La protezione delle Infrastrutture Critiche in Italia Ing. Luisa Franchina Direttore Generale Segreteria Infrastrutture Critiche Presidenza del Consiglio dei Ministri
Liste di “Obiettivi sensibili” Definizioni di IC Direttiva Europea 114/08 CE Liste di “Obiettivi sensibili” Infrastrutture informatizzate (legge Pisanu ecc.) Infrastrutture con impatto sui servizi e non Infrastrutture con impatto in tempo reale (non immagazzinabili) Sicurezza nazionale o UE o NATO es. Galileo … 2 2
Evento di crisi Pre-Event Post-Event CIP Secretariat Law enforcement ID & Designation Prevention Protection Preview Indication & warning Mitigation Response Reconstruction Pre-Event Post-Event CIP Secretariat Law enforcement Intelligence Local authorities Civil Protection Ministry of Interior Law enforcement Local authorities Civil Protection Ministry of Interior Local authorities Civil Protection Ministry of Interior
Il cigno nero Nassim Nicholas Taleb Cigno nero: Evento non noto, non ne sappiamo calcolare alcuna caratteristica Impatto Minaccia Vulnerabilità 1 Probabilità Esposizione Eventi antropici Impulso elettromagnetico Clima spaziale Eventi naturali con cadenza superiore alla memoria d’uomo Premonizioni e millantate previsioni … 4 4
rischio residuo risk analysis and management crisis management L’obiettivo è… risk analysis and management crisis management business continuity … rischio residuo …stabilire un patto accettabile
6
7
Perchè proteggersi? Keeping up: The Enterprise Strategy Group, a consulting firm, asked 308 IT professionals in large companies what factors motivated their decisions to improve data security. Regulatory compliance topped the list . Credit: Credit: ESG Research Report, Protecting Confidential Data Revisited, April 2009 8 8
L’idea Occorrerebbe parlare anche di una sicurezza "adattativa" alle minacce e quindi di una costante analisi previsionale (fatta in proprio, in outsourcing o condivisa con altri) in tempo reale (dove "tempo reale" si definisce in base alla attività svolta e al tipo di rischio che si vuole mitigare). Intelligence economica ISAC PPP public private partnership Formazione (www.sioi.org e www.luspio.it) Cooperative Models for Effective Public Private Partnerships - Good Practice Guide 2011 ENISA 9
Risk management Resilienza Robustezza Asset Servizi Interoperabilità Neutralità tecnologica Business Continuity Resilienza Back up Dipendenza Diversità Duplicazione Separazione Robustezza Asset Servizi 10 10
Infrastruttura Critica - definizione DIRETTIVA 2008/114/CE (D. lgsv. 61/2011) relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione «infrastruttura critica» un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo (in termini economici, di vittime, di effetti pubblici) in almeno due Stati membri a causa dell’impossibilità di mantenere tali funzioni; La rilevanza dell'impatto è valutata in termini di dipendenze intersettoriali e prescinde dalla minaccia Settori pilota: Energia e Trasporti …e l’ICT???? 11
From Risk analysis to Impact analysis Risk = f (Threat, Vulnerability, worst Exposure) real “exposure” at “ground zero” (victims, economics, pub. consequences, …) effectiveness of the attack effectiveness of the reaction Impactevent Impactdomino sum of consequences of outage of CIs involved in the domino effect (victims, economics, pub. consequences, …) “mitigation” factors
The European Programme for Critical Infrastructure Protection Framework Countering threats from terrorism is a priority, but the programme encompass an all hazards approach (i.e. terrorist attacks and natural disasters alike) Protection measures should be: Affordable; Sustainable; Reliable and Proportionate . Support for Member States concerning National Critical Infrastructures (NCI) Measures designed to facilitate the implementation of EPCIP Proposal for a Directive concerning European Critical Infrastructure (ECI) Accompanying financial measures Contingency planning External dimension EPCIP Action Plan Critical Infrastructure Warning Information Network (CIWIN) CIP expert groups CIP information sharing identification and analysis of interdependencies EU programme "Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks" for the period 2007-2013 A procedure for the identification and designation of ECI A common approach to the assessment of the needs to improve the protection of such infrastructures
D. Lgs. 61/2011 Settori 14 Settore ENERGIA Elettricità: infrastrutture e impianti per la produzione e la trasmissione di energia elettrica e per la fornitura di elettricità; Petrolio: produzione, raffinazione, trattamento, stoccaggio e trasporto di petrolio attraverso oleodotti; Gas: produzione, raffinazione, trattamento, stoccaggio e trasporto di gas attraverso oleodotti e terminali GNL. Settore TRASPORTI Trasporto stradale; Trasporto ferroviario; Trasporto aereo; Vie di navigazione interna; Trasporto oceanico, trasporto marittimo a corto raggio e porti. 14
Possibili attivazioni D. Lgs. 61/2011 Possibili attivazioni ICE italiane su iniziativa italiana ICE straniere su richiesta italiana ICE italiane su richiesta di altro Stato Membro ICE straniere su iniziativa di altro Stato Membro Incontri bilaterali con FR, SL, AU effettuati nel 2010 Richieste e offerte inoltrate a MISE e Trasporti nel 2011 Attendiamo decreti dirigenziali… 15