Seminario di Diritto dell’Informatica e delle Nuove Tecnologie

Università di CagliariDipartimento di Ingegneria

Elettrica ed Elettronica

Docente: Massimo Farina

corso di

DIRITTO DELL’INFORMATIVA EDELLE NUOVE TECNOLOGIE

A.A. 2015/2016

INFRASTRUTTURE CRITICHE INFORMATIZZATE: vulnerabilità e prospettive

di Pietro Lucania




critical infrastructures

critical information infrastructures




CRITICAL INFRASTRUCTURES

elementi, sistemi o parti di questi, ubicati negli StatiMembri, essenziali per il mantenimento dellefunzioni vitali della società, della salute, dellasicurezza, e del benessere economico e sociale deicittadini ed il cui danneggiamento o la cuidistruzione avrebbe un impatto significativo in unoStato Membro a causa dell’impossibilità dimantenere tali funzioni




CRITICAL INFORMATION INFRASTRUCTURES

infrastrutture che utilizzano per il lorocontrollo, o la loro gestione o il loroesercizio, i sistemi informatizzati.




Principali Infrastrutture criticheCircuiti bancari e finanziari –Telecomunicazioni - Energia e utilities - Servizidi Informazione - Circuiti sanitari -Amministrazioni pubbliche - Trasporti edistribuzione - Forniture idriche - Servizi diemergenza – Difesa - Servizi postali - Industriedi base - Educazione e ricerca - Filieraalimentari - Servizi di assistenza sociale.




Direttiva EU 2008/114/EC datata 8 Dicembre 2008

Risoluzione ONU n. 58/199: Creation of a global culture ofcybersecurity and the protection of critical informationinfrastructures




In ambito internazionale tutti gli aspetti legatialla protezione di queste infrastrutture, sonoindicati con il termine CIP – CriticalInfrastructure Protection. Quando poiall’interno di questa problematica si focalizzal’attenzione sugli aspetti della presenza e dellavulnerabilità indotta del cyberspace, si parla diCIIP – Critical Information InfrastructureProtection.




Esempio di interdipendenze nel settore delle comunicazioni

(fonte Federal Communication Commission)




Alcuni incidenti significativi:

Stati Uniti – Massachusetts – 1997: un teenager dalpc di casa riescì ad accedere ad una serie di servizidati che determinarono la compromissione deisistemi operativi di gestione dell’aeroporto e dellestazioni meteo di Worcester per circa 6 ore, nonchédelle centrali di controllo e di alcuni servizi sanitari etelefonici di Rutland;




Stati Uniti – west coast - maggio 1998: a causa delguasto al satellite GALAXY IV, in una vasta area degliStati Uniti si registrarono difficoltà nei trasporti locali,milioni di cercapersone restarono fuori servizio; 20voli United Airline in decollo subirono pesanti ritardi,si registrarono difficoltà di trasmissione per radio e tvlocali, interruzione dei servizi di pagamentoautomatici per migliaia di esercizi pubblici, difficoltànell’erogazione di servizi di gestione per le imprese.




Stati Uniti – New York – 2001: il crollo delle torrigemelle a Manhattan, oltre alle drammaticheconseguenze delle perdite umane, fece registrare unainterruzione delle forniture di energia elettrica, gas,servizi telefonici inizialmente limitate al distretto poipropagatesi in aree più vaste e molto distanti tra loro(interruzioni dovute alla presenza nelle vicinanzedell’evento, di importanti nodi di telecomunicazioni eservizi internet)




Italia – 2004: un guasto ad un sistema di condizionamento diun nodo Telecom della capitale, provocò inizialmente un bloccodelle attività telefoniche (rete fissa e mobile) per 6 ore nell’areametropolitana, quindi una serie di ripercussioni nel settorefinanziario (circa 5.000 filiali bancarie e 3.000 uffici postali didiverse aree circostanti rimasero privi di connessionetelematica) e sul trasporto aereo (il 70% dei vettori operantinell’aeroporto di Fiumicino fu costretto a ricorrere a proceduremanuali per le operazioni di check-in).




Germania – 2006: a causa dell’attraversamento di una nave dacrociera norvegese in un tratto del fiume Ems a nord dellaGermania, venne deciso per questioni di sicurezza didisalimentare alcune linee elettriche per consentire ilpassaggio della nave; elementi concomitanti quali il ritardo nelpassaggio ed una forte tempesta di vento che produsse unimprovviso incremento di immissione di energia dai parchieolici, provocarono il distacco di gran parte dei generatori dizona e black out che si propagarono in Francia (solo la zona diParigi), Belgio, Spagna, Nord Africa e Italia (solo Puglia).




principali dipendenze:

1. dipendenze di tipo operativo

2. dipendenze di tipo logico

3. dipendenze di tipo geografico.




dip. di tipo operativo: quando l’operatività delle CII è legata daforniture/servizi connessi tra loro (es.: operatività di reti ditelecomunicazioni connesse/dipendenti dalla disponibilità dienergia elettrica e viceversa).

dip. di tipo logico: quando le funzionalità delle CII subisconoripercussioni derivanti da fattori esterni e non direttamentecorrelabili ad una dipendenza di tipo operativo (es.: epidemielocalizzate in aree lontane e riversamento di utenti, senza motivo,in strutture sanitarie anche in zone diverse da quelle interessate;incidenti/attacchi a strutture legate ai trasporti o al turismo ecompromissione dei settori interessati per mancanza di fruitoriche determinano una crisi degli stessi).




dip. di tipo geografico: quando la funzionalità delle CII è messa in discussione da criticità emergenti in tutto o in parte all’interno di una determinata area geografica: è il caso di incidenti occasionali o di attacchi premeditati a CII poste in aree che hanno una elevata possibilità di subire compromissioni e, conseguentemente, i servizi offerti risultano risentire degli effetti negativi.

La consapevolezza di tale dipendenze è determinante nella fase di programmazione ed analisi dei rischi.




VULNERABILITA’:

Oggi, molte aziende nei settori commerciali, bancari o delletelecomunicazioni mettono a disposizione degli utenti unaquantità enorme di servizi, affidandosi a struttureinformatizzate situate in altri Paesi o avvalendosi in tutto oin parte di sistemi informatizzati di Paesi fuori dalla propriagiurisdizione, tendenza questa che cresce parallelamente alprocesso di globalizzazione, di trasformazione delletecniche commerciali nonché per l’uso di cloud computinged altro .




.Approccio alle infrastrutture critiche informatizzate

8%

25%

34%

33%

Non espressamente indicate

Come uno specifico settorecritico

Come una strutturainformatizzta o legata all'ICT

Altro




Principali rischi

RISCHI SOCIALI E CULTURALI

RISCHI LEGALI E

PROCEDURALI

RISCHI FINANZIARI

RISCHI TECNOLOGICI




rischi tecnologici vanno considerati i rischi naturali e artificiali,quali gli incidenti di tipo operativo, danneggiamenti deisistemi di comunicazione ivi compresi i cavi sottomarini e isatelliti; l’uso di sistemi non aggiornati e l'utilizzo di tecnologieobsolete, ma anche la mancanza di competenze tecniche eknow-how in caso di incidente; interruzione di nodi discambio della rete regionale o nella rete elettrica. Nelcontesto energetico in particolare, sono stati evidenziatinumerosi fattori di rischio cd “geografico”.




rischi legali e procedurali, si intendono le differenze dilegislazione e di percezione politica delle problematiche checoordinano la materia a livello internazionale (in particolarmodo in ambito UE), ma anche la mancanza di norme disicurezza e le disposizioni operative in caso di emergenze.




Rischi finanziari sono facilmente individuabili nellainadeguatezza dei finanziamenti per i sistemi disicurezza e lo sviluppo di strutture preposte adaffrontare le emergenze




Rischi sociali e culturali, questi sono da ricondursialle differenze di percezione della minaccia, lamancanza di fiducia, la mancanza di condivisionedelle informazioni nel contesto di entrambe leattività preventive e reattive; diverse culture disicurezza attraverso le frontiere sono un ulteriorefattore che complica le attività di protezione delle CIItransfrontaliere.




K.Kaska e L.Trinberg: Regulating Cross-Border Dependencies of Critical Information Infrastructure

– CCDCOE Tallin – I sem. 2015




Una delle principali distinzioni riguarda la differenza diimpostazione tra i Paesi che scindono il coordinamento tra CI eCII e tra quelli che hanno adottato una ulteriore scelta disuddividere il coordinamento delle CII distinguendo tra i casi diordinaria amministrazione e i casi di emergenza.

A fattor comune ci si sta indirizzando verso un coordinatoreunico sia per quanto riguarda le problematiche di tipoordinario e sia per quelle di tipo straordinario, mentre sono inpochi ad oggi ad avere accomunato le due categorie Ci e CIInello stesso ambito di coordinamento.




Pur nella diversità di impostazione, vi sono quattroobblighi principali che si ritrovano nella quasi totalitàdelle diverse normative e regolamentazioni europee,tutte poste in capo ai responsabili delle infrastrutture:la notifica e rendicontazione degli eventi, ilmonitoraggio, l'attuazione di misure di sicurezza, e ilmantenimento di documentazione sulla sicurezza




principali obblighi




L’Italia nel recepire la direttiva UE 2008/114 / CE hapredisposto il Decreto Legislativo 11 aprile 2011 n. 61uniformandosi anche ai concetti di CI esposti nellanormativa di riferimento: “Infrastrutture, situato in unoStato membro dell'Unione europea, essenziali per ilmantenimento delle funzioni vitali della società, la salute, lasicurezza e il benessere economico e sociale dellapopolazione, e il cui danneggiamento o la cui distruzioneavrebbe un impatto significativo nello Stato, a causadell'impossibilità di mantenere tali funzioni “.




2007: attivazione presso l’Ufficio del ConsigliereMilitare del Presidente del Consiglio, del “TavoloPIC” (Protezione Infrastrutture Critiche), chesuccessivamente è stata incaricata anche disupervisionare l’attuazione della direttiva UE soprarichiamata.




2009: con Ordinanza del Presidente del Consiglio n.3836 è stata istituita la Segreteria di CoordinamentoInterministeriale per le Infrastrutture Critiche(SCIIC), per assicurare coerenza e sinergia tra leattività delle amministrazione che si occupano diinfrastrutture critiche.




2009: la Polizia Postale gestisce il Centro NazionaleAnticrimine Informatico per la Protezione delleInfrastrutture Critiche (CNAIPIC), il cui compito è “laprevenzione e la repressione dei crimini informatici, dimatrice comune, organizzata o terroristica, che hanno perobiettivo le infrastrutture informatizzate di natura critica e dirilevanza nazionale”; si tratta di un centro specializzato anchein settori come il contrasto al cyber‐crime, al cyber‐terrorismoe allo spionaggio industriale.




2010: la Presidenza del Consiglio dei ministri haapprovato il DPCM 5 maggio 2010 “Organizzazionenazionale per la gestione di crisi”, si tratta di unarevisione di un manuale edito nel 1994, che tieneconto dei subentranti principi espressi in ambitoNATO dal Crisis Response System Manual e in ambitoUE dal Manual on EU Emergency and CrisisCoordination.




il DPCM 5 maggio 2010 “Organizzazione nazionale per la gestione di crisi”:

1.CoPS (Comitato Politico Strategico)

2.NISP (Nucleo Interministeriale Situazione e Pianificazione)




(CoPS) Comitato politico-strategico organo giàprevisto dal manuale del 1994, ora allargato a cheMinisteri degli Affari esteri, dell’Interno e dellaDifesa, nel continuare a svolgere un ruolo di indirizzoe di guida nelle situazioni di crisi nazionale operauna valutazione degli elementi di situazione,elaborando i provvedimenti da sottoporre alConsiglio dei ministri, autorizzando l’adozione dimisure di contrasto.




(NISP) Nucleo interministeriale di situazione e pianificazionedestinato a svolgere attività di consulenza per il CoPS incondizioni di crisi, oltreché di controllo e valutazione incondizioni di normalità; dal 2013 svolge un ruolo fondamentaleper la cybersecurity nel nostro paese, è un organismo acarattere permanente, con i compiti di promuovere laprogrammazione e pianificazione interministeriale, acquisireinformazioni e coordinare lo svolgimento delle esercitazioniinterministeriali (simulazione di crisi).




Obiettivi futuri…




IMPLEMENTARE gli strumenti metodologici edanalitici per gestire una classe di sistemi complessaed in continua evoluzione ;

MIGLIORARE lo scambio informativo finalizzato allaprotezione delle CII secondo modelli già collaudatiattraverso un dialogo costante tra i centri preposti allaprotezione, gli organismi di polizia, quelli diintelligence e i soggetti pubblici e privati.




Colmare le vulnerabilità e rafforzare la sicurezzadelle infrastrutture critiche (e di quelleinformatizzate) dovrà essere un obiettivoimprescindibile per tutti.




…grazie per l’attenzione

Seminario di Diritto dell’Informatica e delle Nuove Tecnologie

Education

Transcript of Seminario di Diritto dell’Informatica e delle Nuove Tecnologie