Post on 08-Jun-2015
description
transcript
AIIC: Associazione Italiana Esperti in Infrastrutture Critiche, le IC e le ICEe la Protezione da rischi informatici di Reti e Sistemi di Telecontrollo e Controllo di impianti ed infrastruttureEnzo M. Tieghi – Consigliere di
AIICetieghi@servitecno.it
1 Febbraio 2011 - Oracle Security Comunity
Chi siamo: Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma
http://www.infrastrutturecritiche.it
info@infrastrutturecritiche.it
IC: Infrastrutture Critiche, cosa sono?«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessere economico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».
• Strategie• Metodologie• Tecnologie• Consapevolezza
AIIC è un’associazione, senza fine di lucro, che nasce nel luglio del 2006 per costruire e sostenere una cultura interdisciplinare per lo sviluppo di:
in grado di gestire correttamente le infrastrutture con una particolare attenzione alle situazioni di crisi
• È il primo testo italiano ad avere avuto come obiettivo quello di delineare l’argomento, evidenziando gli aspetti di maggiore interesse e criticità per il sistema Paese
Il primo risultato dello “sforzo congiunto” :GdL alla Presidenza del Consiglio dei Ministri
Alcuni dei risultati prodotti dal Gruppo di Lavoro dell’ ISCOM
Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma
http://www.infrastrutturecritiche.it
info@infrastrutturecritiche.it
La rivista: Safety & Security• Organo ufficiale
dell’AIIC• Contiene articoli
tecnici e divulgativi sul tema delle Infrastrutture Critiche trattati da esperti dei vari settori industriali
• Tirato in 8.000 copie è diffuso tra i principali operatori del settore
[…] uno scenario aggiornato del contesto competitivo del settore della sicurezza fisica e della sicurezza logica in Italia […]
Newsletter AIIC
• Newsletter che raccoglie gli eventi del mese
–Iniziative in ambito europeo e nazionale–Bandi–Incontri–Attività dell’AIIC
Sito: www.infrastrutturecritiche.it• Sezione dedicata
alla normativa europea
• Sezione dedicata ai documenti istituzionali prodotti dai diversi governi (US, UK, ecc.)
• Versione in formato elettronico dei principali articoli apparsi sulla rivista Safety&Security
• Newsletter elettronica a cadenza mensile
www.infrastrutturecritiche.it
Il tema del momento ECI (o ICE)
• Oggi si discute di EPCIP - (Dir. 2008/114/CE)– European Programme for Critical Infrastructure Protection• Qual è l’obiettivo?
• Quale l’impatto nazionale?• Quale l’impatto sui singoli owners?• È immaginabile una prospettiva di
analisi per la standardizzazione?• Qual è il ruolo degli esperti?• È possibile immaginare uno
standard skill?
IC: Infrastrutture Critiche, cosa sono?«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessere economico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».
ICE: Infrastrutture Critiche, cosa sono?
Critical Sectors in EU - 2006
Cosa ha fatto e cosa sta facendo AIIC • Analisi dell’impatto della proposta
di direttiva• Consultazione sui possibili effetti
dell’implementazione della direttiva
• Cross-analysis sulle esperienze globali (analisi comparata dei sistemi CIP)
• Consultazione con Istituzioni per uk recepimento/Attuazione in Italia della direttiva 2008/114/CE
La AIIC è stata coinvolta nel processo di approvazione della Direttiva Europea sulla Protezione delle Infrastrutture Critiche ed è
presente, direttamente o con i suoi soci, nei principali tavoli nazionali e internazionali che si occupano della tematica
15
Alcune immagini
AIIC – Consiglio Direttivo (2011-13) :Presidente: Sandro Bologna (ricercatore) Vicepresidenti: Bruno Carbone (Enav), Silvio Fantin (GSE), Segretario: Roberto Setola (Univ. Roma Campus Biomedico) Tesoriere Guido Pagani (Banca d’Italia)Consiglieri: Emiliano Casalicchio (Univ. Roma Tor Vergata), Gregorio D’Agostino (Enea), Dario de Marchi (Acquirente Unico), Luisa Franchina (Pres.Cons.dei Ministri Dip. Protez. Civile), Stefano Panzieri (Università Roma Tre), Andrea Rigoni (Poste It GC-SEC Global Cyber Security Center)Enzo Maria Tieghi (ServiTecno)
AIIC Associazione Italiana esperti in Infrastrutture CritichePer Associarsi:
http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it
• Enzo Maria Tieghi, socio AIIC, Socio CLUSIT
Gestire e proteggere da rischi informatici reti e sistemi di Supervisione, Controllo, Monitoraggio e Telecontrollo di impianti nelle infrastrutture e nelle utility
Enzo Maria Tieghi• Amministratore Delegato di ServiTecno
(da oltre 20 anni software industriale)
• Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)
• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)
• Co-autore ed autore pubblicazioni, articoli e memorie
19
Enzo Maria Tieghi• Amministratore Delegato di ServiTecno
(da oltre 20 anni software industriale)
• Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)
• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)
• Co-autore ed autore pubblicazioni, articoli e memorie
20
Security e sistemi (secondo ISA95)
Level 4
Level 0
Level 1
Level 2
Level 3
Business LogisticsPlant Production Scheduling, Shipping,
Receiving, Inventory, etc
ManufacturingOperations Management
Dispatching, Detailed ProductionScheduling, Production Tracking, ...
BatchProduction
Control
DiscreteProduction
Control
ContinuousProduction
Control
The production processes
Com
mon
tech
nolo
gies
,
polic
ies
and
prac
tices
IT Security Policies and
Practices(ISO 27000-
20000
Mfg Security Policies
and Practices(ISA 99)
Process Safety(ISA 84,
IEC 61508, IEC 61511)
SCADA, Reti di impianto & IT
Incidenti del passato (+ altri recenti… )
• Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni ‘80 sino a casi decisamente recenti.
Whatcom Falls Park• “About 3:28 p.m., Pacific daylight time, on June 10,
1999, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that flowed through Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18-year-old young man died as a result of the accident. Eight additional injuries were documented. A single-family residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million.”
Technical details• “The Olympic Pipeline SCADA system
consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package.”
Corriere della Sera 21.10.2009
… e Stuxnet? (2010)
Reti Cablate e Reti Wireless
Il wireless arriva in fabbrica
Smart Control Systems
Smart Analytical
Smart FinalControl
Smart AssetOptimization
Smart Safety
Smart Measurement
Smart MachineryHealth
Smart Wireless
33
Ergonomia
http://www.metroland.org.uk/signal/amer01.jpg
Eravamo abituati a…
Ergonomia
Ora lavoriamoIn modo diverso.
http://www.ihcsystems.com/section_n/images/efficientdredgingnewsapril2005_Page_09_Image_0002.jpg
N.B. nel mondo occidentale, 1 uomo su 12 (8%)
Operatori, SCADA e Daltonismo