Infrastrutture critiche sono strutture e servizi necessari a sviluppo, sicurezza e qualità della vita come reti elettriche, acquedotti, strade e ospedali.

In realtà stabilire che cosa sia un’infrastruttura e quando questa sia “critica” non è così banale, tant’è che se n’è occupato diverse volte il Legislatore. Ma quali sono i rischi che gravano sulle nostre infrastrutture critiche preposte all’erogazione dei servizi pubblici essenziali?

Per approfondire questo tema abbiamo intervistato Luisa Franchina, Presidente AIIC Associazione Italiana Esperti Infrastrutture Critiche, organizzazione che annovera tra i soci collettivi anche colossi come ABB e IBM (l’elenco completo è qui).

Quali sono i rischi dai quali occorre proteggere le infrastrutture che sono preposte all’erogazione dei servizi pubblici essenziali?

“Sicuramente la minaccia terroristica è un tema molto attuale – spiega l’ing. Franchina – ma non si devono dimenticare azioni con altri fini illeciti, come quelli legati al furto e all'abuso di dati personali e di segreti industriali. Anche trascuratezze non dolose possono provocare effetti indesiderati e perfino drammatici”.

Il tema della cyber security va affrontato anche tenendo conto dei possibili effetti sulla competitività delle imprese e del sistema paese.

“Da un lato il blocco dei servizi pubblici o privati, ma anche un gran numero di piccole difficoltà, riducono drasticamente efficienza ed efficacia nel sistema paese; dall'altro, se ritenessero di avere standard di sicurezza inferiori che altrove, investitori internazionali e partner anche politici sarebbero meno disposti ad investire e collaborare nel nostro paese”.

Uno dei gruppi di lavoro di AIIC è dedicato alla supply chain: perché la security è un tema che va al di là dei tradizionali confini aziendali?

“La sicurezza si misura sull'anello debole della catena, è inutile mettere in sicurezza un sistema se non si mette in sicurezza anche la sua catena di fornitura. Anche le grandi aziende si avvalgono di forniture esterne per l'energia, le materie prime, i semilavorati, ma sempre di più anche per servizi che confluiscono nel prodotto finale, spesso arricchito da elementi collaterali per l'assistenza e altri rapporti con i clienti.

Se viene a mancare un elemento necessario al risultato finale si può bloccare tutto. Questa non è una novità ma l'interconnessione di procedure digitali ha elevato molto la complessità.

Il sub-fornitore può creare problemi non solo se non fornisce quanto stabilito ma anche se le sue procedure insufficientemente sicure fungono da cavallo di Troia per attaccare la struttura cliente. Vale anche la reciproca: tutti sono responsabili delle loro possibili interferenze sull'intera filiera.

L’affidabilità del personale rimane un altro aspetto da non dimenticare. Non sempre l'elettronica è il solo punto debole. Il gruppo di lavoro di AIIC ha preso in esame due casi reali di grandi aziende italiane e dei loro fornitori suddivisi per tipologie di fornitura e conseguenti punti di intersezione diversi nelle procedure della azienda cliente. In tal modo si stanno identificando le particolari criticità e delineando distinti profili di sicurezza collocati nel sistema del FrameWork”.

Di Franco Canna