Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Resilienza al tempo
delle cyber-war
Counterintelligence per le
infrastrutture critiche nazionali1
Il presente lavoro nasce per illustrare come, allinterno delle organizzazioni
economico-sociali, la preparazione e la formazione adeguate evitano o
diminuiscono possibili problemi di tipo, economico, fisico, informatico,
organizzativo.
Carlo C. Carli
diventato un leitmotif: viviamo un periodo di intensi cambiamenti, connaturati da virtualit, aleatoriet, rischio, incertezza. LUomo, tuttavia,
e le istituzioni del Gruppo organizzato soprattutto, devono avere pochi ma chiari valori guida. Altrimenti facile perdere la rotta!
Il concetto di benessere del Paese e di Interesse dello Stato, inseriti nella nostra Grundnorme, sono tra quelli. Tra laltro, ne deriva limportanza
di perseguire una strategia propria del Sistema Paese, anche se inserita allinterno di contesti economico-sociali pi vasti (come la UE e la NATO) (2) e con
un criterio di efficienza allinterno del burden sharing nel contesto di alleanze.
Al cuore di questo sistema sta il concetto di Infrastruttura Critica, gi definita come impianto sensibile. Si va dalle reti di energia, fino alle menti umane,
dal paniere nazionale di invenzioni alla tecnologia condivisa dalla comunit
scientifica o da comunit di competenza. Nel complesso, come si vede, si tratta
di situazione di rilevante importanza economica. Sta anche il concetto di Sicurezza, sia essa fornita da una funzione interna alle aziende, ovvero affidata
in outsourcing; vi rientra tuttavia, anche il concetto di sicurezza condivisa con
i Cittadini.
Essenziale, tuttavia, che queste considerazioni siano conosciute e condivise
da quanti pi cittadini possibile in quanto, lungi dallimmaginare uno stato di polizia o peggio assolutista, un sistema socio-economico giusto ed equo non pu
non essere oggi anche efficiente ed efficace.
22
PRIMO PIANO
23
PRIMO PIANO
24
dono solo delle sotto-branche della sicurezza (5). Ad esempio, lingegneria della sicurezza, anche se impiegata in diversi settori (automobili, case e strade), solo lapplicazione
di studi e ricerche di tecnologie davanguardia per prevenire e proteggere da potenziali rischi sia nella sua singolarit che nella sua socialit.
La scienza della sicurezza talvolta stata vista come un argomento specifico del commercialista o dellISPESL o
come un costo aggiuntivo di qualche budget aziendale.
cos anche diffusa la credenza che la sicurezza sia compito
degli altri, dello Stato, dei medici, della Polizia, delle istituzioni. Invece il primo ad essere responsabile per la propria
e laltrui sicurezza la persona stessa, poi ovviamente anche le organizzazioni di persone che a vario titolo esistono.
A livello internazionale si utilizzano normalmente tre termini
PRIMO PIANO
25
PRIMO PIANO
26
PRIMO PIANO
27
PRIMO PIANO
di un Paese, ma anche la sicurezza e il sistema economicofinanziario e sociale, compresi gli apparati della Pubblica
Amministrazione centrale e locale. In altre parole, le infrastrutture critiche sono quelle che consentono lerogazione
dei servizi che caratterizzano la vita dei paesi occidentali.
Linterdipendenza fra le strutture non fa solo s che le IC
siano fra loro strettamente interrelate, ma obbliga che lo
siano anche le misure poste per la loro protezione. Cooperazione, Comunicazione e Coordinazione non solo degli
obiettivi da raggiungere a livello nazionale, ma dellintero
contesto strutturale comunitario. Cos, tra laltro, esse si
connettono quindi strettamente al concetto di strutture
sensibili e di Trans European Networks, variamente collegate alla regolazione di trasporti, telecomunicazioni ed
energia.
Al fine di incrementare il livello strutturale e sistemico di protezione delle infrastrutture critiche, sia nazionali sia europee,
diversi sono gli obblighi cui devono sottostare i Paesi della
UE e gli operatori delle IC che ivi sono collocate.
Ad iniziare da quello che (A) per ogni infrastruttura deve essere formulato un Piano di Sicurezza per gli Operatori
(PSO o OSP in inglese). La Direttiva fornisce unindicazione
dei contenuti minimi che dovranno essere trattati nel piano;
in particolare, il PSO deve identificare i beni dellinfrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione. Lo scopo di questo piano
consiste nellidentificare quegli assets che soddisfano i requisiti per essere denominati Infrastrutture Critiche Europee.
In particolare il piano dovrebbe prevedere:
un momento di identificazione degli asset importanti;
una fase di risk assessment, durante la quale si devono
prendere in considerazione gli scenari riguardanti le minacce pi probabili;
la progettazione e la messa in atto delle procedure e delle
misure di prevenzione e protezione;
Per ogni IC (B) deve inoltre essere nominato un Funzionario di Collegamento in materia di Security con lo scopo di
facilitare la cooperazione e la comunicazione con le autorit nazionali competenti in materia di protezione delle IC;
28
PRIMO PIANO
Settori
I campi in cui la sicurezza un obiettivo primario sono numerosi, cos come vari sono i sistemi per raggiungere un
grado di sicurezza accettabile. Attivit lavorative in genere,
ma anche la vita domestica, gli hobby, il gioco e lo sport.
Proprio per questa grande pervasivit si possono ritenere
generalmente valide le quattro regole originariamente dette
per il web: 1. Ridurre la superficie di attacco; 2. Proteggere
su tutti i fronti; 3. Bloccare attacchi e tentativi di violazione;
4. Mantenere la continuit lavorativa.
Sicurezza (pubblica) nazionale
Un capitolo a parte costituito dalla sicurezza - anche internazionale - cio dalla difesa del sistema-paese che costituisce un dovere ed un onore di ogni cittadino.
Unattivit anche preventiva (sostanzialmente di Vigilanza,
Analisi ed Allarme) che contrasti possibili atti antagonistici
(di terrorismo, pirateria, sabotaggi, etc..) e catastrofi (terremoti, maremoti, uragani, etc.) compete ad ogni residente
nel territorio.
Al contrario, i relativi compiti di assistenza sono svolti da
personale specializzato ed autorizzato, ove necessario opportunamente coordinato da Cabine di Rega Crisi o Emergenza (la Protezione Civile coordina tutte le attivit di amministrazioni dello Stato, centrali e periferiche, regioni,
province, comuni, enti pubblici nazionali e territoriali, ogni
altra istituzione ed organizzazione pubblica e privata).
Tutti sappiamo quanto la qualit sia la chiave per la diminuzione dei rischi, qualit in termini di efficienza ed efficacia!
Sicurezza (privata) di luoghi, abitazioni, trasporti e strade
Nella vita quotidiana, per migliorare la sicurezza, diminuire
la possibilit di infortuni e incidenti, aumentando nel contempo la probabilit di risolvere favorevolmente le situazioni
di emergenza, sono necessarie azioni preventive ed orga-
29
PRIMO PIANO
II - Regole di riferimento
Vorrei ben specificare che la presente lista vuole essere solo
un ausilio di indirizzo e non uno strumento operativo di indagine (13). Tra laltro qui di segutio verr fornita solo una
guida rapida e parziale di tutte le possibili rgole esistenti.
Ci, non solo perch la materia complessa ed in crescente evoluzione, ma soprattutto in quanto la funzione del
Security Manager probabilmente inscindibile da quella del
Compliance Man. e almeno collegata con quella del Business Continuity Man. forse la pi rischiosa (per usare
un gioco di parole!) tra le attivit aziendali strategiche ed apicali, trovandosi in cima ad una serie di sollecitazioni, problemi con stringenti esigenze di rispondere a fatti concreti
e, soprattutto, a pericoli probabili o ipotetici.
La personale esperienza ultradecennale in qualit di internal legal auditor & counsel mi ha fatto apprezzare lalta professionalit di coloro i quali erano addetti a svolgere, nei vari
livelli e ruoli, della mansione ed stata la loro esperienza e
sensibilit che ha potuto indirizzare correttamente il mio
30
mente come definito allart. 31, di: distruzione o perdita, anche accidentale, dei dati
stessi; accesso non autorizzato; trattamento non
consentito o non conforme alle finalit della raccolta.
Rischi, analisi dei rischi e piani di sicurezza richiedono
necessariamente un approccio sistematico attraverso
un processo di SRM, proprio di una struttura di Security
Aziendale, che deve approcciare la problematica sicurezza
essenzialmente a 3 livelli di servizio: (A) misure minime per
PRIMO PIANO
gore dal 1997 sanzionata sia dal punto di vista amministrativo che penale. Le misure di sicurezza, la cui mancata
adozione sanzionata penalmente, sono in vigore dal 2001
(15).
La normativa impone esplicitamente leffettuazione e la
documentazione di unanalisi dei rischi (punto 19, Allegato
B Disciplinare Tecnico in Materia di Misure Minime di Sicurezza) e sancisce lobbligatoriet della redazione di un
documento programmatico sulla sicurezza contenente idonee informazioni riguardo, tra laltro, lanalisi dei rischi che
incombono sui dati (punto 19.3).
Si osservi che i dati cui si riferisce la norma sono quelli personali di cui lazienda titolare e che tali dati nella maggioranza dei casi non coincideranno completamente con le
informazioni aziendali da proteggere, poich critiche per
lazienda stessa.
Inoltre i rischi da considerare nellambito ella legge differiscono da quelli considerati a fini aziendali. Infatti, lobiettivo
del Codice, come definito allart. 1, quello di garantire il
rispetto dei diritti e delle libert fondamentali, nonch della
dignit dellinteressato, con particolare riferimento alla riservatezza, allidentit personale e al diritto alla protezione
dei dati personali. Pertanto, i rischi considerati dalla legge
sono quelli che potrebbero ledere tali diritti e, specificata-
B. LA RESPONSABILIT DELLIMPRESA
Necessaria premessa: lImpresa come istituto socialmente
apprezzato, oltre che come strumento giuridico di organizzazione del lavoro e del profitto, oggi possiede il senso
di garantire la creazione e la prosecuzione di un insieme di
valori. E, in sostanza, uno strumento efficiente ed efficace
per la trasmissione del valore. Essa, quindi, concretizza
gi in s - uno strumento socialmente valido sotto vari
aspetti etici ed economici e come tale deve essere protetto
(anche a danno di chi lha legittimamente posto in essere!).
Il D.lgs. 8 giugno 2001 n. 231 ha introdotto una disciplina
inedita in Italia, superando (proprio in base alla richiamata
concezione, di provenienza per della cultura germanica, che conosce varie forme di condivisione di mezzi e
di beni) lantico principio secondo cui societas delinquere
non potest ed introducendo
una forma di responsabilit
amministrativa dellimpresa,
come conseguenza di possibili comportamenti illeciti di
soggetti ad essa collegati, messi
o meno in atto allo scopo di favorire lente.
Tale innovazione ha dunque
messo decisamente in risalto funzioni aziendali
come Security e Internal
audit, ma anche organismi quale il Comitato di Sorveglianza, peraltro gi da
tempo esistenti in altri Paesi (germanici oltre che anglosassoni).
Una corretta articolazione delle suddette funzioni quindi necessaria affinch limpresa si doti di
idonei modelli organizzativo e gestionale atti a prevenire la
riconducibilit allimpresa di atti la cui commissione potrebbe essere oggetto di incriminazione per i reati riportati
nel citato D.lgs. 231, che non ha abolito la responsabilit
penale individuale propria dei soggetti che abbiano compiuto il fatto previsto come reato. Pertanto, tale tipo di responsabilit oggettiva non si proporrebbe qualora tali
soggetti (posti in posizione apicale allazienda stessa) non
abbiano commesso gli illeciti con favore o vantaggio dellente, ovvero i soggetti siano persone che ricoprono un
31
PRIMO PIANO
ruolo
sottoposto, o ancora siano
lavoratori autonomi.
importante notare
come ll D.Lgs. 231
estenda la sua portata
anche ad una tutela connessa alla materia pubblica di
contrasto alla criminalit organizzata, che sicuramente rappresenta una delle minacce pi insidiose per il sistema
produttivo sano di ogni Stato. Come se non bastassero le
normali bande criminali, negli ultimi anni le tradizionali
configurazioni organizzate sono state affiancate da altre associazioni a delinquere, tutte ora caratterizzate dalla trans
nazionalit e addirittura da specializzazioni, con anche presenza di strumenti elaborati quali apparati di intelligence e
strutture di analisi / previsione.
In questo contesto, alla logica di conseguire una concreta
e corretta concorrenza tra imprese, si unisce quella di preservare quanto pi possibile le ordinarie strutture sociali tendenti alla creazione di Benessere sociale, ma anche la logica di quella che chiamata network economy (che
rappresenta lattuale stadio di economia mondiale). Cos,
ad una necessaria concatenazione delle singole vicende di
un territorio (che, quindi, diventano connesse e con una
forte componente di virtualit) conseguente la nuova dimensione peer to peer, in cui i singoli soggetti pubblici
e privati, piccoli e grandi, - concorrono alla costruzione
del Comune benessere o della Comune rovina.
In sostanza, quindi, la lotta a tali forme di criminalit necessita di strumenti incisivi e di strategie integrate. Lallargamento della 231 a dette fattispecie, infatti, trova riferimento nella Decisione quadro 2008/841/GAI del 24 ottobre
2008 relativa alla lotta contro la criminalit organizzata,
che ha come scopo preminente il miglioramento delle
azioni comuni dellUE e dei suoi Stati membri al fine di contrastare la criminalit organizzata transnazionale mediante
ladozione di una strategia comune che combatta specialmente le infiltrazioni criminali o criminogene nelle piccole imprese e nel sistema appalti e forniture (16).
32
Note
1
di Carlo C. Carli, avvocato, conciliatore, consigliere giuridico militare si occupa da anni di Tutela della Sicurezza Economica
(specialmente per la tutela di brand, immagine e qualit prodotto)
delle Infrastrutture Critiche. E socio di AIIC e direttore Centro Studi
di AE/AGEIE focalizzato sulla analisi criticit. Oltre ad aver seguito, come consulente, varie imprese multinazionali dei settori industria e banca, ha accumulato una significativa esperienza inhouse negli uffici legale / legislativo / tributario di unimpresa
energetica internazionale.
LA. desidera ringraziare i vari Esperti del Settore Security, molti dei
quali fanno parte dellAssociazione AIIC. Dei vari utili lavori scientifici o pratici nel settore dar conto nei successivi interventi. Per
ora richiama solo il Workshop internazionale su Emergency Management for Critical Infrastructures Crises, svoltosi a Roma il
4.10.2012, presso lENEA e organizzato da AIIC.
2 E la mia cara vecchia tesi delle aree economiche complesse, pi
volte espressa e che deriva da quella sulla ciclicit in economia,
esposta da Isidoro Carli nel 1830, poi ripresa da Filippo Carli circa
un secolo dopo.
Essa trova anche fondamento giuridico, tra laltro, nella teoria degli ordinamenti giuridici parziali, magistralmente espressa dal
prof. A. Malintoppi (che spesso esemplificava richiamando gli or-
PRIMO PIANO
normativa costituita nellelaborare documenti a carattere essenzialmente tecnico; essi non essendo atti normativi, comportano un conseguente ambito di applicazione
volontaria. Tuttavia, siccome forniscono riferimenti certi agli
operatori e possono quindi avere una chiara rilevanza contrattuale, esse sono quasi sempre applicate in modo simile
a quanto avveniva ad es. per gli usi (di borsa, ). Inoltre,
sempre pi spesso le norme primarie o secondarie in
bianco vi fanno rinvio espresso. E il caso di quelle norme
il cui oggetto abbia un impatto rilevante sulla sicurezza di
lavoratori, cittadini, ambiente. In ogni caso, a mano a mano
che si diffonde luso delle norme come strumenti contrattuali e che, di conseguenza, diventa sempre pi vasto il riconoscimento della loro indispensabilit, la loro osservanza
diventa quasi imposta dal mercato.
Oggi lattivit di normazione ha per oggetto anche la definizione di processi, servizi e livelli di prestazione; anzi oggi
la normazione si occupa anche di definire gli aspetti di sicurezza, organizzazione aziendale (UNI EN ISO 9000) e
protezione ambientale (UNI EN ISO 14000), cos da tutelare
persone, imprese e ambiente.
In particolare la citata norma UNI 10459 relativa alla Security - prevede la figura professionale del Security Manager; essa ovviamente assume pi vigore laddove ne ripresentata la centralit nel sistema di sicurezza aziendale,
quando la norma UNI 10891 che regola gli Istituti di Vigilanza Privata, a quella rimanda.
Valenza internazionale assume poi la figura del Security Manager quando ne tracciato il ruolo negli standard internazionali, fra cui laustraliano ASZ, che norma il Security
Risk Management.
33
PRIMO PIANO
34
PRIMO PIANO
35
PRIMO PIANO
nazionale, allo scopo di potenziarne le capacit tanto di prevenzione che di reazione efficace e tempestiva per eventuali minacce o attacchi di cyber-war contro interessi vitali o infrastrutture
critiche nazionali.
14 I dati sensibili nel diritto italiano sono i dati personali la cui raccolta e trattamento sono soggetti sia al consenso dellinteressato
sia allautorizzazione preventiva del Garante per la protezione dei
dati personali.
Secondo il Codice (d.lgs. 196/2003, art.4) sono considerati sensibili i dati personali idonei a rivelare: origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale
Tale elenco viene considerato chiuso, nel senso che non lecito
procedere per analogia. Per esempio stato chiarito che la condizione sociale, le prestazioni sociali ricevute, titoli di studio formazione e esperienze di lavoro, la solvibilit del debitore, il reddito
percepito o patrimonio posseduto non rientrano nel trattamento
severo riservato ai dati sensibili (ma sono comunque tutelati dalla
legge sulla privacy).
Ci in parte in contraddizione con il senso comune, in quanto
notoriamente vi pi resistenza a rendere noto il proprio reddito
o il proprio stato di indigenza che non a dichiarare le proprie opinioni politiche o sindacali (p.es. partecipando a manifestazioni
pubbliche). Questa apparente contraddizione spiegata dalla finalit della legge sulla privacy: tutela dei diritti e libert fondamentali, ma anche della dignit delle persone ovvero dellidentit
personale.
Il legislatore stesso, allart.27, ha trattato in modo severo anche i
dati giudiziari.
15 Per rispettare gli Accordi di Schengen e per dare attuazione alla
direttiva 46/95/CE del Parlamento europeo, e del Consiglio, relativa alla tutela dei dati personali, nonch alla libera circolazione di
tali dati, venne emanata la legge 31 dicembre 1996 n. 675. Col
passare del tempo, a tale norma si sono affiancate ulteriori leggi,
riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessit normativa immancabilmente creatasi in
seguito allapprovazione di norme diverse ha reso indifferibile
lemanazione di un Testo Unico, il D.lgs. 30.06.2003 n. 196, Codice in materia di protezione dei dati personali (in vigore dal
2004) che ha riordinato interamente la materia, dove le disposizioni sono per la maggior parte pressoch identiche a quelle
contenute nella L. 675/1996.
In data 25 gennaio 2012, la Commissione Europea ha approvato
la proposta di un regolamento sulla protezione dei dati personali,
che andrebbe a sostituire, una volta definitivamente approvato, la
direttiva 95/46/CE in tutti e 27 stati membri dellUnione Europea,
e in Italia andr quindi a prendere il posto del D.lgs. 196/2003.
Alcune delle novit del regolamento: (A) restano ferme le definizioni
fondamentali, ma con alcune aggiunte (dato genetico, dato biometrico); (B) viene introdotto il principio dellapplicazione del diritto
UE anche ai trattamenti di dati personali non svolti nellUE, se relativi allofferta di beni o servizi a cittadini UE o tali da consentire
il monitoraggio dei comportamenti di cittadini UE; (C) si stabilisce
il diritto degli interessati alla portabilit del dato (ad. es. nel caso
in cui si intendesse trasferire i propri dati da un social network ad
un altro) ma anche il diritto alloblio, ossia di decidere quali in-
36