info@rislab.it - PARTNERSHIP: CNS | VIDES | FEDERICO II

Infrastrutture critiche: i rischi da tenere d’occhio

Infrastrutture critiche: i rischi da tenere d’occhio

Gli incidenti sia naturali che causati dall’uomo (deliberati o accidentali) possono potenzialmente danneggiare, inabilitare o distruggere infrastrutture critiche. Piuttosto che concentrarsi su un tipo di minaccia o pericolo alla volta, come catastrofi naturali o attacchi terroristici, gli Stati dovrebbero identificare tutte le minacce e i rischi che pongono i maggiori rischi per le infrastrutture critiche. Solo così si può pensare a una pianificazione e un’allocazione delle risorse più efficace ed efficiente.

Quali sono i rischi per le infrastrutture critiche?

Le infrastrutture critiche sono state a lungo soggette a rischi associati a minacce fisiche e disastri naturali. Ora invece, oltre a questi, sono anche sempre più esposte a rischi informatici. Questi rischi derivano da una crescente integrazione delle tecnologie dell’informazione con le infrastrutture critiche. Gli avversari si focalizzano quindi sullo sfruttamento delle potenziali vulnerabilità cibernetiche. Man mano che l’infrastruttura fisica diventa più dipendente da sistemi informatici complessi per le operazioni, l’infrastruttura critica può diventare più vulnerabile a determinate minacce informatiche.

Con la connessione e interdipendenza di elementi di un’infrastruttura si rischia che i danni, l’interruzione o la distruzione di un elemento dell’infrastruttura possano causare effetti a cascata.

L’identificazione e la comprensione delle interdipendenze (bidirezionali) o delle dipendenze (unidirezionali) tra elementi e settori dell’infrastruttura sono importanti per valutare i rischi e le vulnerabilità. Ma anche per determinare quali misure possono essere messe in atto per aumentare sicurezza e resilienza.

Dalle minacce cyber fino a quelle fisiche, viviamo in un mondo in cui l’attività terroristica è in aumento e sempre più diffusa, in cui gli attacchi possono essere di natura semplice oppure complessi e organizzati. Il numero crescente di attacchi dimostra che la natura della minaccia si sta evolvendo e rafforza la necessità di vigilanza, preparazione e collaborazione globali.

Gestione del rischio intersettoriale per le infrastrutture critiche

Nell’aprile 2019, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato la prima serie di 55 funzioni critiche nazionali per gestire in modo più efficace i rischi.

Le Funzioni critiche nazionali sono le funzioni del governo e del settore privato così vitali che la loro interruzione, corruzione o disfunzione avrebbe un effetto debilitante sulla sicurezza, sull’economia nazionale, sulla salute o sicurezza pubblica.

Le funzioni sono state sviluppate in coordinamento con partner settoriali e statali, locali e territoriali e consentono alle infrastrutture critiche di analizzare sfide complesse che non possono essere facilmente identificate, comprese o esaminate all’interno delle strutture di gestione del rischio esistenti.

Una gestione efficace del rischio dipende dalla capacità delle infrastrutture critiche di impegnarsi in tutti i settori per integrare una vasta gamma di attività per gestire il rischio. Le Funzioni critiche nazionali evidenziano rischi trasversali, intersettoriali che possono avere impatti a cascata all’interno dell’infrastruttura e nei i settori.

Identificando ciò che è veramente critico a livello funzionale e le dipendenze e interdipendenze chiave, si può identificare il rischio. L’approccio funzionale evidenzia anche le sfide sistemiche dello sviluppo della forza lavoro di fronte alla rapida crescita tecnologica.

Un piano resiliente di sicurezza delle infrastrutture critiche

Con sicurezza si intende la riduzione del rischio per l’infrastruttura critica. I rischi arrivano da intrusioni, attacchi o dagli effetti di disastri naturali o causati dall’uomo.

La resilienza può essere definita come la capacità di prepararsi e adattarsi a condizioni mutevoli.
Ciò significa essere in grado di resistere e riprendersi rapidamente da interruzioni, attacchi deliberati, incidenti o incidenti naturali.

Un’infrastruttura resiliente deve anche essere robusta, agile e adattabile. Un forte programma di sicurezza e resilienza dell’infrastruttura critica si basa sulla collaborazione e sulla condivisione delle informazioni. La collaborazione è facilitata stabilendo le strutture e i processi necessari affinché il governo e il settore privato possano comunicare liberamente senza rilasciare informazioni riservate o fornire vantaggi sleali; sostenere un ambiente di condivisione delle informazioni in cui le parti interessate condividono le informazioni per rafforzare la sicurezza e la resilienza; e garantire che le parti interessate rilevanti siano equamente rappresentate e coinvolte, a tutti i livelli di governo, industria, gestione delle emergenze e sicurezza.