Alessandro Manfredini, presidente AIPSA, vede nella collaborazione tra il settore pubblico e quello privato la chiave per far fronte all’attuale molteplicità di intersezioni tra diverse tipologie di intrusioni e incursioni, un fenomeno che espande la superficie del rischio e rende più labile il confine della sicurezza tra il dominio digitale e quello tangibile.
AIPSA (Associazione Italiana dei Professionisti della Security Aziendale) è promotrice da sempre della cooperazione tra pubblico e privato per lo sviluppo e il rafforzamento del sistema di sicurezza nazionale. Oggi, infatti, chi è chiamato a operare nel campo della protezione di dati, luoghi fisici e persone deve tenere conto della molteplicità di intersezioni tra le varie tipologie di intrusioni e incursioni, prediligendo una visione olistica che integri le metodologie atte a prevenire e contrastare sia le minacce di tipo tradizionale sia quelle di matrice cibernetica.
Alessandro Manfredini, presidente AIPSA, ha richiamato per questo l’attenzione delle istituzioni sull’opportunità della costituzione di una task force, alle dirette dipendenze di Palazzo Chigi, che si incarichi di monitorare e segnalare ogni tipo di attività ostili ibride nel Paese (a cominciare da quelle che vedono come bersaglio le imprese che gestiscono servizi o infrastrutture strategiche), creando una circolarità informativa anche tra le imprese private tramite i loro security manager.
«In un quadro di crescente instabilità internazionale, il “sistema Paese” non può più permettersi di considerare la sicurezza, pubblica e privata, fisica e cibernetica, come componenti a sé stanti. La nuova frontiera delle minacce internazionali alla sicurezza nazionale è costituita da attacchi ibridi, che non colpiscono più solo obiettivi pubblici, ma sempre più operatori privati di infrastrutture critiche in tutti i settori economici, dall’energia ai trasporti, dalla sanità al manifatturiero. L’Italia deve adeguare le proprie contromisure» ha dichiarato recentemente Manfredini in occasione dell’anniversario della fondazione di AIPSA.
Cosa si intende esattamente per “minacce ibride”?
«Non esiste una definizione univoca per il termine: la Commissione Europea lo descrive come fenomeno che nasce dalla convergenza e interconnessione di elementi diversi che formano una minaccia multidimensionale. La NATO si riferisce alla hybrid warfare parlando dell’attaccante che usa simultaneamente mezzi convenzionali e non in grado di adattarsi alle debolezze del target.
Altre definizioni ancora si focalizzano sull’abilità dell’attaccante nell’uso sincronizzato di multipli strumenti di offesa. Sebbene apparentemente diverse, tutte le formule sono accomunate dal riferimento a una forma di attacco “multivettoriale”. La “minaccia ibrida” è dunque quella che in funzione dell’ambiente di provenienza può riverberare conseguenze in uno spazio diverso.
Per chiarire con un esempio, possiamo immaginare un attacco hacker alla sicurezza informatica di un ospedale, che tra le ricadute potrebbe avere quella di mandare in blocco i respiratori producendo conseguenze anche fatali. In questo caso, una minaccia informatica avrebbe delle ricadute di tipo fisico; al contrario, un’intrusione materiale (per esempio, l’introduzione di un virus attraverso una chiavetta USB in un’infrastruttura informatica, magari dopo aver eluso o violato i sistemi di controllo accessi fisico) potrebbe provocare il blocco del server.
Per restare all’attualità, tra le ultime evidenze possiamo annoverare anche i casi di attacchi informatici avvenuti in scenari di guerra, che hanno preceduto le azioni di tipo militare tradizionale. Prima dell’invio di truppe di terra nel Donbass, la federazione russa è intervenuta con attacchi hacker alle reti di gestione delle infrastrutture energetiche, mentre Hamas prima degli attacchi terroristici nella striscia di Gaza lo scorso ottobre si è mossa per compromettere i sistemi di videosorveglianza sul confine».
La figura del security manager presuppone quindi una formazione su più livelli, sia sul piano tecnico sia dal punto di vista della gestione operativa
«È così, un security manager dev’essere preparato sia per quanto concerne le intrusioni di tipo fisico (incursioni in aree protette, manomissione dei sistemi di videosorveglianza) sia per quanto attiene ai sistemi digitali. In particolare, nell’ambito delle infrastrutture strategiche - che sono per definizione “sensibili” - è fondamentale che il professionista deputato alla sicurezza abbia una visuale omnicomprensiva.
Per questo come AIPSA insistiamo a ribadire quanto sia importante che anche nel settore pubblico vengano introdotte le stesse logiche di gestione e coordinamento della sicurezza aziendale richieste a un security manager professionista, magari anche certificato».
Quali riferimenti normativi attengono la sicurezza delle strutture sensibili di un paese come il nostro?
«I principali riferimenti giuridici che attengono la tutela della sicurezza di tipo tradizionale e cibernetica sono di matrice europea e il loro rispetto da parte dei diversi Paesi è finalizzato a garantire la resilienza delle varie organizzazioni sul territorio. Stiamo parlando della Direttiva NIS2, della Direttiva CER (Critical Entities Resilience) e del Regolamento DORA: la Direttiva NIS2 - in vigore dal gennaio 2023 - nasce da una profonda revisione della Direttiva NIS del 2016 e segna un ulteriore passo verso la piena definizione della strategia cyber dell’Unione Europea, predisponendo adeguate risposte coordinate e innovative da parte di tutti gli Stati membri per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.
La Direttiva CER è stata approvata dal Consiglio europeo, che ha così emanato una raccomandazione sulla cybersecurity. Si tratta di una normativa che va di pari passo con la Direttiva NIS2 per conciliare sicurezza fisica e cyber: la Direttiva NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche, mentre la Direttiva CER della loro resilienza rispetto a minacce cinetiche naturali e/o antropiche, volontarie o involontarie, ivi comprese le minacce di stampo terroristico.
Il Regolamento dell’Unione Europea DORA (Digital Operational Resilience Act), infine, stabilisce un framework vincolante e completo per quanto riguarda la gestione del rischio delle tecnologie ICT (informazione e comunicazione) per il settore finanziario dell’UE. Per un’efficace gestione delle minacce che gravano sulle infrastrutture critiche e sugli operatori di servizi essenziali, l’ideale sarebbe che i professionisti del settore a livello nazionale facessero riferimento a un unico interlocutore istituzionale.
Per questo AIPSA suggerisce la creazione di una task force alle dirette dipendenze della Presidenza del Consiglio, in modo che siano garantiti coordinamento e indirizzo, nonché una migliore circolarità informativa utili a snellire i passaggi burocratici tra i vari enti e contribuire a una maggiore tempestività e quindi efficacia delle decisioni».
Dal punto di vista operativo, quali indicazioni suggerisce AIPSA per la miglior gestione della sicurezza nelle infrastrutture e nelle aziende?
«Per prima cosa sarebbe opportuno che le aziende (sia private sia pubbliche) ancora prive di un security manager definito organicamente al proprio interno vengano stimolate a integrare questa figura nell’organigramma aziendale.
A chi ricopre questo ruolo andrebbero attribuite responsabilità ben definite in base a modelli e protocolli condivisi, tantopiù che, stando alla direttiva NIS2, anche le Pubbliche Amministrazioni con più di 100.000 abitanti dovranno ottemperare all’obbligo di istituire un security manager per reagire adeguatamente alle minacce a danno della cybersecurity. Il tema viene affrontato tra l’altro anche nello specifico decreto-legge “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”».
Quale norma disciplina specificamente le competenze necessarie a un security manager?
«La norma UNI 10459 definisce i requisiti relativi alla figura professionale coinvolta nel processo di security, ossia la persona le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo. Il testo fornisce anche la definizione specifica di cosa si intenda per “security”, mentre in Italia si parla ancora troppo spesso di “sicurezza” in senso generale senza distinguere tra security e safety (come avviene nel mondo anglosassone.
Le norme UNI solitamente non sono cogenti, ma il richiamo al D.M. 269 del 2010 sui servizi di polizia sussidiaria ha reso obbligatoria la certificazione UNI 10459 per il settore della vigilanza privata oltre una determinata dimensione organizzativa - requisito necessario per ottenere la licenza a operare da parte dell’autorità di pubblica sicurezza.
Sarebbe auspicabile che le normative tecniche fossero sempre più recepite a livello normativo cogente, così da garantire una maggiore professionalità degli operatori del settore. Certo è che i ruoli più direttivi dovranno prevedere soft skill manageriali, orientate alla leadership e al problem solving: una necessità ovviamente comune anche ad altri settori e ad altri professionisti cosiddetti C-level».
LAVORO DI SQUADRA
Il gruppo di lavoro Minacce ibride, metodologie integrate per il Security Risk Assessment di (eco) sistemi cyber-fisici intende promuovere il dibattito e favorire la convergenza sulla definizione di approcci olistici, metodologie integrate e strumenti adattativi per la valutazione del rischio di security derivante da minacce ibride su sistemi cyber-fisici, laddove la progressiva fusione dei domini IT e OT rende le strutture e infrastrutture critiche ecosistemi sempre più interconnessi e interdipendenti di sensori e strutture, dispositivi e spazi, algoritmi e funzioni sociali, network e computer.
L’obiettivo è quello di integrare, adattare e aggiornare le linee guida Cybersecurity & Physical Security Convergence Action Plan - emanate nel 2021 negli Stati Uniti dalla CISA (Cybersecurity Infrastructure Security Agency) - per fornire linee guide operative snelle per l’implementazione di presidi metodologici e organizzativi volti al contrasto delle minacce ibride cyber-fisiche anche in contesti aziendali italiani non strutturati (dal punto di vista della security).
UNA REALTÀ VOCATA AL PROFESSIONISTA
AIPSA ha come scopo istituzionale la valorizzazione dell’ordinamento professionale del security manager, la formazione e l’aggiornamento degli associati, la diffusione della cultura della security con l’approfondimento dello studio delle sue problematiche di ordine tecnico, funzionale, giuridico e legislativo.
Per attuare i propri fini, l’associazione è entrata a far parte di numerosi e diversificati organismi attraverso i quali realizza le sinergie necessarie al raggiungimento degli obiettivi strategici di volta in volta indicati in programmi triennali.
