INFRASTRUTTURE CRITICHE_sicurezza fisica nelle fasi progettuali, costruttive e di cantierizzazione

Ing. Marco Lucidi

Dottore Magistrale in ingegneria della Sicurezza e protezione Civile – LM 26

Ingegnere iunior civile e ambientale – l 7

Security, safety, critical infrastructures,

emergency and Forensics Engineering

Via pietro maroncelli, 60 roma

Tel. 347 7016088 – 06 52281942

e-mail: [email protected]

pec: [email protected]

c.f. lcdmrc74p28h501w

Roma, 16 gennaio 2015

INFRASTRUTTURE CRITICHE

DATI SENSIBILI – SICUREZZA FISICA NELLE FASI PROGETTUALI, COSTRUTTIVE E di CANTIERIZZAZIONE

Ing. Marco Lucidi Libero Professionista, Roma

SOMMARIO

La ricerca nasce da delle considerazioni su una mia esperienza personale di assistenza alla Direzione Lavori all’interno di cantieri, o anche nell’affiancare chi aveva la gestione diretta del coordinamento della sicurezza di questi, riguardanti Infrastrutture Critiche. Nello specifico si trattava di una DL per una ristrutturazione e di un CSE per una nuova realizzazione. Ho avuto la sensazione che la sicurezza, intesa come security, non veniva assolutamente tenuta in considerazione se non solo nell’approssimarsi delle prime attività operative..ma chi maneggiava progetti, faceva foto per seguire il procedere dei lavori, o si interessava di studiare come adeguare l’infrastruttura alle richieste del committente (in funzione di quello che si sarebbe dovuto poi fare all’interno della costruzione) non subiva nessuna forma di controllo.

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




1. FASI A RISCHIO NELLA VITA di UNA INFRASTRUTTURA CRITICA

Nasce la necessità di individuare quali siano le fasi in cui i dati inerenti la realizzazione di una Infrastruttura Critica possano essere prelevati per motivi di spionaggio industriale o comunque per possibili risvolti anche di carattere terroristico. Ovvero dove bisogna cominciare a prestare attenzione in termini di sicurezza per la protezione dell’infrastruttura.

A tal proposito bisogna prendere in riferimento l’andamento storico in cui si è sviluppato tutto il processo che ha portato fino ad oggi alla cultura della Protezione delle Infrastrutture Critiche, concentrandoci però nella parte antecedente alla conclusione di qualsiasi tipo di cantierizzazione con riferimento a lavori di manutenzione, piuttosto che di nuova realizzazione, che espone i progetti alla possibilità di furto. La conoscenza dei progetti esecutivi può essere già una vulnerabilità importante.

Non da meno va considerata la stessa cantierizzazione, interessante anch’essa per chi vuole sottrarre informazioni sensibili in merito ad una ben specifica infrastruttura critica, in quanto in tale fase si realizza effettivamente l’opera, passando da un’idea a un fatto compiuto, e quindi sicuramente più concreto della fase precedente. Prendere contatto con i luoghi, e maneggiare la progettazione costruttiva, rendono la conoscenza dell’opera più intima.

Ancora più delicata è tutta la parte di documentazione che va consegnata a termine dei lavori, da parte dell’impresa esecutrice, e definita come “as built”. E’ prevista per legge, ma rappresenta un atto ufficiale in cui si dettaglia come tale opera è stata realizzata, in tutti i suoi aspetti.

Quest’ultima fase rientra già in un processo di maggior controllo, sia per il fatto che la completa realizzazione dell’opera, non la espone a particolari vulnerabilità, se non quasi paragonabili alla messa in esercizio della stessa, sia perché gran parte della progettazione di protezione, sia attiva che passiva, è ormai conclusa e quindi operativa anche se non collaudata.

Anche la prima fase, ovvero quella progettuale esecutiva può essere considerata difficilmente reperibile se si adottano la giuste accortezze di controspionaggio industriale, a garanzia della normale pratica di chi si occupa di progettazione di particolare sensibilità.

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




2. LA VULNERABILITA’ di UN CANTIERE di IC

La parte più vulnerabile, e facilmente attaccabile, risulta allora essere la cantierizzazione..è infatti una fase non breve, in cui :

- la progettazione esecutiva viene condivisa con tutte le imprese che si occuperanno di realizzare l’opera; - all’interno del cantiere si maneggiano sia progetti esecutivi che costruttivi; - lo stesso cantiere non risulta essere un’area completamente definita e quindi difficile da proteggere; - il personale di controllo agli accessi avrebbe difficoltà nell’individuazione di personale, mezzi e attrezzature, con le quali non ha grande

dimestichezza, e che è molto numerosa e variabile nel tempo.

Vediamo intanto cosa si riporta nella ricostruzione storica di problemi analoghi, passando per la definizione un po’ più concreta di quelli che possono essere considerati cantieri di infrastrutture critiche, quali sono gli enti o organi istituzionali che dovrebbero garantirne la protezione, e quali le norme che ne hanno già considerato la criticità.

Rif. http://www.analisidifesa.it/2013/10/la-protezione-delle-infrastrutture-critiche/

“…Anche per questo merita attenzione un ultimo aspetto della direttiva [“direttiva 2008/114/CE del Consiglio”], che completa i punti di nostro interesse. Il riferimento riguarda la definizione delle informazioni sensibili e la loro gestione. Le prime sono definite come “i fatti relativi a un’infrastruttura critica che, se divulgati, potrebbero essere usati per pianificare ed eseguire azioni tali da comportare il danneggiamento o la distruzione di installazioni di infrastrutture critiche”. La seconda è organizzata nel modo che “ciascun Stato membro mette in atto un idoneo meccanismo di comunicazione tra l’autorità nazionale competente e il funzionario di collegamento in materia di sicurezza o uno equivalente, al fine di scambiare informazioni utili relative ai rischi e alle minacce individuati riguardo alla ECI interessata. Questo meccanismo di comunicazione non pregiudica i requisiti nazionali in materia di accesso alle informazioni sensibili e classificate. Si considera che l’osservanza delle misure … equivalga a soddisfare tutti i requisiti imposti agli Stati membri dal presente articolo o adottati in virtù di questo … ”. Conclusa questa breve rassegna, sospesa tra il vortice della storia e della cronaca giuridica internazionale, consegue un altro obbligato riferimento a

http://www.analisidifesa.it/2013/10/la-protezione-delle-infrastrutture-critiche/

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




un’appropriata e recente fonte giuridica emanata dalla maggiore Autorità del nostro Paese, cui l’ordinamento demanda il presidio di quanto, in materia strategica, debba essere oggetto di prevenzione.

Il riferimento è all’articolo 39 del “Decreto del Presidente del Consiglio dei Ministri del luglio 2011, n. 4” – (d’ora in avanti DPCM) – nel quale sono individuate le attività industriali di rilievo strategico e quali operatori economici assumano tale rilevanza per la sicurezza nazionale in considerazione dell’oggetto, della tipologia o delle caratteristiche inerenti alla loro attività. Eccole: “a) attività volte ad assicurare la difesa e la sicurezza dello Stato; b) attività volte alla produzione o allo sviluppo di tecnologie suscettibili di impiego civile/militare; c) gestione in concessione di reti e di sistemi di ricetrasmissione ed elaborazione di segnali e/o comunicazioni; d) gestione in concessione di infrastrutture stradali, ferroviarie, marittime ed aeree; e) gestione in concessione di reti di produzione, distribuzione e stoccaggio di energia ed altre infrastrutture critiche.” Quanto precede, mostra molto di ciò da cui dipenda il funzionamento vitale di uno Stato; perimetro che la norma in commento lo compone di “attività” e “gestioni”, dichiarate entrambe strategiche, per estenderne poi la qualifica alla lettera e) dell’enunciato normativo sopra descritto. La disposizione ci offre l’opportunità di analizzare, con riferimenti non troppo risalenti, l’ordinamento nazionale con i consueti collegamenti alla radice europea ove quest’ultima abbia avuto rilievo. Vediamo allora la composizione di alcune fra le maggiori sentinelle giuridiche nazionali, che costituiscono l’architettura delle contromisure nella sfida quotidiana di minacce e vulnerabilità.

La protezione informatica delle “infrastrutture critiche informatizzate di interesse nazionale” è affidata al Ministero dell’Interno (mediante decreto legge n. 144 del 27 luglio e legge di conversione 31 luglio 2005, n. 155) quale “misura urgente di prevenzione e contrasto del terrorismo”; esattamente venti giorni dopo i gravi eventi terroristici londinesi del 7 luglio. Giova segnalare che questi provvedimenti introducono anche l’aggiornamento di una delicata materia rappresentata dalla disciplina amministrativa degli esplosivi, cui seguiranno due specifici decreti di dettaglio dello stesso Ministero (15 agosto 2005 a firma del Ministro Pisanu e 8 aprile 2008 a firma del Ministro Amato). A questo primo pilastro si aggiunge una serie di altri provvedimenti fra il gennaio 2008 e il gennaio 2013 con i quali, ma non solo, si bada a perfezionare la contromisura nazionale con la: 1) individuazione delle infrastrutture nazionali da proteggere, e l’istituzione del relativo Centro nazionale anticrimine informatico – (Decreto Ministero Interno

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




9 gennaio 2008); 2) tutela “da qualsiasi forma di eversione o di terrorismo, nonché di spionaggio, proveniente dall’esterno o dall’interno del territorio nazionale e le relative misure ed apparati di prevenzione e contrasto, nonché la cooperazione in ambito internazionale ai fini di sicurezza, con particolare riferimento al contrasto del terrorismo, della criminalità organizzata e dello spionaggio”. Regolamento, questo, in tema di segreto di stato, nei cui criteri guida erano compresi anche gli “… stabilimenti civili di produzione bellica e gli impianti civili per produzione di energia ed altre infrastrutture critiche” (DPCM 8 aprile 2008); 3) individuazione delle “attribuzioni delle Forze armate e le disposizioni e direttive conseguenti che disciplinano i compiti attinenti alla difesa cibernetica” (Decreto Legislativo 66/2010); 4) istituzione della “Organizzazione nazionale per la gestione di crisi” (DPCM 5 maggio 2010); 5) individuazione e designazione delle “infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione”. Individuate “ … nei settori dell’energia e dei trasporti, nonché le modalità di valutazione della sicurezza di tali infrastrutture e le relative prescrizioni minime di protezione dalle minacce di origine umana, accidentale e volontaria, tecnologica e dalle catastrofi naturali.”

Il decreto definisce gli effetti negativi dovuti a “perdita di funzionalità, danneggiamento o distruzione di un’infrastruttura” e le relative conseguenze, nonché i criteri di valutazione degli eventi negativi sui “fruitori nazionali, di altro Stato membro ….. o sulle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione”. Importante, poi, nelle premesse al testo il riferimento alla ”Non Binding Guideline”, facoltative ma con la funzione di “ …to provide guidance to assist Member States with the application of the Directive on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection”. L’ultima annotazione riguarda la tutela delle informazioni sensibili applicate “… alle IC, nonché ai dati ed alle notizie relativi al processo d’individuazione, di designazione e di protezione delle ICE…” alle quali “ … fatte salve le necessità di diffusione, anche preventiva, di notizie e di informazioni verso gli utenti ed i soggetti diversi dal proprietario e dall’operatore dell’infrastruttura, che a qualsiasi titolo prestano attività nell’IC, ai fini della salvaguardia degli stessi … e’ attribuita adeguata classifica di segretezza ai sensi dell’articolo 42 della legge 3 agosto 2007, n. 124, e relative disposizioni attuative”. A proposito dei livelli di classifica il decreto detta infine i criteri di comportamento: “Ove venga attribuita classifica di segretezza superiore a riservato, l’accesso ed il trattamento delle informazioni, dei dati e delle notizie di cui al comma 1 é consentito solo al personale in possesso di adeguato nulla osta di segretezza (NOS) nazionale ed UE, ai sensi dell’articolo 9 della legge 3 agosto 2007, n. 124, relative disposizioni attuative”. Il decreto, facendo riferimento al Regolamento (CE) 1049/2001, dispone infine che “nelle comunicazioni con altri Stati membri e con la Commissione europea, alle informazioni sensibili relative alle IC ed ai dati e notizie che consentono comunque l’identificazione di un’infrastruttura, sono attribuite le classifiche di segretezza UE … ”. (Decreto Legislativo 61/2011);

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




6) attribuzione al Presidente del Consiglio dei Ministri il compito d’impartire “al Dipartimento delle informazioni per la sicurezza e ai servizi di informazione per la sicurezza direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali” e al “Dipartimento delle informazioni per la sicurezza il coordinamento delle attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali” (Legge 133/2012); 7) definizione degli “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Necessitò di assicurare in questa materia “un solido e affidabile meccanismo di raccordo tra la politica dell’informazione per la sicurezza e gli altri ambiti di azione che vengono in rilievo nella specifica materia, e di dovere per questo concentrare in un unico organismo interministeriale l’organo di indirizzo politico e di coordinamento strategico nel campo della sicurezza cibernetica ..” e definire all’interno di “un contesto unitario e integrato, “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.” (DPCM 24 gennaio 2013)….”

Da questa analisi le idee di quali sono i cantieri a rischio, sono un po’ più chiare. Ma è anche chiaro che la problematica di chi si deve occupare della criticità è riferito ad organi dello Stato, e che l’unica avvertenza risiede nella classificazione degli atti. Restano le perplessità sulla protezione di dati sensibili da parte di chi si trova a gestire la sicurezza all’interno di un cantiere del genere. Sicurezza che deve essere vista in maniera disgiunta rispetto alle varie figure specificate nel D.Lgs. 81/08 e s.m.i., e gestita da un esperto in security management. Ancora oggi si è in fase di delineamento, anche per inquadrare bene questa nuova figura professionale, sul quale dibattito ci sono interessanti sviluppi al seguente link http://www.aipsa.it/wp-content/uploads/2014/12/10_AIPSA.pdf

3. RESPONSABILITA’ DELLA SECURITY E IL PSO

La nuova responsabilità del Security Manager dovrà garantire una nomina all’incarico che nasce già con l’idea di Infrastruttura Critica del Committente la stessa.

http://www.aipsa.it/wp-content/uploads/2014/12/10_AIPSA.pdf

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




Come già citato nel testo precedente la normativa italiana che recepisce le indicazioni europee in merito alla infrastrutture critiche è il Decreto Legislativo 61/2011, che prevede a sicurezza della IC, con riferimento alle figure istituzionali delegate, quanto segue :

Rif. http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2011;061

“Art. 12

Adempimenti per la protezione 1. L'operatore dell'infrastruttura, nel termine di 30 giorni dalla designazione dell'ICE, comunica il nominativo del funzionario di collegamento in materia di sicurezza, al Prefetto responsabile, al proprietario ed alla struttura responsabile, che ne informa anche i funzionari di cui all'articolo 11, comma 3. 2. L'operatore attiva la procedura per il rilascio del nulla osta di segretezza (NOS) nazionale ed UE al funzionario di collegamento in materia di sicurezza, ai sensi dell'articolo 9 della legge del 3 agosto 2007, n. 124, e relative disposizioni attuative, informandone l'interessato. 3. Ai sensi delle disposizioni in materia di tutela delle informazioni classificate, presso ogni ICE opera un'organizzazione di sicurezza ed e' individuato, quale funzionario alla sicurezza, il funzionario di cui al comma 1. 4. I funzionari di cui all'articolo 11, comma 3, e la struttura responsabile, collaborano con l'operatore ed il proprietario dell'ICE, anche tramite il funzionario di collegamento in materia di sicurezza, nell'effettuare l'analisi dei rischi e nel redigere o aggiornare il conseguente Piano di sicurezza dell'operatore (PSO), che deve rispettare i parametri minimi concordati in sede comunitaria e riportati nell'allegato B. 5. Ove l'ICE designata, disponga gia' di un PSO ai sensi delle disposizioni normative vigenti, i funzionari di cui al comma 4 e la struttura responsabile si limitano ad accertare che tali disposizioni rispettino i parametri minimi riportati nell'allegato B, informandone il Prefetto responsabile. 6. Tutti i dati e le notizie riguardanti l'ICE ai fini della redazione del PSO, nonché il documento di analisi dei rischi, sono considerati e trattati come informazioni sensibili relative alle IC. 7. Il PSO deve essere completato nel termine di un anno dalla designazione dell'infrastruttura come ICE, e revisionato almeno ogni cinque anni.

http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2011;061

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




8. Ove per circostanze eccezionali non sia possibile completare il PSO entro il termine di un anno, la struttura responsabile ne informa la Commissione europea.”

E ad integrazione la più moderna "Infrastrutture Critiche – Sistema di gestione della resilienza – Requisiti" (UNI/PdR 6:2014).

Rif. http://catalogo.uni.com/pdr/pub/uni_pdr_6_2014.pdf

“5.5.4 DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE

La documentazione del sistema di gestione della resilienza deve includere il Piano di Sicurezza dell’Operatore (PSO) e ulteriori documenti e archivi necessari da parte dell’organizzazione per assicurare l’efficace pianificazione, funzionamento e controllo dei processi relativi ai rischi rilevanti.

L’organizzazione deve attuare un PSO come specificato nella Direttiva 114/2008/CE del Consiglio, che comprende l’identificazione dei beni rilevanti, la valutazione del rischio e l’identificazione, la selezione e la definizione di priorità per contromisure e procedure. L’analisi del rischio di PSO deve basarsi su un approccio onnicomprensivo che permetta di contrastare le minacce derivanti da disastri tecnologici, naturali o causati dall’uomo ma che assegni priorità alle minacce di natura terroristica.

Il PSO deve provvedere alla raccolta, al trattamento e alla condivisione, per quanto opportuno, di intelligence pertinente e relativa a possibili minacce dirette o indirette per l’organizzazione che potrebbero influire sulla sua capacità di produrre e/o fornire beni o erogare servizi essenziali per le parti interessate.

Il PSO deve individuare i beni dell’Infrastruttura Critica e le soluzioni di sicurezza esistenti o in corso di attuazione per la loro protezione. Come specificato nell’Allegato II della Direttiva 114/2008/CE del Consiglio Europeo, il PSO deve almeno includere:

1. l’individuazione degli elementi importanti; 2. a conduzione di un’analisi dei rischi basata sulle minacce più gravi, sulla vulnerabilità di ogni elemento e sull’impatto potenziale;

http://catalogo.uni.com/pdr/pub/uni_pdr_6_2014.pdf

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




3. l’individuazione, la selezione e l’ordine di priorità di contromisure e procedure, con una distinzione fra:

misure permanenti di sicurezza, che individuano gli investimenti e gli strumenti indispensabili in materia di sicurezza che si prestano ad essere utilizzati in ogni momento. Rientrano sotto questa voce le informazioni riguardanti le misure di tipo generale, quali quelle tecniche (inclusa l’installazione di strumenti di rilevazione, controllo accessi, protezione e prevenzione); le misure organizzative (comprese procedure di emergenza e gestione delle crisi); le misure di controllo e verifica; le comunicazioni; la crescita della consapevolezza e l’addestramento; la sicurezza dei sistemi informativi;

misure graduali di sicurezza, che possono essere attivate in funzione dei diversi livelli di rischio e di minaccia.

Pertanto, il PSO deve stabilire, attuare e mantenere un processo di valutazione formale e documentato allo scopo di:

a) condurre sistematicamente l’identificazione e la valutazione di beni per individuare attività critiche, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con le parti interessate e il potenziale impatto di un incidente, basato sugli scenari di rischio;

b) identificare i pericoli, intenzionali e non, e di origine naturale e le minacce che hanno un potenziale impatto diretto o indiretto sulle operazioni, sulle funzioni dell’organizzazione e su beni umani, immateriali e materiali; sull’ambiente e sulle parti interessate;

c) analizzare sistematicamente rischio, vulnerabilità, criticità e impatto (conseguenza); d) analizzare sistematicamente e definire le priorità per controlli e trattamenti del rischio e i loro costi associati; e) determinare quei rischi che hanno un significativo impatto su attività, funzioni, servizi, prodotti relazioni con le parti interessate e sull’ambiente

(ossia, rischio e impatto significativo).

L’organizzazione deve:

a) documentare e mantenere aggiornate e riservate le relative informazioni, per quanto opportuno; b) rivalutare il rischio e l’impatto in riferimento ai cambiamenti all’interno dell’organizzazione o apportati all’ambiente operativo

dell’organizzazione, a procedure funzioni, servizi, partenariati e alla catena di approvvigionamento; c) stabilire gli obiettivi in termini di tempo di ripristino e priorità; d) valutare benefici e costi, diretti e indiretti, delle opzioni per ridurre il rischio e rafforzare la sostenibilità e la resilienza;

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




e) garantire che i rischi e gli impatti significativi siano tenuti in considerazione nello stabilire, attuare ed eseguire il sistema di gestione della resilienza dell’Infrastruttura Critica.

Anche in questo frangente si trovano indicazioni che possono essere orientative per un’attività delicata come la cantierizzazione per le infrastrutture critiche, ma in realtà non sono specifiche. In realtà la preoccupazione del possibile furto di informazioni riguardanti quella che poi svolgerà la mansione di infrastruttura critica, si palesa solo al momento in cui tale struttura strategica è in grado di assolvere alle sue criticità. Questo non avviene sicuramente durante il cantiere, ma il controllo dei luoghi e della documentazione progettuale, e quindi dei dati sensibili, rientra in una politica di prevenzione, da considerarsi già come pratica di sicurezza.

Bisogna aggiungere che le linee giuda pratiche per la redazione dei POS, e spero anche per l’individuazione dei requisiti che deve avere la figura professionale che lo dovrà redigere, sono in fase di realizzazione.

4. STUDI DI SECURITY IN FASE DI CANTIERIZZAZIONE di UNA IC

Per trovare materiale interessante ed utile in questi termini, bisogna spostarsi in un Paese che per necessità ha dovuto alzare di molto la guardia su tale tematiche, ovvero gli USA come la Homeland Security. Riporto a seguire il solo link di riferimento, con l’Abstract originale. Gli autori sono “Hisham Said, Khaled El-Rayes”, provenienti dal “Department of Civil and Environmental Engineering, University of Illinois at Urbana-Champaign, Urbana, Illinois 61801, United States”

Rif.http://www.academia.edu/3696889/Optimizing_the_planning_of_construction_site_security_for_critical_infrastructure_projects

Construction decisions can have a significant impact on the security level of critical infrastructures over their entire life cycle. Federal regulations require construction managers and security officers to consider all possible physical security measures to protect critical assets and classified information that reside onsite during the construction phase of critical infrastructure projects. This paper presents the development of an automated multi-objective optimization

http://www.academia.edu/3696889/Optimizing_the_planning_of_construction_site_security_for_critical_infrastructure_projects

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




framework for the planning of construction site layout and security systems of critical infrastructure projects that provides the capability of minimizing overall security risks and minimizing overall site costs. The framework is developed in four main phases:

(1) risk identification and system modeling,

(2) security lighting optimization,

(3) security-cost optimization, and

(4) performance evaluation.

The automated framework utilizes newly developed metrics for quantifying the security system performance and the impact of site layout planning on the effectiveness of the security system. The performance of the present framework is analyzed using an application example that demonstrates its capabilities in planning construction site security systems and generating optimal tradeoffs between minimizing security risks and minimizing overall site costs.

Published by Elsevier B.V

Lo studio proposto risulta più pragmatico rispetto alle indicazioni delle normative prima citate, in quanto si legge tra le righe la necessità di mettere in sicurezza un target critico, che tale viene considerato fin dalla progettazione. Lo studio procede analizzando come possa determinarsi la migliore configurazione del cantiere in modo da minimizzare il rischio dall’esterno, senza aumentare in maniera esorbitante i costi necessari per garantire la sicurezza della struttura in costruzione da proteggere.

L’analisi del rischio cerca di quantificare, proponendo n.3 configurazioni diverse, la probabilità che avvenga l’atto criminoso, con le conseguenze che ne determinerebbero. Una delle contromisure già sperimentate sembra essere l’utilizzo delle sorgenti di illuminazione adeguatamente dimensionate e ben disposte, da utilizzare come deterrente. Quindi viene studiato il giusto compromesso tra il garantire la giusta illuminazione affinché la soluzione funga da deterrente, all’analisi dei costi dell’intervento.

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




Quindi si passa all’analisi della protezione dei confini del cantiere, adeguatamente recintato e protetto dalle possibili intrusioni attraverso adeguati dispositivi. Prendendo anche in considerazione la forza di risposta da mettere in atto per interrompere l’azione criminale. A vantaggio di sicurezza risulta anche la naturale sorveglianza che diventa efficace, quanto più visibile e sgombra da ostacoli risulta la visuale sull’intera area di intervento del cantiere.

Ma il problema resta, in termini di sicurezza interna, in quanto lo studio mette in evidenza le criticità per la protezione dall’esterno, ma non considera affatto il rischio che, chi maneggia documenti e dati sensibili, possa essere già interessato a mettere in atto un evento criminale, o quanto meno essere vulnerabile ad azioni di terze persone. In questo caso bisogna mettere in atto una vera e propria operazione di controspionaggio, con il supporto delle istituzioni dello Stato interessate alla protezione delle infrastrutture critiche, che comprende il controllo del personale che a vario titolo maneggerà documenti e dati sensibili, sia nella fase preventiva, ma anche in loco.

Penso sia anche da considerarsi “addetto ai lavori” l’esecutore che si trova a lavorare per una infrastruttura critica, e che quindi abbia dei requisiti di qualità e sicurezza interna per la propria azienda che faccia presupporre una forma di garanzia per i proprio dipendenti. Un controllo un po’ più marcato da parte dei responsabili delle imprese, che hanno maturato una sensibilità in merito al tipo di lavoro che si sta svolgendo, accoppiato a verifiche di ordine superiore da parte delle personalità istituzionali autorizzate, permetta di passare indenni in questa situazione transitoria senza sfociare in violazioni della privacy.

CONCLUSIONI

Allo stato attuale mi sento di mettere in evidenza, ma pronto per qualsiasi smentita, che le nostre IC possono considerarsi adeguatamente protette nella fase di progettazione e nella fase di avvenuta realizzazione dell’opera, sia se si tratta di una nuova costruzione che se si dovesse trattare di ristrutturazione/ampliamente di una già esistente. Per la fase di ideazione e progettazione, parte della protezione è riservata al cyber crime e alla consolidata competenza di colui a cui vengono affidate tali opere (leggi anche la attuale legge sull’accesso ai livelli di sicurezza delle informazioni).

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




Nota dolente riveste il transitorio della realizzazione dei lavori, in cui per le nuove costruzioni ci troviamo a considerare come “non ancora” da proteggere una infrastruttura da concludere, senza considerare (quindi il problema sembra essere molto più culturale) che la conoscenza dei luoghi dovrebbe considerarsi un potenziale rischio e quindi andrebbe inserito in una politica di prevenzione. A riguardo si trova pochissimo anche in studi tecnici e ricerche nel nostro Paese, ma la cosa che mi ha allarmato di più è, che non si reperiscono notizie chiare neanche negli USA. Forse l’Italia è giustificata dal fatto che non ha ancora mai avuto il suo 11 settembre, ma con gli ultimi fatti di cronaca che arrivano dalla Francia, a noi non troppo lontana, penso che ci si debba attivare il più rapidamente possibile per portare a termine tutto ciò che riguarda le IC e che ancora si trova in fase di studio.

In questo preciso momento, sono in essere i seguenti studi:

- La definizione del ruolo del Security Manager, come naturale sviluppo del SLO – Security Liaison Officer già citato nella normativa europea dove si delineavano anche le caratteristiche delle ICE – Infrastrutture Critiche Europee;

- Che le nuove criticità sono competenza istituzionale del Nucleo Interministeriale Situazione e Pianificazione (NISP), anche se siamo in attesa che venga considerata come attività critica la cantierizzazione delle IC, in una pianificazione di difesa della IC;

- Le linee guida per la redazione del PSO – Piano di Sicurezza dell’Operatore, anche basandosi su un approccio di tipo prestazionale, in modo che la nuova figura professionale sia molto più vicina a quella di un progettista.

In conclusione, oltre ad alimentare un confronto intorno a questo nuovo sviluppo di sicurezza nazionale, e di respiro europeo, spero che il Security Manager sia il prima possibile operativo. Fondamentalmente credo che debba essere un esperto della sicurezza (sia security che safety) con un background di studi scientifici, capace di progettare la sicurezza a tutto tondo in un contesto così delicato come quello anche di un cantiere edile. Avendo sempre ben a mente che il suo unico scopo è la difesa dell’Infrastruttura Critica così importante a livello nazionale ed europeo, e che sia anche in grado di potersi relazionare con i responsabili istituzionali dai quali ottenere informazioni molto delicate, e condividere con loro tutti quei dati che dovessero emergere nella fase operativa sul campo e che potrebbero avere dei riflessi critici legali e di sicurezza nazionale.

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




BIBLIOGRAFIA

I link che sono riportati nel testo fanno riferimento ai seguenti documenti di cui a seguire:

- “Il Security Manager_l’evoluzione della professione”, Daniela Matteucci, Coordinamento editoriale rivista Security, atto di un convegno per AIPSA n.10, gennaio 2015;

- “Optimizing the planning of construction site security for critical infrastructure projects”, Hisham Said e Khaled El-Rayes, Department of Civil and Enviromental Engineering in University of Illinois at Urbana-Champaign, pubblicazione sulla rivista “Automation in Construction” n.9 (2010);

- “Prassi di Riferimento UNI dpr 6:2014 – Infrastrutture Critiche_Sistema di Gestione della Resilienza”, pubblicata il 16 gennaio 2014, riferimento ICS 03.100.01, elaborata dal Tavolo “Tutela delle Infrastrutture Critiche” con accordo di collaborazione firmato con AIPSA.

ALLEGATI

In allegato un estratto della mia tesi di laurea magistrale, in cui si fa uno studio dell’aspetto qualitativo del rischio per la parte inerente la security. Il rischio che venga sottratto dell’esplosivo da un cantiere qualsiasi, lo rende potenzialmente un problema di sicurezza nazionale.

- “Demolizione Controllata con Esplosivo”, Ing. Marco Lucidi, tesi laurea magistrale per Ingegneria della Sicurezza e della Protezione Civile, da pag. 142 a pag. 151, ottobre 2012. http://www.slideshare.net/FrancoBontempi/demolizione-controllata-con-esplosivo-tesi-di-laurea-magistrale-di-marco-lucidi

http://www.slideshare.net/FrancoBontempi/demolizione-controllata-con-esplosivo-tesi-di-laurea-magistrale-di-marco-lucidi?qid=73271ce4-840a-405c-9678-e83fbe2f2098&v=default&b=&from_search=1

http://www.slideshare.net/FrancoBontempi/demolizione-controllata-con-esplosivo-tesi-di-laurea-magistrale-di-marco-lucidi?qid=73271ce4-840a-405c-9678-e83fbe2f2098&v=default&b=&from_search=1

Ing. Marco Lucidi






Tel. 347 7016088 – 06 52281942




INFRASTRUTTURE CRITICHE_sicurezza fisica nelle fasi progettuali, costruttive e di cantierizzazione

Self Improvement

Transcript of INFRASTRUTTURE CRITICHE_sicurezza fisica nelle fasi progettuali, costruttive e di cantierizzazione