AIIC: Associazione Italiana Esperti in Infrastrutture Critiche, le IC e le ICEe la Protezione da rischi informatici di Reti e Sistemi di Telecontrollo e Controllo di impianti ed infrastruttureEnzo M. Tieghi – Consigliere di

AIICetieghi@servitecno.it

1 Febbraio 2011 - Oracle Security Comunity

Chi siamo: Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma

http://www.infrastrutturecritiche.it

info@infrastrutturecritiche.it

IC: Infrastrutture Critiche, cosa sono?«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessere economico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».

• Strategie• Metodologie• Tecnologie• Consapevolezza

AIIC è un’associazione, senza fine di lucro, che nasce nel luglio del 2006 per costruire e sostenere una cultura interdisciplinare per lo sviluppo di:

in grado di gestire correttamente le infrastrutture con una particolare attenzione alle situazioni di crisi

• È il primo testo italiano ad avere avuto come obiettivo quello di delineare l’argomento, evidenziando gli aspetti di maggiore interesse e criticità per il sistema Paese

Il primo risultato dello “sforzo congiunto” :GdL alla Presidenza del Consiglio dei Ministri

Alcuni dei risultati prodotti dal Gruppo di Lavoro dell’ ISCOM

Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma

http://www.infrastrutturecritiche.it

info@infrastrutturecritiche.it

La rivista: Safety & Security• Organo ufficiale

dell’AIIC• Contiene articoli

tecnici e divulgativi sul tema delle Infrastrutture Critiche trattati da esperti dei vari settori industriali

• Tirato in 8.000 copie è diffuso tra i principali operatori del settore

[…] uno scenario aggiornato del contesto competitivo del settore della sicurezza fisica e della sicurezza logica in Italia […]

Newsletter AIIC

• Newsletter che raccoglie gli eventi del mese

–Iniziative in ambito europeo e nazionale–Bandi–Incontri–Attività dell’AIIC

Sito: www.infrastrutturecritiche.it• Sezione dedicata

alla normativa europea

• Sezione dedicata ai documenti istituzionali prodotti dai diversi governi (US, UK, ecc.)

• Versione in formato elettronico dei principali articoli apparsi sulla rivista Safety&Security

• Newsletter elettronica a cadenza mensile

www.infrastrutturecritiche.it

Il tema del momento ECI (o ICE)

• Oggi si discute di EPCIP - (Dir. 2008/114/CE)– European Programme for Critical Infrastructure Protection• Qual è l’obiettivo?

• Quale l’impatto nazionale?• Quale l’impatto sui singoli owners?• È immaginabile una prospettiva di

analisi per la standardizzazione?• Qual è il ruolo degli esperti?• È possibile immaginare uno

standard skill?

IC: Infrastrutture Critiche, cosa sono?«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessere economico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».

ICE: Infrastrutture Critiche, cosa sono?

Critical Sectors in EU - 2006

Cosa ha fatto e cosa sta facendo AIIC • Analisi dell’impatto della proposta

di direttiva• Consultazione sui possibili effetti

dell’implementazione della direttiva

• Cross-analysis sulle esperienze globali (analisi comparata dei sistemi CIP)

• Consultazione con Istituzioni per uk recepimento/Attuazione in Italia della direttiva 2008/114/CE

La AIIC è stata coinvolta nel processo di approvazione della Direttiva Europea sulla Protezione delle Infrastrutture Critiche ed è

presente, direttamente o con i suoi soci, nei principali tavoli nazionali e internazionali che si occupano della tematica

15

Alcune immagini

AIIC – Consiglio Direttivo (2011-13) :Presidente: Sandro Bologna (ricercatore) Vicepresidenti: Bruno Carbone (Enav), Silvio Fantin (GSE), Segretario: Roberto Setola (Univ. Roma Campus Biomedico) Tesoriere Guido Pagani (Banca d’Italia)Consiglieri: Emiliano Casalicchio (Univ. Roma Tor Vergata), Gregorio D’Agostino (Enea), Dario de Marchi (Acquirente Unico), Luisa Franchina (Pres.Cons.dei Ministri Dip. Protez. Civile), Stefano Panzieri (Università Roma Tre), Andrea Rigoni (Poste It GC-SEC Global Cyber Security Center)Enzo Maria Tieghi (ServiTecno)

AIIC Associazione Italiana esperti in Infrastrutture CritichePer Associarsi:

http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it

• Enzo Maria Tieghi, socio AIIC, Socio CLUSIT

Gestire e proteggere da rischi informatici reti e sistemi di Supervisione, Controllo, Monitoraggio e Telecontrollo di impianti nelle infrastrutture e nelle utility

Enzo Maria Tieghi• Amministratore Delegato di ServiTecno

(da oltre 20 anni software industriale)

• Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)

• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)

• Co-autore ed autore pubblicazioni, articoli e memorie

19

Enzo Maria Tieghi• Amministratore Delegato di ServiTecno

(da oltre 20 anni software industriale)

• Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)

• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)

• Co-autore ed autore pubblicazioni, articoli e memorie

20

Security e sistemi (secondo ISA95)

Level 4

Level 0

Level 1

Level 2

Level 3

Business LogisticsPlant Production Scheduling, Shipping,

Receiving, Inventory, etc

ManufacturingOperations Management

Dispatching, Detailed ProductionScheduling, Production Tracking, ...

BatchProduction

Control

DiscreteProduction

Control

ContinuousProduction

Control

The production processes

Com

mon

tech

nolo

gies

,

polic

ies

and

prac

tices

IT Security Policies and

Practices(ISO 27000-

20000

Mfg Security Policies

and Practices(ISA 99)

Process Safety(ISA 84,

IEC 61508, IEC 61511)

SCADA, Reti di impianto & IT

Incidenti del passato (+ altri recenti… )

• Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni ‘80 sino a casi decisamente recenti.

Whatcom Falls Park• “About 3:28 p.m., Pacific daylight time, on June 10,

1999, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that flowed through Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18-year-old young man died as a result of the accident. Eight additional injuries were documented. A single-family residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million.”

Technical details• “The Olympic Pipeline SCADA system

consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package.”

Corriere della Sera 21.10.2009

… e Stuxnet? (2010)

Reti Cablate e Reti Wireless

Il wireless arriva in fabbrica

Smart Control Systems

Smart Analytical

Smart FinalControl

Smart AssetOptimization

Smart Safety

Smart Measurement

Smart MachineryHealth

Smart Wireless

33

Ergonomia

http://www.metroland.org.uk/signal/amer01.jpg

Eravamo abituati a…

Ergonomia

Ora lavoriamoIn modo diverso.

http://www.ihcsystems.com/section_n/images/efficientdredgingnewsapril2005_Page_09_Image_0002.jpg

N.B. nel mondo occidentale, 1 uomo su 12 (8%)

Operatori, SCADA e Daltonismo

Enzo Maria Tieghietieghi@servitecno.it