiriticco, L. Issacharoff, S. De Porcellinis, R. Setola, Modelling interdepedent infrastructures using interacting dynamical models, Int. J. Crit. Infrastr., in press

[5] L. Issacharoff, S. Bologna, V. Rosato, Influence of topology on the power flux of the Italian high-voltage electrical network, Europhys.Lett. submitted

11

3. AFFIDABILITÀ DELLE RETI


Le grandi reti tecnologiche, tra cui le reti di trasmissione e distribuzione dell’energia elettrica, le reti di telecomunicazione e le reti informatiche, distribuite su territori nazionali e sovra nazionali, erogano ai loro utenti (dal cittadino, alle istituzioni e alle imprese) molteplici servizi, anche vitali. Si pensi alla necessità di garantire la continuità dell’alimentazione dei dispositivi medici nelle abitazioni civili, alle funzioni di telecontrollo del traffico all’interno di infrastrutture di trasporto critiche per la sicurezza, come i tunnels alpini mono tubo, alle funzioni di telecontrollo delle grandi reti di trasmissione e di distribuzione dell’energia elettrica. In tutti questi casi il servizio erogato si appoggia ad elementi delle reti di telecomunicazione e/o delle reti informatiche.

Le reti informatiche e le reti di telecomunicazioni, condivise da diverse tipologie di utenti, sono sempre più convergenti tra loro. Esse sono anche sempre più candidate a supportare lo scambio di informazioni necessario ai sistemi di telecontrollo che implementano funzioni di protezione, controllo e supervisione remota delle grandi reti tecnologiche. I sistemi di telecontrollo possono essere localmente distribuiti o sconfinare, aprendosi al mondo esterno tramite le reti informatiche o di telecomunicazione, di cui essi possono costituire nodi geograficamente distribuiti.

La qualità dei servizi e le funzioni esplicate dalle reti tecnologiche possono essere indebolite da eventi avversi. Inoltre, nei sistemi di telecontrollo, non sempre in grado di svolgere le loro funzioni automaticamente, cioè senza l’intervento dell’operatore, l’operatore stesso costituisce un elemento essenziale, ma anche di ulteriore vulnerabilità, nella catena di governo della rete.

L’analisi di affidabilità delle reti tecnologiche e dei sistemi di telecontrollo è necessaria per valutare le loro funzionalità e la qualità dei servizi da essi erogati. L ’obiettivo è di comprendere e laddove possibile prevenire eventi avversi quali calamità naturali, errori di progetto, guasti ai dispositivi che costituiscono le reti, attacchi informatici e guasti a cascata che, a seguito di un evento iniziale, si possono propagare a parti consistenti della stessa rete e, in caso di interconnessione tra reti, alle reti interconnesse, che possono avere conseguenze anche catastrofiche. L’analisi di affidabilità, spesso richiesta e regolata da linee guida e da normative, ha il compito di dimostrare che le reti sono adatte al rilascio del servizio richiesto secondo adeguati indicatori di rischio. Tale dimostrazione deve essere tanto più robusta e rigorosa quanto maggiore è il degrado della qualità del servizio conseguente dell’accadimento di eventi avversi e quanto maggiore è l’essenzialità del servizio rilasciato. In ogni caso tutti gli esperti del settore concordano nel ritenere che nessun metodo da solo possa considerarsi sufficiente per valutare l’affidabilità. L’analisi di affidabilità si basa sulla individuazione, sulla costruzione e sulla valutazione di tutte le possibili evidenze che concorrono alla sua dimostrazione. Le evidenze possono essere costruite partendo da argomenti di tipo deterministico, qualitativo e probabilistico. Per ciascun argomento è necessario utilizzare metriche non sempre disponibili e di provata efficacia. Infatti, ai concetti più tradizionali di affidabilità, sicurezza, disponibilità e prestazioni si affiancano altri concetti come l’integrità delle informazioni contro le intrusioni (security) e la qualità di servizio in relazione al funzionamento degradato dei sistemi e alla diversa percezione della qualità da parte di utenti finali con caratteristiche ed esigenze eterogenee.

Offerta ENEA

L’offerta ENEA va nella direzione della comprensione della affidabilità delle reti tecnologiche, in termini di suscettibilità alla degradazione e/o alla perdita dei servizi essenziali dovuta ad eventi avversi come guasti, guasti in cascata, intrusioni o malfunzionamenti e alla loro possibile co-esistenza con elevate richieste di tali servizi. In

12

questa nuova prospettiva di affidabilità dei servizi erogati dalle reti, ENEA affronta il problema attraverso la selezione, la predizione e la valutazione di indicatori di interconnessione, disponibilità, qualità di servizio e prestazioni. Lo studio è condotto mediante:

• La formulazione di nuove teorie, l’utilizzo di codici di analisi e la costruzione di modelli funzionali alla predizione della affidabilità di reti. La ricerca segue le seguenti direttrici principali:

1. Metodologia esaustiva di analisi di reti basata sulla formulazione della funzione booleana di connettività della rete mediante BDD (Binary Decision Diagram). I BDD sono stati universalmente riconosciuti come lo strumento più potente per manipolare funzioni logiche. Partendo da una rete, espressa in forma grafica (attraverso regole convenzionali concordate) o in forma di matrice di incidenza si progettano algoritmi che costruiscono il BDD della funzione Booleana di connettività e calcolano l’affidabilità della rete.

2. Verifica formale automatica tramite model checking, per l’analisi funzionale ed esaustiva delle proprietà desiderate/indesiderate.

3. Formalismi stocastici di tipo combinatorio (i.e. Alberi di guasto, Reliability Block Diagrams, Reti di Bayes) e basati sullo spazio degli stati (Catene di Markov, Reti di Petri).

4. Analisi delle proprietà della rete intesa come grafo, mediante metodi e strumenti basati sulla teoria dei grafi.

• L’aggiornamento costante dell’ambiente di modellazione sviluppato da ENEA (SERENI: Sicurezza E affidabilità di REti Nazionali e Infrastrutture). L’ambiente di modellazione consente di costruire modelli compositi, costituiti da una gerarchia di sotto modelli eterogenei basati sui formalismi oggetto della ricerca.

• La valutazione dei limiti e delle potenzialità dell’ambiente di modellazione come strumento di supporto alle decisioni in tempo reale.

L’offerta ENEA si è concretizzata nella partecipazione recente ad alcuni Progetti europei e nazionali. Tra questi si citano:

Progetto EU-IST Safetunnel – Il progetto ha portato alla realizzazione di un sistema prototipale di telecontrollo per il miglioramento della sicurezza nei tunnels alpini monotubo. Il sistema di telecontrollo è basato su Reti di Telecomunicazione che interconnettono veicoli strumentati che attraversano il tunnel con una console di controllo posta nel Centro di Controllo del Tunnel, tramite connessioni sia in voce (GSM) che in dati (GPRS). ENEA ha condotto la validazione del sistema di telecontrollo mediante modellazione, secondo due linee principali:

- Analisi Funzionale sul Sistema di Telecontrollo, verificando formalmente i margini di sicurezza del sistema di telecontrollo nei possibili scenari di traffico/di incidenti all’interno del tunnel. La verifica è stata condotta tramite model checking, che consente una analisi di raggiungibilità e di conformità del sistema, partendo da una sua descrizione, in termini di automi agli stati finiti.

- Analisi Stocastica, sulla rete di Telecomunicazione Pubblica Mobile, costruendo i modelli per valutare le prestazioni in voce (GSM) e in dati (GPRS) della rete, in condizioni operative normali e di degrado (a seguito di guasto degli elementi principali o di contesa delle risorse), mediante Reti di Attività Stocastica.

13

Progetto EU SAFETUNNEL

È stata predetta la qualità di servizio della rete mobile del sistema SAFETUNNEL in termini di probabilità di blocco voce e probabilità di perdita dati.

Progetto nazionale ISPESL. L’obiettivo del Progetto è stato triplice:

• Sperimentazione di metodi e strumenti di analisi di affidabilità e sicurezza di funzionamento di sistemi elettronici programmabili, da applicare ai sistemi di sicurezza delle macchine di sollevamento con riferimento alle norme generali e di settore.

• Analisi ibrida di affidabilità e sicurezza di funzionamento di sistemi di sicurezza complessi, basata sull'integrazione di metodi probabilistici classici, di metodi deterministici simbolici e di metodi per il processamento sistematico di informazioni soggettive.

• Sviluppo di metodi e strumenti per l'analisi della sicurezza e della qualità di servizio di sistemi di controllo connessi mediante rete di telecomunicazione.

Prospettive future

Si prospettano da parte dell’ENEA i seguenti contributi nella formulazione di nuove teorie ed investigazione di codici di analisi funzionali alla predizione della affidabilità delle reti:

1. Esportazione della conoscenza dai metodi di modellazione che hanno già provato la loro efficienza per l’analisi della affidabilità di sistemi più semplici verso metodi in grado di affrontare la nuova scala e complessità delle grandi reti tecnologiche.

2. Composizione di differenti metodi di modellazione che implementano paradigmi di modellazione eterogenei (stocastico e deterministico, continuo e discreto, simulazione ed esplorazione esaustiva) in un unico ambiente di modellazione.

14

Progetti ISPESL I, II, III

3. Valutazione dell’impatto della degradazione della security delle reti pubbliche sugli altri indicatori di affidabilità delle reti.

4. Integrazione delle metodologie che sono alla frontiera della ricerca sull’affidabilità con tecniche e metodi sviluppati in altri campi di ricerca (i.e Teoria dei grafi, Scienza della complessità, Teoria del Caos, Sistemi Biologici) al fine di dotarsi di strumenti adeguati alla complessità crescente dei sistemi da verificare.

Bibliografia

[1] A. Bobbio, E. Ciancamerla, M. Minichino, E. Tronci, Functional Analysis of a Telecontrol System and Stochastic measures of its GSM/GPRS connections – In Archives of Transport – Polish Academy of Sciences – Committee of Transport – ISSN 0866-9546 – Volume 17 – Issue 3-4 – pag. 39 – 55, 2005

[2] E. Campagnano, E. Ciancamerla, M. Minichino, E. Tronci, Automatic Analysis of a Safety Critical Tele Control System - In the 24th International Conference on Computer Safety, Reliability and Security - SAFECOMP 2005 - volume 3688 of Lecture Notes in Computer Sciences, ISBN 3-540-29200-4, pages 94 - 107. Springer, September 26 - 30, 2005 - Fredrikstad, Norway

[3] E. Ciancamerla, M. Minichino, Denial of safety critical services of a Public Mobile Network for a critical transport infrastructure - SNI 2005 – First workshop on Safeguarding National Infrastructures - August 25 -27, 2005 – Glasgow, UK

[4] E. Ciancamerla, M. Minichino, Dependability measures of a communication network in a critical transport infrastructure – SAFE 2005 – First International Conference on Safety and Security Engineering - 13 - 15 June 2005, Rome, Italy

[5] E. Ciancamerla, M. Minichino, Performability measures of the Public Mobile Network of a Tele Control System - SAFECOMP 2004 - The 23rd International Conference on Computer Safety, Reliability and Security - 21-24 September 2004, Potsdam, Germany

15

4. RICONFIGURAZIONE E OTTIMIZZAZIONE FUNZIONALE


I vari episodi di blackout e conseguente disservizio delle grandi reti tecnologiche hanno mostrato la necessità di realizzare Sistemi di Supporto alle Decisioni aventi lo scopo di suggerire in tempo reale una strategia di riconfigurazione e ottimizzazione di reti tecnologiche complesse, nelle quali uno o più dei suoi componenti siano stati danneggiati per cause naturali, attacchi terroristici o guasti. Pur essendo già disponibili agli operatori procedure che prevedono l’attuazione di interventi di recupero in caso di perdita di parti della rete, nella maggior parte dei casi ci si trova davanti a strumenti in grado di operare in un numero limitato di condizioni di guasto e di stati di funzionamento. C’è la necessità di generalizzare questo tipo di soluzione consentendo di generare una risposta rispetto all’insieme praticamente infinito di stati di funzionamento in cui la rete potrebbe trovarsi. Questo può essere fatto tramite tecniche di ottimizzazione che vengono applicate come strumento di pianificazione per scenari di crisi. A tale scopo sembra particolarmente indicata l’applicazione di tecniche di Ricerca Operativa (RO).

La Ricerca Operativa si connota come strumento trasversale ovunque vi siano da risolvere problemi di ottimizzazione: massimizzare i profitti (in senso lato), minimizzare le perdite (anche in questo caso in una più vasta accezione in dipendenza del dominio). In pratica la Ricerca Operativa è attinente all'utilizzazione di metodi scientifici nei processi decisionali, tra i quali si possono citare i metodi quantitativi, i modelli matematici, la simulazione ed altre tecniche analitiche per investigare ipotesi, facilitare la comprensione dei problemi e supportare il processo decisionale.

Tipicamente la Ricerca Operativa coinvolge differenti competenze ed approcci multi-disciplinari ai problemi da risolvere. Pertanto tramite tecniche di Ricerca Operativa - la più nota è la Programmazione Lineare Intera (PLI1) - si possono affrontare problemi, anche di elevata complessità, al fine di:

prevenire o mitigare blackouts con effetto a cascata in reti di trasmissione e distribuzione energetica di grandi dimensioni;

risolvere con approcci multi-criteriali problemi di trasporto merci (con enfasi sulla inter- modalità).

È da sottolineare che grazie alla generalità dei modelli, un grandissimo numero di problemi pratici può essere rappresentato da modelli PLI. In generale, i modelli di programmazione lineare intera sono adatti alle applicazioni caratterizzate dall'indivisibilità delle risorse e dalla necessità di scegliere tra un numero praticamente infinito di alternative. Queste applicazioni includono problemi operativi quali la distribuzione di beni e il sequenziamento delle attività produttive, oppure problemi di pianificazione quali la gestione ottima di impianti di produzione e la loro localizzazione. Ma l’applicabilità di tecniche di RO è estensibile a qualunque dominio dove esista un problema di ottimo. Tutto ciò comporta che RO si occupi di problemi di analisi e risoluzione di processi decisionali, che impattano ai vari livelli di un organigramma o di un sistema.

Offerta ENEA

ENEA ha sviluppato, in partnership con altri soggetti industriali, un Progetto mirato alla realizzazione di un sistema esperto in grado di ottimizzare sulla base di un approccio multi-criteriale le soluzioni inter-multi-modali delle Merci. SETRAM (Sistema Esperto con funzioni di simulazione delle modalità di TRAsporto Merci e di selezione dei percorsi sulla

1 A proposito, Dantzig scrisse: “La programmazione lineare è uno sviluppo rivoluzionario che dà all’uomo la capacità di enunciare obiettivi generali e di trovare, tramite il metodo del Simplesso, le decisioni politiche ottime per un vasto insieme di problemi di grande complessità.”

16

base di multicriteria) è uno strumento software dedicato al settore dei servizi logistici e dei trasporti di merci. La sua missione è supportare l’operatore logistico nelle diverse fasi decisionali per individuare le migliori soluzioni di organizzazione logistica e trasporto con un forte orientamento multimodale.

I problemi decisionali complessi che un Operatore Logistico si trova ad affrontare in diversi momenti delle sue attività di organizzazione sono così sintetizzabili:

Pianificazione strategica: localizzazione e dimensionamento delle risorse interne (piattaforme logistiche) in funzione dell’andamento della domanda potenziale. Questa fase tipicamente viene effettuata una sola volta nel corso di un anno;

Progettazione del sistema di offerta di servizi di trasporto e di nodo (in proprio e/o attraverso terzi). Questa fase normalmente può avere più di una occorrenza in un anno, ovvero ogni qualvolta le esigenze puntuali della rete dei servizi di logistica e di trasporto dovessero rivelarsi insufficienti o, al contrario, sovrabbondanti;

Programmazione operativa delle spedizioni. Questa fase può essere ripetuta anche più di una volta nel corso del periodo di programmazione dei viaggi (tipicamente una settimana).

Operatore Logistico

InterfacciaOperatoreLogistico

Algoritmi di Ottimizzazione

Solver (2) P.L.I. / Euristiche

GIS

Set Soluzioni

m richieste da n Clienti

Base delle Regole

Tecnologia JESSBase

di Dati

Base della ConoscenzaBase della Conoscenza

Rifiuto

Richieste spedizoni

O.L. elegge Soluzione

1

23

4

inte

rnet

Note sui Solutori [2 alternative negli Approcci Solutori]

Pre-processing: Linearizzazione Scaglioni Tariffe

1. Euristiche = Metodo Greedy + Algoritmi basati su Ricerca Locale

2. P.L.I. = Programmazione Lineare Intera

Schema funzionale SETRAM

Per gestire questi problemi, SETRAM è stato dotato di una banca dati molto articolata contenente i dati di input delle diverse fasi decisionali.

In termini generali, l’utente di SETRAM crea scenari di domanda e offerta sui quali “lavora” il motore inferenziale del sistema, composto da un sistema di regole e da un codice di ottimizzazione numerica. I risultati delle elaborazioni sono restituiti su un

17

Sistema Informativo Geografico (GIS) e sotto forma di tabelle; il sistema, inoltre, fornisce indicatori ed elaborati di supporto ad una valutazione immediata dei risultati ottenuti.

Il Sistema Esperto di SETRAM, che opera sulla Progettazione e Programmazione, è formato essenzialmente da tre moduli:

• un motore inferenziale (basato sul sistema esperto a regole JESS, utilizzato in modo classico, oppure per fare una sorta di chiusura transitiva tra entità del Data Base molto distanti tra loro);

• la Base della Conoscenza di un Operatore Logistico, ossia la conoscenza delle sue informazioni basilari dell’organizzazione della logistica del trasporto merci. La caratteristica peculiare di questo sistema è quella di fare cooperare regole “esperte” che delineano i vincoli del problema da risolvere in uno spazio di soluzioni ammissibili e codici numerici di ottimizzazione per fornire soluzioni sulla base delle combinazione di criteri immessi dall’operatore logistico;

• una interfaccia utente, che serve per mettere in comunicazione il sistema con l'Operatore Logistico e fornire pertanto una decodifica opportuna delle soluzioni numeriche.

Parte integrante e nucleo del Sistema Esperto della piattaforma SETRAM è il cosiddetto Paradigma Risolutivo, costituito da regole ed algoritmi che consentono di sottoporre il problema al Sistema Esperto e di ricevere da esso la soluzione. Questo particolare modello include sia strategie di controllo per dominare la complessità computazionale intrinseca di SETRAM, in particolare riducendo (quando possibile) lo spazio del problema di ottimizzazione, sia gli Algoritmi di soluzione.

Pertanto all’interno del Sistema Esperto opera un componente, chiamato convenzionalmente Codifica dello Spazio di Ricerca, che manda in esecuzione gli Algoritmi di ottimizzazione progettati con due differenti criteri risolutivi, Formulazione con approccio MILP (Mixed Integer Linear Programming) e Formulazione con approccio Euristico basato su Metodo Greedy. Un componete specifico, denominato Modello di Interpretazione, si occupa di aggiornare il Data Base con i risultati degli Algoritmi. Di conseguenza in SETRAM coabitano (in alternativa per i due problemi di ottimizzazione) quattro processi di calcolo la cui complessità ricade nella classe dei problemi NP-Completi.

Prospettive future

L’esperienza del Progetto SETRAM indica che è necessario promuovere ad un ruolo strategico la Ricerca Operativa ma anche affiancare a questi approcci matematici nuovi strumenti che servano a migliorare i modelli, per perfezionare la qualità dello spazio delle soluzioni ammissibili. Oggi è sempre più impellente, a fronte di una crescente complessità informativa dei singoli domini spesso tra loro correlati, ricorrere a metodi evoluti di tipo statistico per poter rilevare quei trend che ad un’analisi a-posteriori non presentano un andamento lineare, consentire il monitoraggio dei relativi fenomeni e prevederne possibili evoluzioni con largo anticipo. Le tecniche di deduzione automatica, categorizzate come Machine Learning, vengono utilizzate per scoprire relazioni solitamente non note all’interno di un organismo molto strutturato. Nondimeno questi approcci possono dimostrarsi estremamente utili sia per la sicurezza di un sistema critico, dove proprio la complessità e le dimensioni diventano ostruzioni ad una loro comprensione analitica, sia per la pianificazione di una rete logistica avanzata. In questo contesto, tecniche di Data Mining, agendo su una appropriata scala temporale, possono essere utilizzate come costruttori di regole che servono ad assistere la scrittura di modelli analitici, scoprendo associazioni e dipendenze che consentano di ottimizzare, ad esempio, le politiche di routing in una rete di servizi di trasporti multi-modale con stringenti vincoli circa lo scheduling (grafo diacronico). In definitiva il Data Mining aiuta a costruire il modello di ottimizzazione stimandone alcuni parametri. Opportune tecniche di Ricerca Operative così dette esatte oppure approssimate vengono poi utilizzate per cercare la

18

soluzione ottima. In sostanza un modello previsionale estratto tramite Data Mining diventerà, tramite opportuna codifica, una regola (o un insieme di regole) o un vincolo (o un insieme di vincoli) per il modello di ottimizzazione.

ENEA intende proseguire nello studio di metodi di riconfigurazione e ottimizzazione utilizzando, a guisa di processi ausiliari non secondari, tecniche previsionali evolute. I Data Miner (che al loro interno contengono approcci molto variegati per il clustering e la classificazione come k-means, Neural Networks, Support Vector Machines ecc.) assumono un ruolo rilevante nell’acquisizione di conoscenza da sistemi complessi e critici i cui archivi storici sono costituiti da grandi volumi di dati, tipicamente caratterizzati da fenomeni di non facile interpretazione che si ripetono in maniera ciclica.

I Data Miner, in una ben programmata coesistenza con tecniche di Ricerca Operativa, possono rafforzare il raggiungimento dei seguenti obiettivi:

supportare la definizione dei parametri di input per algoritmi multi-criteria (costo, tempo, efficienza ecc.) che devono calcolare soluzioni ottime per problemi di pianificazione di sistemi logistici (ad esempio, predire in quale periodo e in quali zone la domanda di certi prodotti è maggiormente concentrata, in modo da privilegiare nella scelta dei criteri gli aspetti temporali rispetto alle economie di scala);

creare trend sulla base dello “storico” di datasets di tele-misure (tipicamente parametri di funzionamento) provenienti da sistemi di produzione energetica in modo da potere fare analisi previsionali sulle aree dove la domanda potrebbe ammassarsi con maggiore intensità solo in periodi specifici. Una programmazione non ottimale dei carichi sottoporrebbe a forte rischio di blackout le sottoreti più vulnerabili ad attacchi e la rete nel suo complesso. Queste informazioni, desunte tramite modelli di analisi statistica fornite dalle tecniche di Data Mining, consentiranno di dare in input ad un Solutore PLI oppure ad una Euristica uno schema della rete, o delle sottoreti, contenente - oltre ai dati fisici del sistema - opportune caratterizzazioni e vincoli.

Bibliografia

[1] G. Dipoppa, Progetto SETRAM - Documentazione e Software Sistema Esperto, Dicembre 2005

[2] M. Valentini, G. Messina, G. Dipoppa, F. Mecca, Metodi analitici di supporto alle scelte dell'operatore logistico: il sistema SETRAM - SIDT 2004 (XII Convegno nazionale Trasporti) http://www. sidt. org/, Università La Sapienza, Facoltà di Ingegneria, Settembre 2004

[3] G. Dipoppa, Seminario di Ricerca Operativa e Presentazione Progetto SETRAM - Dipartimento di Matematica, Università di Camerino, Marzo 2006

[4] G. Dipoppa, M. Caramia, M. Valentini, G. Messina, SETRAM, Multi-objective multimodal capacitated pickup and delivery vehicle routing with time windows, and mandatory and forbidden nodes in freight transportation - Conferenza TRISTAN-VI, http://tristan. epfl. ch/, Thailandia, Giugno 2007, submitted

19

5. TECNOLOGIE PER CONTRASTARE LE VULNERABILITÀ DELLE RETI TECNOLOGICHE


Le reti di comunicazione permettono, tramite il processo della “dematerializzazione”, alla pubblica amministrazione di fornire servizi alternativi e a basso costo cittadini a uffici e imprese. Guasti o attacchi verso questo tipo reti sono sempre più frequenti, causati non solo da utenti malintenzionati (hackers) ma anche da vere e proprie organizzazioni dedite al “cyber” terrorismo.

Paradossalmente, la difesa nei confronti di questo tipo di inconvenienti è diventata più difficile a mano a mano che i sistemi informatici si sono evoluti, realizzando dei componenti standard che si sono diffusi notevolmente sui mercati per il loro basso costo. Se un hacker trova la chiave per manomettere questo tipo di componenti, la loro elevata diffusione sulla rete di comunicazione globale quale è Internet, li rende facilmente raggiungibili ed attaccabili.

L’apertura dei mercati, la standardizzazione delle tecnologie che ha permesso una grande diffusione di nuovi componenti innovativi, rende le reti meno sicure e più vulnerabili.

Anche i sistemi elettronici/informatici dedicati al controllo e alla supervisione delle infrastrutture critiche, quali i sistemi SCADA (Supervisory Control And Data Acquisition) che sono di supporto per gli operatori delle reti di trasmissione e distribuzione dell’elettricità, del gas o dell’acqua, sono oggigiorno più vulnerabili; anche essi, infatti, sempre a causa delle logiche di mercato che tendono a ridurre i costi dei servizi erogati, debbono aprirsi verso le grandi reti di comunicazione esterne, per favorire ad esempio la manutenzione e la diagnostica a distanza dei componenti remoti.

Le ricerche sulla sicurezza dei sistemi SCADA condotte presso il BCIT (British Columbia Institute of Technology) indicano che l’utilizzo dei protocolli di comunicazione TCP/IP compatibili con le tecnologie basate su WEB stanno potenzialmente aprendo i sistemi di controllo e di automazione agli attacchi provenienti dagli hackers. Dal Data Base del BCIT degli incidenti e degli attacchi informatici subiti tra il 1995 ed il 2003 dai sistemi SCADA si ricava il grafico della figura accanto dal quale sembrerebbe che la crescita rapida nel numero degli attacchi dopo il

2001 è stata preceduta da un periodo di stasi forse utilizzato dagli hackers come fase di preparazione e collezione di dati.

Nella figura seguente è riportata una statistica dei vari tipi di incidenti accaduti tra il 1982 ed il 2003 la quale evidenzia come tra il 2001 ed il 2003 vi sia un significativo incremento di incidenti causati da eventi provenienti dall’esterno della infrastruttura, in genere causati da attacchi (worms) di tipo automatico o da virus replicanti.

In molti casi ciò è dovuto al fatto che vi sono state aperture (non conosciute) verso le reti Internet anche in sistemi SCADA di nuova generazione che pure non usano affatto i servizi Internet.

Sembra difficile poter ridurre nel futuro il trend di diffusione ed apertura dei sistemi tecnologici verso l’utilizzo delle grandi reti di telecomunicazione, in quanto ciò impedirebbe il contenimento dei costi di erogazione dei servizi; occorre perciò trovare

20

soluzioni nuove e più efficaci per ridurre le vulnerabilità delle reti indotte da questi fenomeni emergenti.

Offerta ENEA

Ambienti di simulazione

Un’attività rilevante in questo contesto riguarda la realizzazione di modelli di simulazione del comportamento di una o più reti al fine di generare su di esse degli scenari di guasto o di attacco per analizzarne le modalità di propagazione e per individuare i punti di maggior vulnerabilità delle infrastrutture.

Modelli e strumenti software di simulazione di vari tipi di infrastrutture come le reti di distribuzione dell’energia elettrica, del gas o le reti di trasporto ferroviario e stradale sono disponibili sul mercato. Per le infrastrutture elettriche esistono moltissimi esempi di simulatori dei flussi di potenza sia per le reti di trasporto (ad alta/media tensione) dell’energia che per le reti di distribuzione (a bassa tensione).

Per simulare in modo realistico gli scenari incidentali su una rete elettrica occorre però tenere presente che essa non è composta solo dagli impianti di produzione, dalle utenze e dalle connessioni fisiche atte al trasporto dell’energia dal produttore verso l’utilizzatore. La rete elettrica può vivere ed offrire i suoi servizi solo in virtù del sistema di telecontrollo che permette all’operatore della rete di effettuare il “dispacciamento” dell’energia, ossia la gestione ottimale del traffico di potenza in funzione delle esigenze dell’utenza. Senza questo sistema di controllo la rete di trasporto dell’energia non potrebbe “adattarsi” alle necessità della utenza, che variano a secondo delle stagioni, del clima, degli eventi naturali, delle esigenze industriali ecc.

Per simulare in modo realistico una rete elettrica non basta quindi considerare solo lo strato fisico della rete, ma anche lo strato di controllo che è reso più vulnerabile anche a causa dei fenomeni di apertura verso i mercati e di standardizzazione citati nel paragrafo precedente.

Soluzioni innovative di protezione delle reti

Nel campo della protezione di reti altamente informatizzate, molte attività sono state intraprese a livello mondiale nel settore della rilevazione di virus ed attacchi di diversa natura, basandosi sul riconoscimento della “firma” degli attacchi stessi.

Con questo approccio tuttavia non è identificabile un nuovo tipo di attacco o un virus non ancora conosciuto.

21

Recentemente, anche per sistemi diagnostici di apparati industriali, la comunità scientifica ha intrapreso un nuovo filone di ricerca avente lo scopo di studiare come la “normalità di funzionamento” possa essere definita per un sistema, in modo tale che un allarme venga prodotto tutte le volte che il sistema si discosta in modo rilevante dal suo stato di funzionamento normale. Anche se questo approccio potrebbe a prima vista creare dei problemi per la generazione di “falsi allarmi”, esso ha il grande vantaggio di reagire e dare una indicazione anche in presenza di guasti ed attacchi nuovi e non ancora conosciuti.

Le anomalie o deviazioni dal livello di normale di funzionamento vengono diagnosticate mediante varie metodologie provenienti dal mondo del Soft Computing o della statistica. Fra queste possono essere citate:

1. Tecniche di ragionamento temporale su sequenze ordinate di eventi. I metodi di Case Base Reasoning possono essere impiegati per l’apprendimento di sequenze tipiche (Casi) e il riconoscimento delle sequenze avviene analizzandone il grado di similitudine.

2. Sensori intelligenti basati su reti neurali. Si possono realizzare delle reti neurali in grado di apprendere le “caratteristiche medie” di un certo insieme di dati acquisiti in tempo reale su base ciclica. La rete è in grado di capire se un nuovo insieme ha o meno caratteristiche simili.

3. Varie metodologie di Data Mining possono essere applicate per lo studio statistico di fenomeni e per l’apprendimento di “pattern di dati” utili al riconoscimento dello stato di normalità.

Ognuna di queste tecniche è in grado di fornire diversi livelli di allarme a fronte del riconoscimento di anomalie. Esse tuttavia, pur segnalando la presenza di un’anomalia, difficilmente riescono a darne una “interpretazione” ossia a capire la vera origine del guasto.

L’interpretazione, o la classificazione, di un fenomeno anomalo non è generalmente realizzabile tramite l’individuazione di una singola anomalia. Per ottenere ciò occorre “correlare” la presenza (o l’assenza) di “più eventi” rispetto ad una scala temporale e/o spaziale. Questo tipo di correlazione risulta ancora più importante per le infrastrutture complesse distribuite su più aree geografiche in presenza di trasmissioni di dati o flussi di materia da un punto all’altro; qui infatti la correlazione può evidenziare anomalie relative alla correttezza operativa dei flussi. Ancora più importante sembrerebbe operare delle correlazioni spazio-temporali su infrastrutture diverse ma interdipendenti; qui infatti la correlazione potrebbe individuare fenomeni di propagazione del guasto da una infrastruttura all’altra.

La individuazione rapida della localizzazione delle anomalie, su infrastrutture altamente informatizzate, consente l’attuazione di strategie di “self-healing”, ossia di procedure capaci di rimuovere dalla rete i nodi soggetti a guasto (“infettati”) sostituendoli eventualmente con nodi di riserva.

Un progetto di riferimento

Nell’ambito del progetto EU-IST SAFEGUARD si è realizzato presso i laboratori ENEA un sistema software di emulazione di una rete di trasporto di energia elettrica, basato su un simulatore della rete elettrica ed un emulatore del relativo sistema di supervisione e controllo (SCADA). Questa piattaforma può essere adoperata come un ambiente per il test di componenti software di controllo e protezione a fronte di guasti o di natura accidentale o provocati da attacchi informatici deliberati.

Come illustrato nella figura seguente, questo sistema di emulazione e di test è composto da varie workstations, che comunicano tramite rete locale, ognuna specializzata in differenti funzioni, e in particolare:

22

• Un simulatore della rete elettrica, che permette di configurare reti elettriche, effettuare il calcolo dei flussi di potenza sulle linee in funzione del livello di potenza prodotto dai generatori e dagli assorbimenti dovuti ai carichi di distribuzione cui la rete è connessa.

• Un emulatore delle stazioni remote di acquisizione dei dati di rete connesso al simulatore precedente da cui vengono acquisiti i dati con frequenza di scansione “faster than real time”.

• Un emulatore del Centro di Controllo ove si concentrano i dati acquisiti dalle stazioni remote, contenente un Data Base che funge da “archivio” degli eventi, che permette di sperimentare tecniche di correlazione spaziale e temporale fra anomalie a fini diagnostici e predittivi.

• Una serie di pannelli grafici per il monitoraggio e la visualizzazione delle anomalie interfacciati al predetto Data Base.

• Un sistema di produzione di attacchi e guasti simulati che possono essere attivati per verificare il comportamento della rete in caso di guasto e testare soluzioni software di protezione e controllo.

Sul sistema sono stati sperimentati componenti software in grado di riconoscere anomalie causate sia da attacchi informatici che da guasti a livello fisico della rete elettrica.

Prospettive future

L’ambiente di test sviluppato nell’ambito del progetto SAFEGUARD ha lo svantaggio di essere solo un simulatore sia a livello fisico (i flussi di potenza sulla rete elettrica sono prodotti da calcoli di “load-flow”) che a livello informatico (in quanto pur avendovi introdotto le funzioni tipiche di un sistema SCADA, queste sono state realizzate in modo semplificato e ridotto in termini di complessità e con una tecnologia completamente diversa da quella utilizzata dai sistemi SCADA reali).

23

ENEA ha avviato un progetto di “sostituzione” di alcune parti del sistema di emulazione SCADA con componenti SCADA reali quali i PLC (Programmable Logic Controllers) e un sistema di supervisione di tipo commerciale. Un sistema di test e simulazione basato su PLC reali ha il vantaggio che, anche lavorando su un processo molto semplificato, tecnologicamente è pur sempre un sistema reale. L’analisi dei punti di vulnerabilità fatta su un sistema di questo tipo sarà molto più affidabile in quanto il sistema è reale e non simulato. Per realizzare questo progetto, ci si è avvalsi in passato, e sempre più ci si avvarrà in futuro, della collaborazione di partners industriali che commercializzano sistemi SCADA. È stato avviato lo sviluppo di un simulatore ibrido basato su un PLC che si può collegare a interruttori/attuatori e su cui possono essere programmate delle applicazioni di controllo di processo.

L’obiettivo finale è quello di realizzare in ENEA un ambiente di verifica e prova (Testbed) per la simulazione, l’emulazione e il test delle tecnologie e delle soluzioni ICT sviluppate allo scopo di diminuire la vulnerabilità delle Grandi Reti Tecnologiche, sull’esempio della SCADA Testbed Facility2 dell’Idaho National Laboratory (USA), e dell’Integrated Energy Operations Center3 del Pacific Northwest National Laboratory (USA).

Bibliografia

[1] C. Balducelli, Modelling Attack Scenarios against Software Intensive Critical Infrastructures - 10th Annual Conference of The International Emergency Management Society, Sophia-Antipolis, Provence, France, June 3-6, 2003

[2] C. Balducelli, L. Lavalle, G. Vicoli, Novelty Detection and Management to Safeguard Information Intensive Critical Infrastructure - 11th Annual Conference of The International Emergency Management Society, Melbourne, Australia, May 18-21, 2004

[3] M. Martinelli, E. Tronci, G. Dipoppa, and C. Balducelli, Application of Artificial Neural Networks in Electric Power System Anomaly Detection - in proceedings of KES'2004 8th International Conference on Knowledge-Based Intelligent Information & Engineering Systems, Wellington, New Zealand, September 2004

[4] L. Lavalle, C. Balducelli, G. Vicoli, Synopsis Anomaly Detection Approach to Safeguard Critical Infrastructures: a Knowledge Engineering Process on a SCADA Case Study - in proceedings of CRIS, Third International Conference on Critical Infrastructures, Alexandria, VA, September 2006,

http://www.cris2006.com/downloads/Synopsis/cris2006_SA2.pdf

[5] C. Balducelli, S. Bologna, L. Lavalle, G. Vicoli, Safeguarding information intensive critical infrastructures against novel types of emergine failures, Int. Journal of Reliability Engineering & System Safety, ScienceDirect, Elsevier, 2006, Article in Press

2 http://www.oe.energy.gov/randd/247.htm 3 http://www.pnl.gov/

25

6. IL PROBLEMA DELLE INTERDIPENDENZE: PROPOSTE DI SOLUZIONI MODELLISTICHE E TECNOLOGICHE


Se analizziamo la vita della popolazione dei paesi industrializzati, ci rendiamo conto come essa dipenda in modo critico da un certo numero di servizi, tanto essenziali quanto “scontati”. Tra questi, il primo posto spetta probabilmente alla fornitura dell’energia (elettrica, del gas ecc.), ma una attenta analisi ci permette di affermare che alla lista devono essere senza dubbio aggiunti le reti di telecomunicazione, le reti di trasporto, il sistema sanitario ecc. fino ad avere un sistema-di-sistemi che può genericamente essere rappresentato dalla figura di seguito.

Interdependent Critical Infrastructures

Per la loro rilevanza queste infrastrutture sono generalmente indicate con il termine di Infrastrutture Critiche in quanto un loro non corretto funzionamento, anche per un periodo di tempo limitato, può incidere negativamente sull’economia di singoli o di gruppi di individui se non addirittura mettere a rischio la sicurezza di persone e cose.

Fino ad alcuni anni fa, ognuna di queste infrastrutture poteva considerarsi un sistema autonomo, sostanzialmente indipendente dagli altri, grazie anche al fatto che i diversi operatori e gestori, di norma monopolistici, utilizzavano sistemi di gestione con protocollo di comunicazione e controllo proprietari. Ma la volontà/necessità di soddisfare le nuove aspettative ed esigenze degli utenti, che richiedono servizi sempre più “integrati”, unita alla liberalizzazione e internazionalizzazione dei mercati (che rende necessario per l’interconnessione di sistemi progettati separatamente e per l’abbattimento dei costi un notevole grado di standardizzazione) e all’ottimizzazione delle risorse (che vede la tendenza alla concentrazione di tutte le funzioni vitali di controllo in strutture centrali e al telecontrollo delle strutture remote) fanno sì che oggi molte infrastrutture siano tra di loro interconnesse tramite reti informatiche, il cyberspace. La conseguenza è che le diverse infrastrutture critiche risultano fortemente interdipendenti al punto che un guasto

26

(di natura accidentale o dolosa) in una di esse può facilmente propagarsi con un effetto domino alle altre infrastrutture, amplificando i suoi effetti e provocando disfunzioni e malfunzionamenti anche ad utenti remoti (sia dal punto di vista geografico che funzionale) rispetto al punto ove si era originariamente localizzato il guasto.

La rete informatica e di telecomunicazione, finora asservita alle altre infrastrutture, assume oggi il ruolo di Infrastruttura più Critica, in quanto rende vulnerabili le altre infrastrutture ad un attacco informatico (cyber attack), che richiede mezzi poco sofisticati e costosi e può essere molto insidioso.

La figura sottostante illustra la struttura schematizzata di una Infrastruttura Critica Informatizzata (per esempio la rete elettrica) evidenziando il fatto che essa può essere suddivisa logicamente in tre strati distinti tra di loro collegati da “intradipendenze” che rendono la vulnerabilità dei componenti, appartenenti ad uno strato, potenzialmente propagabile a quelli di altri strati.

In particolare, lo strato in basso rappresenta la realizzazione fisica della rete, quello medio è lo strato di controllo e supervisione di tipo informatizzato, in alto è lo strato organizzativo, incluse le organizzazioni umane, dell’infrastruttura.

Le infrastrutture sono poi interdipendenti fra di loro e, come si evince dalla figura, ogni strato può possedere questo tipo di interdipendenza.

Offerta ENEA

Ambienti di simulazione ad agenti

I modelli basati sulla “simulazione discreta ad agenti” sono usati per studiare sistemi complessi, composti da componenti interdipendenti. Gli attori (sistemi, operatori e infrastrutture) che compongono il sistema target e l’ambiente dove esso opererà sono modellati come agenti interagenti. Ogni agente è un sistema indipendente che autonomamente elabora informazioni e risorse per produrre dei risultati che saranno utilizzati da altri agenti.

Ogni agente è un’entità caratterizzata da una localizzazione, da capacità di lavoro e da memoria. La localizzazione definisce uno spazio fisico (ad esempio geografico) o uno

Intra-dipendenze

CCoommppoonneennttii rreettee eelleettttrriiccaa

ggeenneerraattoorrii,, ttrraassffoorrmmaattoorrii,, iinntteerrrruuttttoorrii,, lliinneeee eecccc..

Componenti hardware/software di gestione e controllo

(SCADA/EMS systems)

Gestore della Rete ElettricaOperatore Indipendente

per la gestione ed il trasporto dell’elettricità

Rete di telecomunicazione

Rete trasmissione elettrica estera Inter-dipendenze

Rete di trasmissione elettrica nazionale Sistema di trasporto Olio/Gas

27

spazio astratto (come un indirizzo internet) in cui l’agente risiede. Quello che l’agente può fare definisce la sua capacità di lavoro (percezione, reazione intelligente, scambio di informazione, cooperazione, autonomia).

La storia della sua esperienza e i dati acquisiti nel tempo rappresentano la memoria dell’agente.

L’idea di base è quella di usare la simulazione ad agenti per scoprire interdipendenze sconosciute o emergenti. In ENEA è già stato sviluppato un primo ambiente di simulazione di questo tipo su cui sono state sperimentate le interdipendenze fra un’infrastruttura elettrica, una linea ferroviaria ed un grande centro ospedaliero in funzione di eventi di blackout più o meno diffusi nello spazio e nel tempo. Algoritmi di ottimizzazione delle strategie di risposta durante gli eventi di blackout sono attualmente in fase di sviluppo.

Oltre all’approccio ad agenti, ENEA, in collaborazione con alcune università italiane, ha in corso la sperimentazione di altri approcci per lo studio delle interdipendenze.

In un primo approccio, basato sulla simulazione di sistemi dinamici interagenti (che modellano coppie di infrastrutture), si affronta il problema di valutare direttamente le dipendenze e le suscettibilità di una specifica infrastruttura rispetto alle altre.

Nel secondo, basato su un approccio macroscopico di tipo analitico (modello di Leontief), è possibile predire, sulla base di tassi di interdipendenze noti, l’impatto di guasti su specifiche infrastrutture sul comportamento delle altre, anche nell’ambito di scenari complessi.

Tutti gli strumenti sviluppati sono stati inseriti nell’ambiente di simulazione NAT (Network Analysis Tools) per l’analisi delle proprietà di sistemi tecnologici complessi.

Nell’ambito del Progetto Europeo EU-IST IRRIIS si sta sviluppando un ambiente “sintetico” di simulazione di due grandi infrastrutture, la rete elettrica e la rete di telecomunicazione pubblica, avente lo scopo di analizzare i fenomeni di interdipendenza fra queste due reti nella eventualità di guasti o attacchi.

Riduzione delle vulnerabilità dovute a fenomeni di interdipendenza

Nell’ambito del progetto EU-IST IRRIIS ENEA ha proposto lo sviluppo e la sperimentazione di soluzioni informatiche, basate su componenti software distribuiti, e aventi lo scopo di attuare lo scambio e la messa in comune fra le differenti infrastrutture di quelle informazioni che possono contribuire ad un miglior coordinamento fra i vari operatori nelle fasi di erogazione/scambio dei servizi essenziali.

Come visualizzato nella figura seguente questi componenti opereranno fra più infrastrutture critiche (LCCI – Large Complex Critical Infrastructures) ossia “nel mezzo”, in quello strato di comunicazione che comunemente viene chiamato “middleware”.

Alcuni di questi componenti MIT (Middleware Improved Technology) saranno anche preposti ad interfacciarsi con gli strumenti di monitoraggio e diagnostica utilizzati all’interno dei sistemi di supervisione e controllo delle reti.

L’idea è quella di ”sperimentare” l’architettura e il buon funzionamento dei componenti MIT nell’ambiente sintetico di simulazione, come visualizzato nella parte sinistra della figura seguente. I componenti MIT possiederanno doti di scalabilità sufficienti a poter migrare senza grosse modifiche dall’ambiente di simulazione verso il sistemi di supervisione e controllo reali, come visualizzato nella parte destra della figura.

La sperimentazione di questa tecnologia si attuerà in un ambiente di simulazione eterogeneo all’interno del quale le principali tipologie di guasti, attacchi ed eventuali loro combinazioni verranno progettate mediante uno strumento di generazione di scenari di guasto/attacco sviluppato da ENEA.

28

Prospettive future

ENEA, partendo dall’opportunità offerta dal Progetto PON-CRESCO (Centro Computazionale di RicErca sui Sistemi COmplessi) intende realizzare un Centro di Simulazione sull’esempio del National Infrastructure Simulation and Analysis Center (NISAC)4, azione congiunta Los Alamos National Laboratory e Sandia National Laboratory, USA. Il Centro consentirebbe un’analisi delle interdipendenze tra più reti con un approccio di sistema-di-sistemi e, in particolare, favorirebbe l’analisi di quegli aspetti di vulnerabilità indotti dalla presenza delle interdipendenze nonché l’impatto che i diversi malfunzionamenti potrebbero avere e lo studio delle modalità con cui gli stessi si propagano attraverso le diverse infrastrutture. Tali tipi di analisi sono di interesse sia nei confronti dell’attuale situazione infrastrutturale che in relazione ai possibili sviluppi della stessa, al fine di prevedere le possibili conseguenze indotte sull’intero sistema infrastrutturale del Paese, specificamente per quel che riguarda gli aspetti di sicurezza e continuità di servizio, da innovazioni adottate nelle singole infrastrutture. La disponibilità di un tale ambiente consentirà, inoltre, la valutazione e la verifica della correttezza e dell’efficacia delle procedure previste per la gestione di eventi di crisi.

Data la complessità del problema e la molteplicità degli operatori in gioco si può ipotizzare una soluzione distribuita in cui i vari operatori possono far girare i loro codici mettendo a disposizione i risultati. Non è ipotizzabile una standardizzazione del software e dei sistemi operativi in quanto molti dei codici che dovrebbero essere messi insieme sono codici proprietari sviluppati in epoche diverse (basti pensare ai codici di simulazione del comportamento della rete elettrica o del comportamento del traffico in presenza di eventi esterni). È auspicabile una soluzione in cui ogni operatore metta a disposizione sia i propri codici di simulazione sia i risultati su nodi proprietari particolarmente dotati in termini di capacità di calcolo. Il Centro di Simulazione dovrà quindi realizzare un Application Server, che risiederà nel Centro di Simulazione stesso, mediante il quale fornirà una serie di servizi agli utenti finali. Tali servizi verranno erogati sia sfruttando le capacità di calcolo proprie del Centro di Simulazione sia sfruttando, in maniera trasparente all’utente, le capacità di simulazione derivanti dall’utilizzo dei vari codici di simulazione messi a disposizione degli operatori.

4 http://lanl.gov/orgs/d/nisac/

29

In una prospettiva più remota, si può ipotizzare che utenti provenienti da varie organizzazioni potranno, tramite Internet, accedere ai servizi del Centro di Simulazione previa registrazione e creazione di un account personale. Tali servizi sarebbero comunque legati ai temi derivanti dall’utilizzo dei codici di simulazione di cui sopra per cui gli utenti non sarebbero utenti generici bensì utenti specializzati su questo tipo di tematiche. Gli utenti, una volta registrati, potrebbero quindi impostare le proprie richieste e mandarle in esecuzione, anche queste, come detto sopra, sia in modalità sincrona che asincrona. Terminata l’esecuzione gli utenti potrebbero visualizzare gli eventuali risultati.

Il Centro di Simulazione così concepito potrà costituire un Centro di Competenze del Dipartimento della Protezione Civile, secondo la Direttiva della Presidenza del Consiglio dei Ministri 27-2-2004, pubblicata nella Gazz. Uff. 11 marzo 2004, n. 59, S.O.

Bibliografia

[1] S. Bologna, G. Vicoli, Interacting Agents Modelling and Simulation of Large Complex Critical Infrastructures Interdependencies, Proceedings of the Annual Conference of the Italian Society for Computer Simulation (ISCS 2003), Cefalù, Italy, Novembre 28-29, 2003

[2] L. Issacharoff, S. Bologna, V. Rosato, G. Dipoppa, R. Setola, E. Tronci, A dynamical model for the study of complex systsm’s interdependence, Proceedings of International Workshop on Complex Networks and Infrastructure Protection (CNIP06), Rome, March 28-29, 2006

[3] V. Rosato, F. Tiriticco, L. Issacharoff, S. De Porcellinis, R. Setola, Modelling interdepedent infrastructures using interacting dynamical models, Int. J. Crit. Infrastr., in press

[4] C. Balducelli, S. Bologna, A. Di Pietro, G. Vicoli, Analysing Interdependencies of Critical Infrastructures using Agent Discrete Event Simulation – Int. Journal of Emergency Management, Vol. 2, No. 4, 2005, pp. 306-318

[5] NAT Simulation Environment: How to use it, web http:// irriis.nat.ylichron.it

31

7. LA VULNERABILITÀ DELLE ORGANIZZAZIONI UMANE: ALCUNI SPUNTI DI RIFLESSIONE


La sicurezza delle grandi reti tecnologiche dipende non solo dalle loro proprietà tecnologiche ma anche dalle caratteristiche dell’uomo e dell’organizzazione che le gestisce. Il ruolo della componente umana cresce parallelamente alla complessità delle reti e alle regole necessarie per la loro gestione, sia in situazioni di normale funzionamento che d’emergenza. La probabilità d’errore umano sta diventando comparabile, se non superiore, a quella di malfunzionamento dovuto a fattori tecnologici o ambientali, o causato da intrusioni di malintenzionati (cyber attack). L'elenco delle gravissime emergenze, provocate o amplificate da errori umani e riportate dai mass media, è già lungo. Anche in Italia il loro numero è in continua e preoccupante crescita.

Il nocciolo del problema è che, il gestore, in situazioni complesse e tempi brevi, deve: ottenere e gestire un alto numero d’informazioni; usare le numerose conoscenze operative; seguire le regole che risultano dalle voluminose istruzioni/procedure d’emergenza e dalle normative legali. In parallelo, le decisioni da prendere richiedono spesso la cooperazione dell’organizzazione a cui compete la gestione: esperti, colleghi, superiori ed esecutori di ordini. In tali circostanze, accompagnate spesso da fattori emotivi come lo stress, la probabilità d’errore umano cresce vertiginosamente.

La comprensione del processo decisionale, individuale e di gruppo, e lo sviluppo di Sistemi Intelligenti di Supporto alle Decisioni (Intelligent Decision Support Systems – IDSS) stanno diventando un’inevitabile sfida per la ricerca e la tecnologia dei nostri tempi. La ricerca cognitiva e dell’intelligenza artificiale è parte importante di grandi progetti interdisciplinari finanziati da importanti organizzazioni governative americane (DARPA, NASA, FEMA) ed europee, nel quadro del Sesto e Settimo Programma Quadro della Commissione Europea.

Il concetto di vulnerabilità dell’organizzazione è legato a stati di non efficace funzionamento, spesso legati al tipo di struttura dell’organizzazione, che non permettono di prendere decisioni sufficientemente efficienti e d’evitare errori gestionali che risultano irreversibili soprattutto in situazioni di: pericolo e minacce provenienti dall’esterno, guasti e malfunzionamenti interni delle strutture o altro tipo di emergenza.

La documentazione dei grandi disastri recenti, come Chernobyl, il blackout elettrico americano e italiano, l’onda Tsunami e l’uragano Catarina, fornisce evidenti esempi dell’esistenza, dannosità e diffusione di tali vulnerabilità.

Il contributo dell’ingegneria socio-cognitiva5 per il governo e la sicurezza delle grandi reti tecnologiche comincia quando la situazione gestita normalmente dagli operatori esce fuori dalle loro competenze di routine e richiede delle decisioni che coinvolgono l’intera organizzazione responsabile della fornitura e qualità dei servizi.

In questo contesto, lo sviluppo di scenari e di modelli socio-cognitivi è elemento cruciale per l’identificazione delle inter- e intra-dipendenze e per la progettazione di strumenti di supporto decisionale per operatori e manager. Inoltre, gli errori umani nei processi decisionali costituiscono la principale criticità nella pianificazione delle procedure d’emergenza da adottare.

La modellazione socio-cognitiva ha come oggetto d’indagine il comportamento umano e le interazioni tecnologia-uomo-organizzazione, e usa le metafore di funzionamento della mente umana. La possibilità di verificare concetti e ipotesi socio-cognitive implementate nei complessi sistemi software è cruciale per: la progettazione di grandi sistemi

5 Con il termine “socio-cognitivo” ci riferiamo a tutti i fattori dei processi decisionali cognitivi come

le capacità, conoscenze, interessi e motivazioni individuali impiegate da un “decisore”, umano o artificiale, nel contesto dei vincoli e delle interazioni sociali soggettivamente riconosciute.

32

eterogenei con componenti umani, lo sviluppo e la validazione dei moduli di governo, i processi decisionali di controllo e di supervisione di un qualsiasi sistema che supera un certo livello di complessità ed incertezza. Le ricerche svolte negli ultimi venti anni suggeriscono in modo sempre più convincente che l’applicazione di strumenti concettuali della meta-conoscenza nel contesto sistemico, implementati usando le moderne tecnologie software, potrebbero permettere un’identificazione di tale capacità umana fino alla sua modellazione computazionale.

La simulazione è il secondo passo nella strategia della ricerca per analizzare sistemi complessi e richiede strumenti e tecnologie avanzate ad alte prestazioni come, ad esempio, le piattaforme di calcolo parallelo. In tale ambiente, con l’obiettivo dell’addestramento, si può realizzare il così detto emergency game di tipo multi-player, che permette di analizzare le azioni individuali, le decisioni organizzative e le previsioni (what-if analysis), per la pianificazione degli interventi futuri e per reagire “in tempo reale” all’evento oggetto della simulazione.

La metodologia è il terzo obiettivo e strumento chiave per l’ingegneria socio-cognitiva.

L’uso dei metodi e dei modelli per gestire le reti è stato in passato ampliamente studiato mediante la Teoria dei Grafi e, più in generale, con strumenti di Ricerca Operativa e di Ingegneria dei Sistemi. La creazione di nuovi paradigmi ha reso però tale studio sempre più difficile, rendendo necessaria l’introduzione di nuove metodologie, soprattutto a causa dell’incertezza e incompletezza delle informazioni, delle conoscenze e delle variabili in gioco. Nel caso di reti complesse che sovrintendono aggregati socio-tecnologici, gli approcci basati su: Tecnologie di Agenti Intelligenti (IAT), System Dynamics (SD) e Social Network Analysis (SNA) si sono dimostrati utili soltanto per affrontare casi particolari. Questi approcci, infatti, non prendono in considerazione i processi cognitivi dell’individuo coinvolti in ogni tipo di decisione reale. D’altra parte, i modelli cognitivi presenti in letteratura o sono troppo specializzati o non sono capaci di superare la barriera della computazionalità.

In conclusione, la complessità e la numerosità degli aspetti reali richiede, dall’ingegneria socio-cognitiva, una nuova metodologia per l’acquisizione e la gestione di conoscenza interdisciplinare ed eterogenea. Tale metodologia deve essere basata sull’applicazione integrata dei paradigmi di: ingegneria, fisica e scienze cognitive e sociali.

Offerta ENEA

Forte dell’esperienza maturata nel contesto dell’attività di ricerca sul nucleare, ENEA è già stato impegnato, dall’inizio degli anni 90, sul versante della sicurezza e dell’aumento dell'affidabilità dei sistemi “uomo-macchina”, sviluppando progressivamente modelli cognitivi dell’operatore di impianti ad alto rischio. Successivamente ha dato seguito alla ricerca teorica sviluppando prototipi di strumenti di supporto decisionale all'operatore e ai manager delle emergenze su larga scala.

Lo sviluppo e le applicazioni dei modelli intermedi dei sistemi di “bassa intelligenza” hanno permesso di generalizzare il concetto di management come la proprietà stessa di auto-gestione e di gestione degli altri soggetti intelligenti. Nell’ultima decade degli anni novanta, la prima architettura cognitiva del modello funzionale di un sistema intelligente è stata definita teoricamente (attraverso lo sviluppo del modello TOGA, Top-down Object-based Goal-oriented Approach), e le sue proprietà sono state confrontate con i requisiti dei prototipi di sistemi di tipo IDSS (Intelligent Decision Support Systems) sviluppati in ENEA nel quadro dei diversi progetti di R&S nazionali ed europei. Agli inizi degli anni duemila, la ricerca socio-cognitiva si è concentrata soprattutto sulla modellistica del processo cognitivo decisionale di una entità/agente intelligente nei diversi ruoli manageriali o di e-apprendimento (e-learning) e, in parallelo, sullo sviluppo della metodologia computazionale per l’identificazione e la specifica dei sistemi ingegneristici complessi e della componente umana.

33

Nel 1997 ENEA ha aperto il primo sito sul tema: Meta-Knowledge Engineering & Management Server for High-Intelligent Socio-Cognitive Systems6, mantenendo ad oggi una posizione di leadership in questo campo. Durante gli ultimi due anni, i modelli e le metodologie sviluppate in ENEA sono state applicate per lo studio dei principali fattori di vulnerabilità delle organizzazioni umane.

Schema di interrelazioni tra processi decisionali socio-cognitivi e infrastrutture tecnologiche complesse

L’attività presente include:

• sviluppo top-down di modelli delle vulnerabilità socio-cognitive delle grandi reti delle organizzazioni umane che gestiscono le reti tecnologiche;

• sviluppo e applicazione di metodologie per l’analisi, la modellazione e la progettazione di sistemi intelligenti di supporto alla gestione di eventi su larga scala e multi-giurisdizionali, per i quali non c’è un solo operatore di riferimento.

Concludendo, le competenze ENEA in questo nuovo e importante settore si collocano in prima fila nel panorama internazionale e forniscono un importante contributo per lo studio, l’analisi e l’aumento della sicurezza delle grandi infrastrutture tecnologiche.

Prospettive future

Il problema della gestione efficace e sicura delle grandi reti tecnologiche richiede, urgentemente, di comprendere meglio i meccanismi decisionali dell’uomo, delle sue

6 http://erg4146.casaccia.enea.it

34

capacità di percezione e di ragionamento, e di rinforzare l’intelligenza degli aggregati uomo-tecnologia-organizzazione in contesti socio-economici reali.

La risposta sta nello sviluppo di reti intelligenti di alta autonomia e di supporto decisionale per operatori, managers e policymakers che collaborano e interagiscono in situazioni complesse ed eterogenee d’emergenza. Affrontare questa sfida, dal punto di vista delle esigenze della società globale, risulta oggi inevitabile.

ENEA intende continuare a contribuire in questo settore attraverso:

• lo sviluppo di un modello computazionale sufficientemente dettagliato di un’ entità intelligente (individuale e collettiva) che può usare diverse conoscenze professionali nei processi decisionali;

• l’identificazione delle vulnerabilità, delle loro cause, e l’elaborazione di metodi per la loro eliminazione nel ciclo di vita delle organizzazioni umane che gestiscono le situazioni di alto rischio;

• lo sviluppo di ambienti di simulazione per la verifica di tali modelli e per le loro applicazioni, nei casi concreti, di particolare attinenza alle emergenze relative alle infrastrutture critiche.

La struttura funzionale socio-cognitiva dell’organizzazione umana secondo la metateoria TOGA con l’indicazione dei possibili nodi vulnerabili e la loro

architettura interna IPK (Information, Preferences, Knowledge)

In parallelo, le attività future ENEA prevedono di seguire la strategia di ricerca socio-cognitiva nel lungo temine, focalizzata allo sviluppo di capacità decisionali di reti di alta intelligenza per la realizzazione di applicazioni e la validazione della sua utilità nei progetti correnti di R&S dell’Ente.

Bibliografia

[1] A.M. Gadomski, TOGA: A Methodological and Conceptual Pattern for modelling of Abstract Intelligent Agent, Proceedings of the First International Round-Table on

35

Abstract Intelligent Agent. A.M. Gadomski (editor), 25-27 Jan.1993, Rome, Published by ENEA, Feb.1994. and A.M. Gadomski, C. Balducelli (Editors). Abstract Intelligent Agent, 2 (The Proceedings of the Second International Round-Table on Abstract Intelligent Agent, AIA94). Printed by ENEA, 1995

[2] A.M. Gadomski , S. Bologna, G. Di Costanzo, Intelligent Decision Support for Cooperating Emergency Managers: the TOGA based Conceptualization Framework - The Proceedings of "TIEMEC 1995: The International Emergency Management and Engineering Conference", J.D. Sullivan, J.L. Wybo, L. Buisson (Editors), Nice, May, 1995

[3] A.M. Gadomski, S. Bologna, G. Di Costanzo, A. Perini, M. Schaerf, Towards Intelligent Decision Support Systems for Emergency Managers: The IDA Approach - International Journal of Risk Assessment and Management, IJRAM, 2001, Vol. 2, No 3/4

[4] A.M. Gadomski, Modelling of Socio-Cognitive Vulnerability of Human Organizations: TOGA Meta-Theory Approach - Proc. of International Workshop on Complex Network and Infrastructure Protection, CNIP 2006, 28- 29 March 2006, Rome, Italy. Submitted to the International Journal of Emergency Management, IJEM

[5] A.M. Gadomski, Intelligent Infrastructure Networks, TOGA Methodological Approach - Workshop on EU Co-operating Objects, Brussels, 23-24 June 2005. Cordis Archivie: ftp://ftp.cordis.lu/pub/ist/docs/dir_c/ems/gadomski-intelligent.pdf

37

8. CONCLUSIONI E PROSPETTIVE DI RICERCA E SVILUPPO

Il rischio associato alle vulnerabilità delle grandi reti, in particolare energetiche, aggiunge una nuova dimensione al problema dell’approvvigionamento energetico, che non è legato solo alla disponibilità della sorgente energetica ma anche all’affidabilità e sicurezza delle reti di trasmissione e distribuzione delle diverse risorse energetiche. Questa nuova dimensione richiede un approccio multi-giurisdizionale di collaborazione tra operatori storicamente indipendenti e multi-disciplinare di ricerca e sviluppo che un Ente come ENEA può sostenere a livello nazionale.

La crescente complessità delle grandi reti tecnologiche e la conseguente accresciuta vulnerabilità rispetto a eventi indesiderati, sia accidentali che intenzionali, richiedono una generale riconsiderazione dell’approccio alla sicurezza, considerando nel contempo le possibili interazioni tra le infrastrutture al fine di prevenire effetti di caduta a cascata.

In ambito Europeo, la necessità di affrontare con un approccio sistemico il problema della sicurezza delle grandi infrastrutture a rete è affrontato a livello di policy dal Documento della DG Giustizia, Libertà e Sicurezza “European Programme for Critical Infrastructure Protection (EPCIP)” 7 , che richiede a tutti gli Stati Membri di dotarsi di strumenti e metodologie per far fronte in modo adeguato al problema della sicurezza delle grandi reti nazionali, con particolare riferimento ai problemi di modellistica, analisi e simulazione delle interdipendenze.

La policy identificata dall’EPCIP trova attuazione in ambito settimo Programma Quadro (FP7) nell’iniziativa “European Security Research Programme (ESRP)” 8 della DG Enterprise & Industry che, insieme alla DG Information Society mira a stimolare le attività di R&D nel campo della sicurezza nei diversi Stati Membri.

A livello nazionale mancano ancora iniziative, sia di policy che di ricerca, mirate ad affrontare in modo organico il problema della Protezione delle Infrastrutture Critiche. Data la natura intersettoriale e multi-giurisdizionale del problema, la necessità di fissare una policy di governance delle reti va di pari passo con l’innovazione tecnologica.

Il carattere assolutamente multi-disciplinare delle attività di ricerca e sviluppo di cui necessita il problema della Protezione delle Infrastrutture Critiche pone ENEA come candidato naturale per sostenere e coordinare un’attività di ricerca a livello nazionale.

ENEA, insieme alla sua partecipata CESI Ricerca, nel settore specifico è leader in Italia e risulta tra le Istituzioni leader a livello europeo (insieme a Fraunhofer tedesco, ENST francese, TNO olandese) e può vantare la partecipazione alla quasi totalità dei progetti europei nel settore.

ENEA, sulla scia di quanto già fatto negli ultimi anni, si propone di sviluppare un sistema organico di tecnologie ICT, metodologie, modelli e sistemi di supporto alle decisioni che, integrando le informazioni provenienti dal territorio con quelle relative allo stato delle grandi infrastrutture nazionali, sia in grado di fornire ai soggetti preposti alla gestione delle grandi infrastrutture e/o delle crisi, informazioni sui possibili scenari di evoluzione.

Sulla base di questo obiettivo ENEA intende realizzare un laboratorio, presso il Centro Ricerche Casaccia, aperto al contributo di altri soggetti interessati al tema, con lo scopo di sviluppare soluzioni tecniche e tecnologiche e prodotti da utilizzare e/o da integrare all’interno delle attività della rete nazionale dei Centri Funzionali del Dipartimento della Protezione Civile (così come previsti dalla Direttiva della Presidenza del Consiglio dei Ministri 27-2-2004, pubblicata nella Gazz. Uff. 11 marzo 2004, n. 59, S.O.), per lo svolgimento di attività di sorveglianza, nonché la formulazione di scenari di rischio in tempo reale relativi alle strutture strategiche nazionali e alle possibili evoluzioni degli stessi scenari. 7 http://ec.europa.eu/justice_home/funding/epcip/funding_epcip_en.htm. 8 http://ec.europa.eu/enterprise/security/index_en.htm

38

Tale attività potrà promuovere i rapporti con il sistema dei servizi nazionali e locali, nonché il sistema delle imprese.

In ogni caso, rimane il carattere assolutamente strategico delle attività di ricerca in questo settore. A distanza di pochi anni da quando l’allora Presidente degli Stati Uniti Bill Clinton il 22 maggio 1998 firmò la “Presidential Decision Directive 63” (PDD-63) sulla difesa delle Infrastrutture Critiche, che ha dato vita al “Critical Infrastructure Assurance Office” (CIAO) e ha segnato di fatto la nascita del filone di ricerca e sviluppo sulle infrastrutture critiche, gli eventi hanno dato ragione alla rilevanza strategica del settore e alla necessità di investire in ricerca.

Per quanto riguarda la determinazione delle necessità di ricerca e sviluppo nel settore della Protezione delle Infrastrutture Critiche, ENEA, nell’ambito della partecipazione al Progetto EU-IST-CI2RCO9, ha partecipato, per la Direzione Generale Information Society, allo sviluppo di una Agenda di Ricerca a sostegno del settimo programma quadro.

Bibliografia

[1] S. Bologna, G. Di Costanzo, E. Luiijf, R. Setola, An Overview of R&D activities in Europe on Critical Information Infrastructure Protection (CIIP), CRITIS’06, Proceedings 1st International Workshop on Critical Information Infrastructures Security, August 30 – September 2, 2006, Samos Island, Greece, Springer 2006

9 Critical Information Infrastructure Protection Co-ordination http://www.ci2rco.org/

Edito dall’ENEA Unità Comunicazione

Copertina: Bruno Giovannetti

Finito di stampare nel mese di novembre 2006

DOSSIER

ENEA PER IL SOLAREFOTOVOLTAICO

Workshop

IL FOTOVOLTAICO: SVILUPPO DELLA RICERCAE OPPORTUNITÀ PER L’INDUSTRIA

13 settembre 2006

Roma

COPERTINA DOSSIER 13-9-06 30-08-2006 11:03 Pagina 1

DOSSIER Grandi Reti 20-11-06 new -...

Documents

Transcript of DOSSIER Grandi Reti 20-11-06 new -...