Convergenza tra Safety & Sicurezza Fisica, Logica e Organizzativa

Quando mi è stata proposta di scrivere questa riflessione, del tutto personale, sulla convergenza tra la Security e la Safety, mi sono tornati in mente i diversi insegnamenti acquisiti in questi anni professionali passati nel comparto della sicurezza. L’esperienza vissuta sul campo, gli errori, gli studi, i progetti, la partecipazione ai convegni, seminari, workshop, lo scambio di informazioni e di idee sull’argomento, mi hanno portato, nel tempo, alla considerazione finale (oggi come allora giusta o sbagliata che sia), sempre più marcata: la security e la safety devono obbligatoriamente viaggiare per mano!

Nell’ultimo convegno del 24 novembre scorso (presso il dipartimento di ingegneria di Roma Tre) sulla “convergenza tra safety & sicurezza fisica, logica e organizzativa”, promosso dalla associazione AIIC (capitanata dalla nostra presidente Ing. Franchina), il relatore della giornata, il Dr Claudio Pantaleo (amico e preparato professionista della security) analizzava magistralmente tutti i punti fondanti dell’argomento, chiarendo, laddove ancora ve ne fosse il bisogno, come i perimetri safety e security non debbano stare più disuniti, ma punti cardini dell’intero processo sistemistico della sicurezza, per il semplicissimo fatto che questi due ambiti rappresentano le due identiche facce della stessa medaglia!

A livello accademico, poi, beh le cose non cambiano granché; accade molto di rado che il mondo universitario, decisamente più teorico, sia in perfetta sintonia con il mondo professionale, ambito molto pragmatico e operativo sul campo; decisamente meno teoricizzato, ma più pratico nelle applicazioni, con punti di osservazioni sì diversi, ma convergenti. Durante l’anno passato al DIE di Roma 2, frequentando il master di II livello STE-SDI (sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence) abbiamo appreso nel corso delle lezioni, come diversi insegnamenti facevano riferimento proprio alla convergenza e alla compenetrazione delle dinamiche di security e di safety, in materia di sicurezza infrastrutturale.

Il nostro docente, Prof Roberto Mugavero (mio mentore, uno dei massimi esperti italiani sulla CBRNe intelligence), durante le lezioni sugli scenari applicativi per le tecnologie di difesa militare, difesa e protezione civile, i metodi e le tecnologie di prevenzione e identificazione per la difesa militare, difesa e protezione civile, gli scenari applicativi e metodi per le tecnologie di homeland security, gli attacchi, gli incidenti e le protezioni da eventi CBRNe, ebbene, metteva sempre in risalto come questa convergenza, tra gli ambiti, fosse il prodotto risultante di una sola fenomenologia. Lo stesso accadeva durante le lezioni di operation management per scenari di rischio, del prof Caramia: security & safety analizzate in stretta coppia..

Possiamo tranquillamente affermare che la sicurezza rappresenta un sentimento, oltre che un dato di fatto: uno “stato di animo” ormai percepito come prioritario dalla quasi totalità delle imprese e delle organizzazioni pubbliche dei Paesi industrializzati, e alla sua soluzione vengono dedicate attenzione e corpose risorse, sempre più crescenti, ma con un certo ritardo.

E poiché il senso di sicurezza, più in generale, resta, peraltro, un sentimento oggettivo e molto soggettivo, è bene sempre analizzare le reali e effettive esigenze di protezione; e proprio partendo da questo assunto “basico” che vanno sviluppati quei concetti di protezione infrastrutturale di tipo globale, che tengano conto di tutti gli elementi rilevanti ai fini della sicurezza generale: una visione d’insieme completa, una analisi ottimale, la massima sicurezza decisionale!

Ma qual è il significato effettivo, reale del sostantivo “sicurezza”? Nella lingua italiana generalmente viene definita come: “la condizione di ciò che è sicuro, di ciò che consente di prevenire o attenuare quei rischi tipici che si presentano quando una minaccia sfrutta una vulnerabilità, per un fine ultimo di cagionare un danno”. Ora, questa condizione idealesi manifesta solo nei casi di assenza del pericolo, cosa vera in senso assoluto, ma difficilmente realizzabile in condizioni reali”. Invero, l’applicazione delle cd norme di sicurezza rende, generalmente, più difficile il verificarsi di eventi dannosi e di incidenti, quindi la talcosa avvicina molto l’indice reale a quello ideale, ma certamente non lo pareggerà mai in nessun caso!

Eppure, analizzandolo più profondamente, questo concetto appare ancora piuttosto ambiguo; infatti, nella etimologia della lingua inglese esistono tre diversi termini che la declinano, tipicamente anglosassoni, che meglio la ridefiniscono in ulteriori, se vogliamo, “sostantivi”:

  • Safety, quale sicurezza di protezione delle risorse umane (incolumità della persona) e delle risorse materiali, da pericoli derivanti da fenomeni naturali, accidentali o da errori umani;
  • Security, quale sicurezza di protezione delle risorse umane, delle risorse materiali e immateriali, da eventi di natura prevalentemente dolosa o colposa; tutto ciò altro non è che cultura, studio e gestione della sicurezza per la concretizzazione di misure idonee (ma teriali, infrastrutturali, formative e informative) per la prevenzione.
  • Emergency, quale attività di soccorso e di sicurezza personale e sociale che devono essere messe in atto nei casi in cui i compiti svolti dalla security e safety non siano sufficienti; l’emergency riguarda quindi il perimetro della protezione e del contenimento del pericolo.

Strutture istituzionali che operano nel mondo della sicurezza in maniera “convergente” e “sinergica” (a dimostrazione delle tre declinazioni citate), le ritroviamo, ad esempio, tra le forze dell’ordine (security), i vigili del fuoco (safety), il soccorso sanitario (emergency), la protezione civile e la difesa civile (security, safety, emergency), oltre agli istituti di vigilanza privata (safety e security), organismi adibiti a titolo “ausiliario e sussidiario” (sicurezza interna e sicurezza sussidiaria) funzionali nell’ambito di strutture organizzate e areali.

Negli ambiti generali della sicurezza fisica/logica e safety, sia essa aziendale che istituzionale, il concetto della “convergenza” di questi perimetri, è sempre più stringente e convergente tra loro; in alcuni casi, tra le altre cose, questa convergenza risulta pressoché impercettibile, ad esempio: un sistema di videosorveglianza non serve solo a tutelare il patrimonio, ma può salvare la vita di una persona in difficoltà, e non rappresenta uno strumento di controllo del dipendente, ma piuttosto può garantirlo in caso di gravi emergenze aziendali!

Due binomi, quello fisico & logico, e di security & safety, che generalmente viaggiano paralleli, proporzionali, senza mai apparentemente “incontrarsi”. Nei postulati matematici, due rette parallele hanno una sola possibilità di intersecarsi, se non all’infinito; mentre matematicamente questa astrazione euclidea è abbastanza articolata da dimostrare, nel mondo della sicurezza la realtà è molto meno astrattiva e più tangibile, reale.

Un esempio, ne è la minaccia cyber, la così detta minaccia “logica”: Stuxnet nel novembre 2008 è la dimostrazione tecnologica tangibile; un attacco materializzato contro un sito nucleare sotto forma di worm informatico, sfruttando una vulnerabilità di windows, in grado di spiare e riprogrammare pc e plc industriali, componenti cardini dei sistemi SCADA. Da ciò, ben si comprende quale reale pericolo rivesta una simile minaccia esterna (ambiti security e safety), nella filiera di una sequenza produttiva industriale: cosa accadrebbe, ad esempio, se durante un produzione farmaceutica, nella sequenza di un processamento chimico si inserisse un simile “baco” che modifichi quantità e sostanze di un medicinale, o molto più pericolosamente, sostituisse i farmaci prodotti da una confezione ad un’altra farmacologicamente diversa?

Altro esempio, e altra minaccia da non sottovalutare, per i devastanti effetti di presa psicologica sulla nostra società, è rappresentata dagli attacchi terroristici, la così detta minaccia “fisica”, diretta e materiale, contro le infrastrutture che governano e regolano il vivere quotidiano, la nostra stessa vita: l’attacco terroristico alle torri gemelle del Word Trade Center ne sono la vivente testimonianza, e hanno fatto scuola, purtroppo! E qui la sicurezza fisica gioca un ruolo decisamente fondamentale: rappresenta l’insieme di misure che prevengono e dissuadono gli attaccanti dall’accedere a una infrastruttura, a una risorsa o alle informazioni; rappresenta le linee guida su come progettare strutture in grado di resistere ad attacchi, ad atti ostili, perché il fine della protezione fisica è quello di proteggere gli asset tangibili e intangibili, da eventi di tipo criminogeno. E qui va fatto un piccolo inciso, squisitamente analitico, utile alla progettazione: ricordiamoci sempre, che non si chiude l’anello del processo di security fisica, se non c’è l’esatta “sommatoria” tra una protezione tipicamente attiva (tecnologie elettroniche) integrata a quella tipicamente passiva (tecnologie meccaniche)!

Come visto, dunque, i due casi realmente accaduti e citati ad esempio, pongono in maniera netta problemi delicatamente legati alla security e alla safety, tanto delle infrastrutture quanto dell’incolumità della vita umana. Da ciò si comprende bene come la sicurezza, nel suo insieme multidisciplinare, deve essere implementata da processi strutturati che permettano di proteggere il patrimonio aziendale, prevedendo, progettando, e realizzando poi, tutte quelle necessarie misure convergenti di sicurezza logica e fisica dedicate, che raggiungano come obiettivo finale un solido modello di governance: controllo accessi, sistemi di protezione antintrusione integrati con videosorveglianza performante, rappresentano insieme a efficaci firewall, e ad una robusta crittografia, l’equazione vincente in tema di cooperazione tra security fisica e logica, a tutto vantaggio di questa auspicata convergenza!

Nelle cd infrastrutture critiche, la protezione generale (informazioni, funzionalità, patrimonio, etc) non prescinde mai dalla protezione fisica, ne tantomeno da quella logica; oggi, infatti, la complessità infrastrutturale, quanto funzionale, dei sistemi di sicurezza fisica costituisce, a sua volta, essa stessa un potenziale oggetto di attacco esterno tipicamente cyber, alla stregua di qualsiasi altro sistema o servizio di information tecnology; dall’altro lato, per contro, la sicurezza fisica diventa un fattore fondante, quanto importante, per realizzare un sistema di protezione infrastrutturale IT completo: la necessità di proteggere strutture che trattano informazioni (o patrimoni) definite critiche, e non solo con un insieme di misure di sicurezza logica ma, anche e soprattutto, garantendo che accessi fisici non autorizzati possano compromettere la sicurezza della stessa infrastruttura

Ebbene, come abbiamo detto, poter stabilire il confine di un attacco logico da quello fisico, per certi versi non è sempre facile. Analizziamolo allora questo danno, derivante dalla compromissione contemporanea di più sistemi di sicurezza, intesa come protezione di security, e focalizziamo mentalmente tre tipici scenari che potrebbero materializzarsi.

Facciamo degli esempi: un attacco, interno o esterno che sia, compromette il funzionamento dell’intero sistema di protezione antintrusione, bloccando, ad esempio: la sensoristica di rilevazione degli allarmi, gli apparati di segnalazione remota che allertino le ff.oo e/o gli uomini della security interna, tutte le contromisure elettroniche e meccaniche tipiche e governate dall’antintrusione, come il blocco fisico degli accessi (ingressi, uscite, compartimentazioni antincendio) di determinate aree protette, aree classificate, tutto ciò pone un serio e delicato problema squisitamente attinente al perimetro safety, prima ancora che fisico o logico.

Altro esempio, semplice semplice: poniamo il caso che ad essere sotto attacco sia il solo sistema di videosorveglianza; una cosa molto frequente, più di quanto si pensi, visto che il settore si sta indirizzando sempre più verso sistemi implementati su piattaforme IP video, molto performanti e più facilmente scalabili, di gran moda, ma fortemente esposte a possibili forme di hackeraggio sistematico; attacchi mirati che potrebbero rendere “cieche” un gran numero di telecamere dell’impianto, per indurre danni ad asset critici, crearsi dei varchi senza essere visti, o peggio ancora, attacchi dedicati per sabotare le memorie degli archivi video, cancellando quelle prove video fonte di evidenza di crimini commessi.

E ancora, una tipica problematica di un controllo degli accessi: si potrebbero bloccare le disponibilità di uso dello stesso, modificando i profili autorizzativi per gli ingressi, le uscite, bloccando aree riservate, negando l’accesso a chi è autorizzato, oppure, autorizzando l’ingresso a chi non ne ha diritto, consentendo l’accesso ai locali ced, contenenti dati sensibili, il patrimonio informativo aziendale, tutti dati e informazioni che potrebbero essere sottratti o distrutti.

Immaginiamo il danno creato, non solo quello reputazionale, dalla sottrazione di determinate “informazioni”: a quali pericoli fisici, e di incolumità personale, verrà esposto tutto il personale interessato dai dati? Qui si pone un delicato problema di safety, perché si mette a rischio la vita personale di determinate figure aziendali; e ben sappiamo, che mettere in pericolo il patrimonio aziendale “umano”, significa esporre al rischio l’intera integrità strutturale (azienda o istituzione che fosse) e la sua stessa sopravvivenza!

Ma si pone anche un altro grosso problema, legato al perimetro della privacy; si potrebbero fare i conti in sede civile e penale, per aver violato le minime misure di sicurezza previste dall’allegato B del D.Lgs 196/2003, non avendo previsto, o peggio ancora mal progettato, un adeguato sistema di protezione dei dati; e questo vuol dire anche non aver previsto intorno allo stesso tavolo gli attori principali della governante della sicurezza: Security Manager, Security Officer, RSPP, e il Responsabile della protezione dei dati (futuro manager cd Data Protection Officer, obbligatorio a livello UE, per certe infrastrutture, dal prossimo maggio 2018).

In conclusione, riassumendo. Fino ad oggi, il “parlare” si è concentrato sul miglioramento della tecnologia di sicurezza informatica e dei processi di risposta alla “hacking”, alle violazioni della sicurezza IT: la cd risposta alla cyber security. Di contro, tuttavia, c’è stata scarsa attenzione ad un quadro decisamente più ampio; le aziende dovrebbero adottare, definitivamente, un approccio unificato e paritario, sia per la sicurezza fisica che logica. Il risultato sarà certamente più strutturato, omogeneo, proprio nella direzione imposta dalle regole safety.

Le aziende sistematicamente dedicano molte risorse, direi in modo sbilanciato, per unificare le operazioni logiche a quelle e fisiche; nella moltitudine dei casi con scarsi risultati, o meglio, con risultati decisamente al di sotto delle aspettative poste, tra gli investimenti messi in gioco e le risultanze ottenute. Altro esempio, tipico e sovrapponibile tanto al privato, quanto al pubblico: personale di una infrastruttura aziendale o istituzionale, che sovrintende le operazioni fisiche tipiche, come aree di sicurezza, le credenziali per il personale, la manutenzione degli impianti, elettrici e tecnologici, molto spesso è “separato e scollegato” dai responsabili delle operazioni IT, dal personale safety.

Security Manager, Security Information Officer e RSPP, e in futuro il Data Protection Officer, che non “operano” dallo stesso tavolo, che parlano “linguaggi” diversi, o peggio ancora, dipendono gerarchicamente da strutture aziendali differenti, per assetto e formazione.

Mentre il personale responsabile di simili e delicati processi, dovrebbe avere un unico punto di contatto e di convergenza, perché tutti ben sappiamo che gli attacchi fisici hanno sempre un impatto devastante sulle operazioni IT, come le minacce logiche impattano sempre sulle operazioni fisiche; risulta chiaro che trattare separatamente i due perimetri di minaccia, allontanando la convergenza, produrrà in termini di risposta, una inutile confusione, dei ritardi e delle inefficienze inaccettabili quanto pericolose, quando una crisi colpisce gli asset strategici.

E questo, soprattutto, in considerazione del fatto che le fasi di contrasto per affrontare i problemi di sicurezza (security, safety, emergency), ormai seguono processi molto simili e assimilabili: il rilevamento della minaccia, la valutazione, il contenimento, il rimedio, la rimozione e la risoluzione finale.

Per creare un approccio unificato, necessario ad ospitare questo trend di convergenza, va pensato e creato un punto centrale di gestione e coordinamento, adeguato nel rispondere alle interruzioni delle operatività, causate dalle problematiche fin qui analizzate. Un elemento chiave che consentirebbe risposte rapide e unitarie, potrebbe essere la realizzazione di una rete di comunicazione delle “crisi” di nuova generazione: una piattaforma creata per avvisare il personale e facilitare in maniera adeguata lo scambio di informazioni su scala massiva, o su base mirata; se un rilevatore di fumo in una sala server genera un allarme incendio, questa informazione genera certamente un allert dalla triplice valenza: security, safety ed emergency. Avere a disposizione delle immagini di un impianto strettamente legato alla security, e correlandole con i dati di allarme incendio generati da un sistema strettamente legato al modo safety, rappresenta la concreta convergenza di questi due mondi aziendali, la cui distanza non fa altro che porre il sistema azienda, nella totale insicurezza operativa.

Essere in grado di rispondere in maniera adeguata e sicura, rappresenta la necessaria resilienza che ogni infrastruttura, pubblica, privata o critica che sia, deve possedere come patrimonio genetico in risposta ad ogni tipo di minaccia, interna o esterna che fosse!

I due link proposti danno un contributo riflessivo, e a più ampio spettro, sulla sicurezza in generale (security e safety), mettendo in risalto quella delle infrastrutture critiche, tanto pubbliche quanto private, oggetti di attacchi anche di tipologia cd non convenzionale.

http://gnosis.aisi.gov.it/Gnosis/Rivista48.nsf/ServNavig/48-25.pdf/$File/48-25.pdf?openElement

http://gnosis.aisi.gov.it/Gnosis/Rivista48.nsf/ServNavig/48-23.pdf/$File/48-23.pdf?openElement

http://www.masterstesdi.uniroma2.it/home.html

A cura di: Giovanni Villarosa, Senior Security Manager

 

Profilo Autore

Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.

Condividi sui Social Network:

Articoli simili