l’approfondimento

Sicurezza delle infrastrutture critiche: tecnologie, strategie, normative



Indirizzo copiato

Le infrastrutture critiche sono vitali per la società e includono settori come energia, trasporti e sanità. La loro digitalizzazione aumenta le superfici di attacco, rendendo essenziale un approccio olistico alla sicurezza delle reti. La normativa NIS2 impone requisiti stringenti, mentre tecnologie emergenti come l’IA offrono nuove opportunità di protezione

Pubblicato il 26 set 2024

Stefano Pileri

Chief digital transformation and innovation officer Maticmind



sicurezza reti (1)

Le infrastrutture critiche sono sistemi complessi fisici e informatici vitali per il funzionamento di una società. La loro compromissione o distruzione ha un impatto significativo sulla sicurezza, l’economia, la salute pubblica o la sicurezza nazionale. Queste infrastrutture, in altri termini, includono servizi essenziali che, se interrotti, possono causare gravi danni alla popolazione e all’economia.

In Italia, la definizione e la classificazione delle infrastrutture critiche sono regolamentate dal Decreto Legislativo 11 aprile 2011, n. 61[1], che recepisce la Direttiva Europea 2008/114/CE. Le principali categorie di infrastrutture critiche identificate sono:

  • Energia: include impianti di produzione, trasmissione e distribuzione di elettricità, gas e petrolio.
  • Acqua: sistemi di approvvigionamento e distribuzione di acqua potabile, bacini naturali e artificiali, impianti di desalinizzazione delle acque marine.
  • Trasporti: infrastrutture di trasporto, come aeroporti, porti, ferrovie e strade.
  • Tecnologie dell’informazione e della comunicazione: reti di telecomunicazione, Internet, Data Center e Sistemi Informatici.
  • Finanza: sistemi bancari e finanziari.
  • Sanità: Strutture sanitarie, Ospedali e Sistemi di Emergenza Sanitaria.
  • Alimentazione: Sistemi di produzione, stoccaggio e distribuzione di cibo.
  • Sicurezza pubblica e protezione civile: Forze dell’ordine, vigili del fuoco e sistemi di gestione delle emergenze.

L’importanza di queste infrastrutture è evidente e negli ultimi anni, accanto alle questioni relative alla protezione e difesa dei luoghi e percorsi dove esse si sviluppano, è cresciuta enormemente l’attenzione alla sicurezza delle reti, data center e sistemi informativi utilizzati per la loro digitalizzazione. Le reti di distribuzione e trasmissione elettriche diventano Smart Grids, le reti stradali e autostradali si sviluppano secondo i concetti di Smart Roads, il Sistema Sanitario Nazionale e le strutture private convenzionate stanno evolvendo secondo le direttrici della Sanità Digitale e Telemedicina e i sistemi di produzione e distribuzione alimentare sono anch’essi in rapido cambiamento, ad esempio, secondo i principi dell’Agricoltura di Precisione. Infine, da molti anni, il sistema bancario e finanziario si fonda su una digitalizzazione estremamente spinta grazie alla quale la stragrande maggioranza delle transazioni e dei flussi economici avviene ormai grazie ad applicazioni e infrastrutture digitali.

In questo lavoro ci focalizzeremo sulle infrastrutture strategiche costituite da reti fisiche con i loro “gemelli digitali” abilitati da tecnologie IOT (Internet Of Things) e di networking distribuito[2]. In questi scenari, ancora più di altri, la Sicurezza by Design, la Cybersecurity e OT Security, i concetti di resilienza, Business Continuity e Disaster Recovery sono diventate tecnologie e metodologie indispensabili per l’esistenza, funzionalità e tenuta delle infrastrutture critiche delle Nazioni le quali, di fatto, costituiscono la spina dorsale delle Economie e dalla loro disponibilità e dal loro corretto funzionamento dipende oggi, e in misura sempre maggiore in futuro, il benessere di ampie fasce di popolazione.

Reti e tecnologie per la digitalizzazione delle infrastrutture critiche: le Smart Grid

La digitalizzazione delle infrastrutture critiche di produzione, trasporto e distribuzione dell’Energia avviene tramite la tecnologia Smart Grid.

L’architettura di una Smart Grid

L’architettura di una Smart Grid è complessa e multistrato, progettata per integrare e coordinare diverse tecnologie, sistemi e processi al fine di migliorare l’efficienza, l’affidabilità e la sostenibilità della rete elettrica. Essa combina avanzate tecnologie di informazione e comunicazione (ICT) con l’infrastruttura elettrica esistente, consentendo un controllo e una gestione dinamici delle operazioni di generazione, trasmissione, distribuzione e consumo dell’energia elettrica. Una Smart Grid può essere suddivisa nelle componenti principali descritte nel seguito.

La Generazione che oggi integra centrali elettriche convenzionali con fonti di energia rinnovabile (solare, eolico, idroelettrico, ecc.) queste ultime caratterizzate da generazione distribuita con piccole fonti di energia dislocate sul territorio, come i pannelli fotovoltaici e le turbine eoliche, vicine ai punti di consumo. La Rete Intelligente di Trasmissione ad Alta Tensione (AT) costituita da linee che trasportano energia su lunghe distanze dalla generazione ai centri di distribuzione e che utilizzano sensori avanzati per monitorare in tempo reale le condizioni di rete e ottimizzare il flusso di energia. La rete di trasmissione ad Alta Tensione connette i Sistemi di Generazione alle le Cabine Primarie (CP), dove avviene la trasformazione a Media Tensione (MT), e ai Centri Operativi che consentono il monitoraggio e controllo H24 di tutta ra rete elettrica. La Rete Intelligente di Distribuzione che utilizza dispositivi automatizzati per la riconfigurazione della rete, il controllo dei carichi e l’integrazione delle fonti di energia distribuita, e a bassa tensione che consente la gestione dell’energia verso gli utenti finali. In questa sezione della rete, generalmente basata su topologia a maglia, le Cabine Secondarie (CS) svolgono la funzione trasformazione in Bassa Tensione (BT), di sezionamento della rete per rapida identificazione dei guasti e protezione degli utilizzatori. Le cabine secondarie comunicano con tutti gli elementi della rete di distribuzione di MT e BT e con il sistema di dispacciamento locale o centrale e oggi si basano su componenti digitali e innovativi.

Gli Smart Meter

Gli Smart Meters, o Contatori Elettrici Intelligenti, che forniscono dati in tempo reale su consumo e produzione sia agli utenti che agli operatori della rete. Questa è stata la prima funzione digitale introdotta nelle reti elettriche sia per automatizzare la misura, cessando le rilevazioni manuali utilizzate nel passato, e sia per consentire schemi di prezzo differenziati per fascia oraria in modo da contribuire all’ottimizzazione del consumo e quindi all’omogeneizzazione del carico in rete.

Uno schema estremamente semplificato di una Smart Grid è illustrato nella figura 1.

Immagine che contiene testo, mappa, schermata, diagrammaDescrizione generata automaticamente

Le Reti Intelligenti Elettriche basano il loro funzionamento su una rete di telecomunicazioni ad alte prestazioni che realizza il “rilegamento” delle Cabine Secondarie e Primarie con una rete in fibra ottica e wireless 5G. A tal fine, oltre al rilegamento delle cabine elettriche alla rete in fibra ottica, è prevista l’installazione di componenti di innovazione tecnologica che, unitamente ad interventi strutturali, contribuiranno al miglioramento della qualità nonché all’evoluzione tecnologica della rete di E-Distribuzione, in linea con le previsioni e gli scenari delineati dal Piano Nazionale Integrato per l’Energia e il Clima (PNIEC). Gli obiettivi di decarbonizzazione implicano infatti una crescente decentralizzazione, peraltro già in atto, delle risorse collegate alla rete: oltre alla generazione distribuita, si delinea la diffusione di nuove forme di utilizzo dell’energia elettrica, di sistemi di accumulo, demand response, mobilità elettrica / vehicle to grid, destinati a cambiare in modo radicale il paradigma di gestione e funzionamento del sistema elettrico nel suo complesso.

La struttura di una moderna SGTN è illustrata nella figura 2.

Immagine che contiene testo, schermata, diagramma, lineaDescrizione generata automaticamente

La SGTN connette i Centri Operativi alle cabine primarie e questo collegamento è realizzato con anelli in fibra ottica connessi a sistemi di routing dotati di sistemi ottici di necessari a interconnettere tutti i dispositivi intelligenti della Cabina Primaria e ad instradare il traffico da e verso i Centri Operativi e le Cabine Secondarie. La comunicazione tra le Cabine Primarie e le Cabine Secondarie in genere avviene per le CS di dimensioni rilevanti tramite collegamento in fibra ottica con topologia ad anello o ad albero come nel caso delle Gigabit Passive Optical Networks (GPON). Nella struttura GPON vengono istallati nelle CP i sistemi Optical Line Termination (OLT) dai quali partono i rami GPON in grado di connettere, ciascuno, fino a 64 CS con topologia ad albero con opportune gerarchie di splitter ottici 1:4 e 1:16 tra loro interconnessi.

Tutti gli apparati della SGTN sono di tipo “Carrier Class”, cioè dotati di caratteristiche di performance, feature, scalabilità e robustezza tipiche delle architetture delle reti di telecomunicazione degli Operatori.

Reti e tecnologie per la digitalizzazione delle infrastrutture critiche: Intelligent Transportation System

Le infrastrutture incluse negli Intelligent Transportation Systems (ITS) coprono una vasta gamma di elementi del sistema di trasporto, non limitandosi solo alle strade o ferrovie, ma includendo diverse modalità di trasporto e infrastrutture correlate.

Le strade e autostrade, con i semafori intelligenti, sensori di traffico, pannelli a messaggio variabile (PMV), sistemi di rilevamento automatico degli incidenti, e controllo adattivo del traffico. Sistemi che consentono ai veicoli di comunicare con le infrastrutture stradali, come stazioni di pedaggio elettronico e sistemi di gestione dei parcheggi, V2I (Vehicle-to-Infrastructure).

Le ferrovie, con le tecnologie per la gestione centralizzata del traffico ferroviario, come l’European Train Control System (ETCS), che migliorano la sicurezza e l’efficienza. Sensori e sistemi per il monitoraggio delle condizioni delle rotaie, per prevenire guasti e ottimizzare la manutenzione. Sistemi che facilitano l’integrazione con altre modalità di trasporto, come autobus e metropolitane, per un viaggio più fluido.

Il trasporto pubblico, con le tecnologie per il monitoraggio in tempo reale di autobus, tram, e metropolitane, che migliorano la puntualità e l’efficienza. Infrastrutture per pagamenti contactless e biglietti elettronici, che semplificano l’accesso ai mezzi pubblici. Display e app mobili che forniscono informazioni aggiornate su orari e tempi di attesa.

I porti e la logistica, con le tecnologie per la gestione dei movimenti di navi e carichi nei porti, migliorando la logistica e riducendo i tempi di attesa, con i collegamenti efficienti tra i porti e le reti stradali e ferroviarie, attraverso il monitoraggio e la gestione coordinata.

Gli aeroporti con i ben noti sistemi per il coordinamento e controllo del traffico aereo e la gestione delle piste, che migliorano la sicurezza e riducono i ritardi. Collegamenti ottimizzati con i sistemi di trasporto terrestre, come treni e autobus, per agevolare i trasferimenti.

Le Infrastrutture per la Mobilità Sostenibile con i sistemi per la gestione e la sicurezza delle piste ciclabili e pedonali, inclusi sensori di traffico e illuminazione intelligente. Reti di stazioni di ricarica intelligenti che comunicano con i veicoli elettrici per ottimizzare l’uso dell’energia e migliorare l’efficienza.

Le infrastrutture stradali e autostradali, che come è noto, nel nostro Paese trasportano la maggior parte delle merci. I dati recenti stimano il trasporto su strada per circa il 60-65% del traffico merci totale, ciò avviene grazie alla capillare rete autostradale e alla flessibilità del trasporto su gomma, che permette di raggiungere facilmente le aree urbane, industriali e commerciali. Il trasporto marittimo è particolarmente rilevante per l’Italia, data la sua posizione geografica e l’esteso sviluppo costiero. La percentuale di traffico vale 30-35% del traffico merci totale. I porti italiani, come quelli di Genova, Trieste e Livorno, sono cruciali per il commercio internazionale e per lo scambio di merci con altri paesi del Mediterraneo e oltre. Il trasporto ferroviario, sebbene meno utilizzato rispetto agli altri due, è significativo per le merci che richiedono spostamenti su lunghe distanze o per le merci voluminose e pesanti. Tuttavia, il trasporto ferroviario in Italia è meno sviluppato rispetto ad altri paesi europei, anche a causa della frammentazione e della minore interoperabilità della rete ferroviaria rispetto alla rete stradale. La quota di traffico è il 5-10% del traffico merci totale.

Le smart road

Data la citata importanza di strade e autostrade nella nostra economia, l’interesse per le applicazioni delle tecnologie ITS in tale contesto sono crescenti. Esse prendono anche il nome di smart roads. Tra i principali aspetti di questa area tecnologica, come sintetizzato nella figura 3, si considerano:

  • La guida assistita (in attesa che si consolidi l’evoluzione verso quella autonoma) che è una tecnologia in fase di sviluppo e la sua applicazione richiede anche la realizzazione di una infrastruttura stradale adeguata (appunto la Smart Road), che possa abilitare parte delle funzionalità previste dagli standard in cui sono definiti Servizi e Use Cases di interesse;
  • Le tecnologie che permettono ai veicoli e ai vari oggetti su strada di interagire con la rete recentemente sfrutta l’infrastruttura cellulare radiomobile (C-V2X1), basata sulle generazioni mobili evolute (5G/5G Advanced);
  • L’ecosistema permette di attivare un ampio set di servizi e Use Cases:
    • Day-1 services: si incentrano sullo scambio di informazioni che possano migliorare in maniera previdente lo stile di guida (Awareness Driving).
    • Day-2 services: migliorano, in generale, la qualità di guida grazie alla condivisione di informazioni per migliorano la consapevolezza ed il percepito sulle condizioni di traffico e di pericolo, più in generale (Sensing Driving).
    • Day-3+: includono anche altri nuovi servizi sofisticati che condividano le intenzioni, permettano la negoziazione e la cooperazione che sono alla base della gestione del mezzo per evitare incidenti ed abilitare la guida automatizzata (Cooperative Driving).
Immagine che contiene testo, schermata, Carattere, documentoDescrizione generata automaticamente

L’Italia ha pubblicato nel 2018 il decreto legislativo n.70 sulla Gazzetta Ufficiale (aggiornato ed ampliato negli anni successivi) per regolamentare la sperimentazione su strada di veicoli connessi e guida autonoma. Lo stesso decreto fornisce anche una serie di indicazioni su come realizzare le strade intelligenti. Le Smart Road, in particolare, hanno l’obiettivo di sviluppare una infrastruttura stradale in grado di garantire elevati livelli di sicurezza nei percorsi ai veicoli e ai VRU (vulnerable road users), ovvero ai soggetti vulnerabili (pedoni, cicli, motocicli), conferendo al guidatore una esperienza di guida aumentata con:

  • Indicazione di percorsi alternativi in base alle condizioni meteorologiche, di deviazione su città di interesse artistico, etc. rispetto alla direttrice principale e preferenziale;
  • Segnalazione di Aree di Servizio in base alle esigenze di rifornimento carburante/ricarica elettrica al miglior prezzo;
  • Tempestività d’intervento in caso di emergenza con proposta di deviazione a seguito di rallentamenti, incidenti stradali, etc.

L’insieme delle modalità di interazione che possono interessare gli oggetti (veicoli, pedoni, cicli, motocicli, etc.) che popolano le strade va sotto il nome generale di Vehicle-to-Everything (V2X). Poi il V2X viene declinato in maniera specifica in base alla singola combinazione di soggetti interessati: V2V (Vehicle-to Vehicle), V2P (Vehicle-to-Pedestrian), V2N (Vehicle-to-Network), etc.

Inizialmente la tecnologia abilitante il V2X era basata solo su connettività wireless Wi-Fi, instaurando un dialogo diretto (peer-to-peer) tra gli oggetti presenti in strada (in particolare vehicle-to-vehicle). Tale tecnologia, specificata da IEEE 802.11p/bd, va sotto il nome di DSRC (Dedicated Short-Range Communication) e consente la comunicazione a corto raggio (distanze mediamente dell’ordine di 300 metri) tra i dispositivi che necessitano di interconnettersi. Questa soluzione, molto presto, si è rilevata insoddisfacente per la necessità di costruire da zero coperture wifi e per la complessità di gestire le interazioni, incluso l’handover, con velocità sostenute. La tecnologia più adeguata alla connettività delle Smart Road è quella delle telecomunicazioni mobili, in particolare il 5G. Il 3GPP (Third Generation Partnership Project), a partire dalla Rel.14, oggi siamo alla Rel.18, ha definito una tecnologia per il dialogo tra oggetti presenti in strada che sfrutta la connettività wireless radiomobile. Questa tecnologia è identificata con il nome C-V2X (Cellular V2X) e abilita non solo una connettività diretta tra gli oggetti (Direct C-V2X), come per il DSRC, ma anche una comunicazione indiretta (Indirect C-V2X) grazie alla infrastruttura radiomobile che consente di integrare servizi per la raccolta di dati dai vari veicoli coinvolti e poter elaborare modelli più evoluti per la previsione e lo smistamento del traffico.

L’eMobility

L’e-mobility, o mobilità elettrica, è un nuovo approccio alla mobilità e abilita all’adozione di veicoli elettrici (EV, Electric Vehicles) in alternativa ai veicoli tradizionali che sfruttano carburanti per alimentare motori a combustione interna. L’e-mobility si sviluppa con l’obiettivo di ridurre l’inquinamento atmosferico, le emissioni di gas serra e la dipendenza dai combustibili fossili. La mobilità elettrica implica l’utilizzo di veicoli alimentati da sistemi a propulsione elettrica, come batterie ricaricabili o celle a combustibile. Questi veicoli utilizzano energia elettrica per alimentare il motore elettrico anziché il carburante tradizionale come benzina o gasolio. L’esplosione dell’e-mobility, tuttavia, risulta contenuta a causa della scarsa efficienza nelle operazioni di ricarica che obbligano a soste lunghe con autonomie ancora limitate.

L’adozione di tecnologie avanzate come la connettività wireless, l’automazione e l’elettrificazione dei veicoli espone questi ultimi a nuove vulnerabilità e opportunità di attacco da parte degli hacker. UNECE (United Nations Economic Commission for Europe), dal 2021 ha adottato il regolamento internazionale per la sicurezza informatica dei veicoli connessi (WP.29 R155). Il regolamento fissa i requisiti per la sicurezza informatica dei veicoli connessi, basata sulla progettazione sicura del mezzo, tenendo conto della gestione dei rischi e della sicurezza dei dati. Da luglio 2022 è obbligatorio l’adozione del regolamento per tutti i nuovi tipi di veicoli affinché possano essere omologati

Nel 2022, si è registrato un aumento significativo del numero di attacchi API automobilistici, con un incremento del 400% rispetto all’anno precedente, rappresentando circa il 15% degli incidenti totali.

Minacce alla sicurezza delle reti: lo scenario italiano

Secondo la “Relazione Annuale al Parlamento 2023” redatta dall’Agenzia per la Cybersicurezza Nazionale (ACN), in Italia vi è stato un significativo incremento delle segnalazioni rivolte all’Agenzia. Si è inoltre registrato un aumento del 29% degli eventi cyber e del 140% degli incidenti rilevati. Nel corso del 2023, il CSIRT Italia ha identificato 3302 soggetti italiani bersaglio di eventi cyber, rispetto ai 1150 dell’anno precedente (+ 300%).

Anche l’analisi effettuata nel “Rapporto CLUSIT 2024 sulla sicurezza ICT in Italia”, concentrandosi sugli attacchi effettivamente completati e non solo su quelli tentati, ha evidenziato un aumento significativo degli attacchi nel nostro Paese. L’Italia ha ricevuto l’11% degli attacchi globali rilevati con un notevole aumento rispetto al 3,4% del 2021 e al 7,6% del 2022. Il numero di incidenti rilevati è aumentato del + 65%; un dato allarmante se confrontato con il dato globale (+12%). Per quanto riguarda la tipologia di attaccanti, nel nostro Paese la maggioranza è attribuibile alla categoria Cybercrime, rappresentando il 64% del totale (+13% rispetto al 2022). L’Hacktivism[3] rappresenta il 36% degli attacchi (nel 2022 era del 7%). Circa il 47% degli attacchi di Hacktivism a livello mondiale ha preso di mira organizzazioni italiane. Espionage/Sabotage e Information Warfare hanno invece una rilevanza trascurabile. Il settore maggiormente colpito è il Government, con il 19% del totale degli attacchi e un aumento del 50% rispetto all’anno precedente. Segue il Manufacturing con il 13%, rappresentando un quarto di tutti gli attacchi globali rivolti a questo settore. In quasi tutti gli altri settori vi è stata una crescita del numero di attacchi rispetto all’anno precedente: in particolare nel Transportation e Financial/Insurance (rispettivamente +620% e +286%).

Analizzando le tecniche di attacco, la più utilizzata è rappresentata dai DDoS (Denial of Service)[4], che sono passati dal 4% nel 2022 al 36% nel 2023. Ciò è principalmente dovuto alla crescente frequenza degli attacchi legati all’Hacktivism, in cui l’attacco DDoS è spesso utilizzato per interrompere i servizi dell’organizzazione o dell’istituzione presa di mira. Anche secondo la Relazione dell’ACN, il cyber-attivismo ha contribuito significativamente all’aumento degli attacchi DDoS, con un incremento di oltre sei volte rispetto al 2022, posizionando l’Italia al sesto posto tra i Paesi più colpiti da tali attacchi a livello mondiale e al terzo tra i Paesi dell’Unione Europea. Subito dopo si posizionano gli attacchi basati su Malware, passati dal 53% nel 2022 al 33% nel 2023, nonostante un lieve aumento nel numero totale di incidenti. Il Phishing registra un modesto aumento, dal 8% al 9%, mentre le Vulnerabilities e i Web Attack rappresentano rispettivamente il 2% e l’1,6%. La categoria Unknown, che include attacchi con tecniche non di pubblico dominio, mostra una riduzione, dal 17% rispetto al 27% del 2022, causata in parte dalle normative che richiedono la segnalazione di determinati tipi di incidenti.

La situazione di significativa crescita a livello nazionale di attacchi e incidenti, si riflette sulle reti per le infrastrutture critiche rendendo ancora più stringente la protezione di tali infrastrutture. Nei tempi recenti si ricordano molti esempi di tali attacchi e di seguito si riporta una lista, necessariamente limitata, di alcuni di essi.

Stuxnet (anno 2010) è stato un worm informatico che ha infettato le centrali nucleari in Iran, specificamente il programma di arricchimento dell’uranio. Ha causato il malfunzionamento delle centrifughe utilizzate per arricchire l’uranio. È considerato il primo esempio noto di un’arma informatica creata per danneggiare infrastrutture fisiche.

La rete elettrica ucraina (anni 2015 e 2016), è stata attaccata da alcune organizzazioni di hacker con uso di malware, causando blackout significativi. Il primo attacco nel 2015 ha lasciato senza elettricità circa 230.000 persone per diverse ore. Un secondo attacco simile è avvenuto nel 2016. Questi attacchi hanno dimostrato alcune vulnerabilità delle reti elettriche e l’abilità degli hacker di causare danni fisici attraverso mezzi digitali.

NotPetya (anno 2017) è stato un attacco ransomware che ha colpito diverse aziende e infrastrutture critiche globalmente. Ha causato danni stimati in miliardi di dollari, colpendo aziende come Maersk, Merck e FedEx, e ha interrotto operazioni in vari settori. Considerato uno dei più devastanti attacchi ransomware della storia, ha messo in luce l’impatto economico e operativo di tali attacchi su scala globale.

Un approccio olistico alla sicurezza delle infrastrutture critiche

La sicurezza delle reti nelle infrastrutture critiche richiede un approccio olistico e multilivello, che coinvolge tecnologie avanzate, procedure rigorose e una gestione efficace delle risorse umane. In questi contesti l’approccio di progettazione “security by design” è un obbligo, come è un obbligo quello di seguire le più importanti normative e procedure di sicurezza.

Il primo è più importante adempimento è quello di progettare in modo estensivo e sistematico tali reti con architetture ad alta affidabilità. Tutti i nodi principali debbono essere in configurazione che prevede la Business Continuity il che assicura la continuità delle operazioni aziendali durante e dopo eventi critici. I piani di Business Continuity includono l’analisi di impatto sul business (BIA) e l’identificazione delle risorse critiche. Assieme alla Business Continuity deve essere progettato il Disaster Recovery (DR) ossia messe in atto le strategie e gli strumenti per il ripristino rapido dei sistemi IT e delle reti dopo un disastro. Deve includere backup off-site, replica dei dati in tempo reale e data center ridondanti.

Tutti i collegamenti e gli apparati devono essere ridondati: ciò include, ad esempio, collegamenti di rete su portante in fibra ottica e radio, server, storage e dispositivi di rete, in modo che se un componente fallisce, un altro possa prendere il suo posto senza interruzioni. Uno degli elementi principali, in particolar modo per i Data Center, è la ridondanza geografica ossia la distribuzione di infrastrutture critiche in più luoghi geografici per mitigare il rischio di disastri regionali.

Un elemento molto importante è il software e i parametri di configurazione e di temporizzazione implementati nelle routine di alta affidabilità. È purtroppo esperienza non rara quella di architetture di rete tra due data center in business continuity progettate e sviluppate con tutte le necessarie ridondanze le quali, in occasione di interruzioni di collegamento geografico e delle intermittenze che lo accompagnano, non riescono ad applicare correttamente la gestione della propria ridondanza. Ciò avviene per le temporizzazioni previste in sede di configurazione iniziale, le quali possono indurre in errore la rilevazione delle cadute di collegamento e dunque non consentire la corretta applicazione degli switch over. La progettazione della corretta temporizzazione è un processo che dipende dal contesto dei collegamenti geografici e deve non solo essere progettata con attenzione ma anche esaustivamente provata in campo. Infine, è utile una riflessione sull’approccio multitecnologia (o multivendor) che da un lato richiede la rinuncia a utilizzare i meccanismi di cooperazione e integrazione implicita insiti in un approccio tecnologico uniforme, ma dall’altro aggiunge un vantaggio non banale, ossia quello di evitare l’esistenza e propagazione di bug software in tutti i livelli di infrastruttura. Analoga riflessione deve essere fatta a livello dei carrier per i collegamenti geografici e dei cloud provider nel caso di utilizzo di alcune applicazioni nei cloud pubblici.

La sicurezza perimetrale e interna

In un’architettura resiliente la Sicurezza Perimetrale e Interna assumono un ruolo cruciale, queste argomentazioni e accortezze sono ormai di uso esteso e sistematico ma il loro costante aggiornamento e test è essenziale. Si tratta dei Firewall di ultima generazione (NGFW: Next Generation Firewall) i quali integrano funzionalità avanzate come il deep packet inspection, il controllo delle applicazioni, e l’integrazione con i sistemi di prevenzione delle intrusioni (IPS). I sistemi e le funzioni di Rilevazione e Prevenzione delle Intrusioni (IDS/IPS) eseguono di fatto il monitoraggio continuo delle reti per identificare e bloccare attività sospette prima che possano compromettere l’integrità dei sistemi. La sicurezza perimetrale è condizione oggi necessaria ma non sufficiente e deve essere accompagnata da un’opportuna segmentazione della rete con una divisione della stessa in segmenti protetti per limitare il movimento laterale di eventuali intrusi e contenere i danni. Inoltre, è mandatoria oggi una forte sicurezza di Accesso e Autenticazione con l’implementazione di soluzioni di autenticazione multifattore (MFA) e gestione centralizzata degli accessi (IAM) per proteggere i punti di accesso alla rete. Nelle reti delle infrastrutture critiche questi elementi devono essere estesi ai PLC e ai sistemi SCADA nei contesti industriali e a tutti gli end point di rilievo, come meglio approfondito in seguito.

La crittografia end-to-end

Il più grande patrimonio che le infrastrutture critiche detengono sono i propri dati, da quelli prodotti dagli smart meter, ai dati prodotti e trasmessi dalle grandi macchine di diagnostica medica, ai comandi e controlli delle catene produttive, ai dati del posizionamento degli autoveicoli nelle grandi arterie di viabilità con guida assistita attiva, alle transazioni economiche finanziarie che oggi costituiscono la stragrande maggioranza del volume di scambi nella moderna finanza.

I protocolli TLS (Transport Layer Security) e SSL (Secure Sockets Layer)

Tutti questi dati devono essere protetti con crittografia end-to-end sia durante il transito che a riposo, utilizzando protocolli sicuri come TLS/SSL per le comunicazioni e crittografia AES-256 per la memorizzazione dei dati. TLS (Transport Layer Security) e SSL (Secure Sockets Layer) sono protocolli crittografici progettati per garantire la sicurezza delle comunicazioni su reti come Internet. Questi protocolli vengono utilizzati per proteggere la trasmissione di dati tra due sistemi, come un client (ad esempio, un browser web) e un server, impedendo che i dati vengano intercettati o alterati da terze parti. Essi assumono una notevole importanza nelle comunicazioni tra oggetti intelligenti e loro controllori nei contesti di Industrial IOT. Il SSL (Secure Sockets Layer) è stato il primo protocollo crittografico sviluppato per proteggere le comunicazioni su Internet. È stato introdotto da Netscape nel 1995. Le principali versioni di SSL sono SSL 2.0 e SSL 3.0. Tuttavia, entrambe sono state deprecate a causa di vulnerabilità di sicurezza. Oggi SSL è considerato non del tutto sicuro ed è stato sostituito da TLS. Il TLS (Transport Layer Security) è di fatto il successore di SSL e viene utilizzato per la stessa funzione, ovvero garantire comunicazioni sicure. È stato sviluppato come una versione migliorata e più sicura di SSL. La principale versione è oggi la TLS 1.3 pubblicata nel 2018, che è la versione più recente e sicura del protocollo, con miglioramenti significativi in termini di sicurezza e velocità. Il protocollo TLS/SSL utilizza la crittografia simmetrica per proteggere i dati trasmessi. Durante l’handshake (scambio iniziale di messaggi), viene negoziata una chiave di sessione condivisa, che è poi utilizzata per cifrare e decifrare i dati. Il server viene autenticato mediante un certificato digitale, emesso da un’autorità di certificazione (CA). Questo certificato garantisce che il server è quello che dichiara di essere. TLS/SSL garantisce che i dati non vengano alterati durante il trasferimento tramite l’uso di codici di autenticazione dei messaggi (MAC). Molto importante è la gestione delle Chiavi di Crittografia che può basarsi su utilizzo di Hardware Security Modules (HSM) per proteggere le chiavi crittografiche e garantire che siano gestite in modo sicuro. Le architetture resilienti debbono includere i sistemi di Data Loss Prevention (DLP) per monitorare, rilevare e prevenire la perdita di dati sensibili, sia all’interno della rete che durante il trasferimento verso l’esterno.

I sistemi di monitoraggio, controllo e gestione delle reti

Al pari delle architetture e delle funzionalità delle reti, anche per i sistemi di monitoraggio, controllo e gestione delle stesse valgono le stesse raccomandazioni di approccio e visione olistici su tutti gli eventi rilevanti ivi inclusi quelli di sicurezza. Oggi sono premianti approcci sempre più integrati nella gestione delle reti, dei data center, con particolare riguardo alle situazioni che includono computing distribuito (in logica Edge) e della sicurezza sia di infrastruttura (perimetrale) e sia di end point. Spesso le strutture NOC e SOC sono distinte oggi anche per le competenze distintive che le caratterizzano, tuttavia, sta emergendo un approccio basato su un primo livello di gestione molto integrato, ove sono sviluppate le attività di monitoraggio, rilevazione degli eventi critici e reazione alle sollecitazioni dei clienti e ulteriori livelli più specialistici.

Questo primo livello ha importanza crescente e trae vantaggio da sofisticati Network Management Systems (NMS) per la rilevazione degli eventi di allarme e il loro filtraggio e correlazione, da Security Information and Event Management (SIEM) ossia piattaforme che aggregano, analizzano e correlano eventi di sicurezza in tempo reale per identificare minacce e incidenti e da Network Traffic Analysis (NTA) per il monitoraggio del traffico di rete per identificare comportamenti anomali che potrebbero indicare attività critiche o malevole. In cooperazione con tali sistemi vengono utilizzati i sistemi di ITSM (IT Service Management con le ben note funzionalità di Trouble Ticketing e molte altre) e oggi sistemi evoluti di analisi degli eventi con algoritmi di big data, machine learning e intelligenza artificiale.

Lo scenario è sempre più spesso quello indicato in figura con osservability (monitoraggio), analisi e controllo sviluppati con approccio a ciclo chiuso come indicato nella figura 4.

Immagine che contiene testo, diagramma, schermata, lineaDescrizione generata automaticamente

Le funzioni e i nuclei specialistici di secondo livello si occupano della difesa contro le minacce avanzate come la protezione anti malware e ransomware che trae vantaggio da soluzioni avanzate per rilevare e bloccare sia malware che ransomware, utilizzando tecniche di machine learning e sandboxing. In questo contesto è cruciale adottare approcci e architetture cosiddette Zero Trust le quali implementano un modello di sicurezza che presuppone che nessuna entità interna o esterna possa essere considerata affidabile a priori, richiedendo verifica continua e stretta per ogni accesso. Inoltre sono largamente adottati e importanti i security orchestration, automation, and response (SOAR) che offrono la possibilità di automazione dei processi di risposta agli incidenti e orchestrazione delle azioni di difesa attraverso un’unica piattaforma.

Accanto alle tecnologie per la migliore rilevazione e gestione degli eventi di disservizio e dei security alert è altrettanto importante, nei contesti che stiamo esaminando, una rigorosa formazione del personale e una scrupolosa pianificazione e gestione delle procedure nel rispetto delle normative nazionali e internazionali come il GDPR, le direttive NIS, le ISO 27001 e altre leggi pertinenti inclusa la conduzione di audit di sicurezza periodici per valutare la conformità e l’efficacia delle misure di sicurezza implementate, e identificare aree di miglioramento.

Sono necessari un forte coinvolgimento dei dipendenti nella rigorosa gestione degli accessi e programmi di formazione regolari per sensibilizzarli sui rischi di sicurezza, sulle nuove minacce e sulle best practice da seguire. È fondamentale l’esecuzione regolare di test di penetrazione e simulazioni di attacchi più volte in un anno per valutare la robustezza delle difese e migliorare continuamente le strategie di sicurezza. Processi di scansione regolare delle vulnerabilità e patch management per mantenere aggiornati tutti i sistemi e ridurre le superfici di attacco. Sempre dal punto di vista procedurale sono importanti piani dettagliati per la gestione degli incidenti di sicurezza, con ruoli e responsabilità definiti e processi per il contenimento, l’analisi, la mitigazione e la comunicazione. La

Cyber Threat Intelligence (CTI), ossia l’integrazione di informazioni sulle minacce per migliorare la capacità di identificare e rispondere proattivamente agli attacchi emergenti.

Oltre a quanto indicato riguardo alla resilienza della struttura tecnologica, delle architetture di rete e dei sistemi di difesa dagli attacchi di sicurezza logica hanno notevole importanza le implementazioni dei sistemi avanzati di controllo degli accessi fisici, inclusi badge elettronici, biometria, e monitoraggio video, per proteggere i data center, i POP e le aree sensibili. Non devono essere trascurate tutte le tecnologie per massimizzare la Sicurezza Ambientale come sensori per il rilevamento di incendi, allagamenti, e altri rischi ambientali che potrebbero compromettere l’integrità delle infrastrutture critiche.

Investimenti e strategie di sicurezza delle reti

Nel 2023, gli investimenti per la Cybersecurity in Italia hanno raggiunto circa 1,8 miliardi di euro, mostrando un incremento del 12,4% rispetto al 2022. Il numero in costante aumento, la pericolosità degli attacchi informatici e la necessità di aziende ed enti di rafforzare la sicurezza e la resilienza informatica confermeranno la tendenza positiva della spesa anche nel 2024, quando raggiungerà i 2,0 miliardi di euro (+12,6% rispetto al 2023).

Le Banche rappresentano il settore principale in termini di spesa, esse per altro fanno parte delle infrastrutture critiche delle quali stiamo parlando. Si tratta di un settore caratterizzato da un livello di maturità tra i più elevati, specialmente per quanto riguarda la governance. Nel 2023, la spesa per Cybersecurity nel settore bancario è stata di 388 milioni di euro (+11,8% rispetto al 2022). Per il 2024, si prevede un ulteriore incremento ancora del 12 %, portando la spesa complessiva a 435 milioni di euro.

L’Industria è il secondo settore per volume di spesa, sebbene la spesa media sia di gran lunga inferiore nonostante l’elevata numerosità di aziende che compongono il comparto. Il valore raggiunto è di 372,7 milioni di euro nel 2023, segnando un aumento del 12,1% sull’anno precedente. Le prospettive per il 2024 continuano ad essere positive (+12,3%).

Segue la Pubblica Amministrazione, che include grandi amministrazioni ed enti locali, registrando una spesa di 297,2 milioni di euro nel 2023 (+16,0%). La spesa in questo settore è sostenuta dagli investimenti correlati alla Strategia Nazionale di Cybersicurezza 2022-2026 e dai finanziamenti provenienti dai fondi PNRR, con l’obiettivo di colmare le attuali vulnerabilità. Nel 2024 è previsto un ulteriore aumento della spesa, che raggiungerà i 343 milioni di euro con un incremento del 15,4%.

Lo scorso anno, investimenti significativi si sono registrati anche nel settore delle Telecomunicazioni & Media, che hanno totalizzato 184,5 milioni di euro, con una previsione di crescita per il 2024 che li porterà a 204,9 milioni di euro. Nel settore Utilities, invece, la spesa è stata di 131 milioni di euro e raggiungerà i 147 milioni nel 2024. La spesa dei settori Travel & Transportation, Retail, Servizi e altro, Sanità ed Educazione è notevolmente inferiore, evidenziando una più bassa adozione delle tecnologie cyber in tali settori e indicando una maturità ancora limitata.

Tuttavia, il settore Sanità emerge per la percentuale di crescita più elevata tra tutti i settori, con un aumento del 17,1% nel 2023, a cui seguirà un’ulteriore crescita (+16,2%) nel 2024, dimostrando la volontà delle aziende sanitarie di colmare i propri gap in ambito cyber che nel corso degli ultimi anni hanno comportato diverse conseguenze sulla continuità di servizio di aziende sanitarie e ospedaliere.

Ci aspettiamo una decisa crescita di spesa nei settori delle Utilities, del Trasportation e la conferma della crescita nella Sanità. In effetti questi tre settori, cui fanno parte importanti infrastrutture critiche, stanno procedendo alla digitalizzazione, come visto nei casi delle Smart Grids e delle Smart Roads, e parallelamente crescerà decisamente la spesa in Cybersicurezza e in generale nelle architetture resilienti ad alta affidabilità. Nel caso delle reti elettriche questi anni, che sono favorevoli nelle tariffe praticate al mercato, debbono essere utilizzati per un forte salto di qualità nelle già descritte infrastrutture.

Analizzando la spesa per la Cybersicurezza per tipologia di prodotti / servizi nel 2023 sintetizzata nella figura 5, le maggiori risorse sono state destinate al Managed Security Services e Cloud, per un totale di 752,8 milioni di euro, con un aumento del 13,9% rispetto al 2022, leggermente inferiore rispetto al 16,9% registrato in quell’anno. Nel 2024 è prevista una crescita del 13,4%, arrivando a 853,4 milioni di euro (Fig. 4).

Nel segmento Altri Servizi, che comprende i servizi di system integration e le attività di formazione, la spesa ha raggiunto i 670,3 milioni di euro (+11,5% rispetto al 2022). Si prevede un aumento dell’11,9% nel 2024. Nel 2023, il segmento Security Software, comprendente le applicazioni che proteggono reti e dispositivi online da attacchi informatici come antivirus, firewall software, antispyware, antimalware e strumenti di gestione delle identità e degli accessi, ha raggiunto i 152,2 milioni di euro, registrando un aumento dell’11,1% rispetto al 2022. La prospettiva per il 2024 prevede una crescita ancora più significativa del 13,9%, portando la spesa a 173,3 milioni di euro, il che rende tale segmento il maggiore per aumento previsto.

La spesa in Security Hardware, che comprende soluzioni di protezione informatica sotto forma di dispositivi fisici come firewall e server proxy, è stata di 116 milioni di euro nel 2023, con un aumento del 10,7% rispetto all’anno precedente. Per il 2024, si prevede una crescita del 10,8%, raggiungendo un totale di 128,5 milioni di euro. Le attività di Consulenza, che includono attività come Risk Assessment, Penetration Test e la formulazione di Piani di Cyber Resilience, continuano ad essere il segmento con la spesa più contenuta (96,6 milioni di euro, +11,8% rispetto al 2022). Tuttavia, nel 2024 si prevede una crescita notevole del 11,8%, portando la spesa a 108 milioni di euro. In questo ambito, uno dei principali driver è rappresentato dalle normative che impongono l’adozione di misure di cyber resilienza per un numero sempre più esteso di settori.

Immagine che contiene testo, schermata, diagramma, CarattereDescrizione generata automaticamente

Una parte delle risorse destinate a questi segmenti del mercato della Cybersecurity è dedicata alle iniziative di Threat Intelligence e, di conseguenza, alle attività e agli strumenti Next Generation Security, come ad esempio l’implementazione di Next Generation SOC, che saranno sempre più supportate dall’introduzione dell’IA. Nel 2023, gli investimenti in attività di Toreate Intelligence hanno raggiunto i 162,5 milioni di euro, mentre per il 2024 si prevede un aumento del 13,8%, raggiungendo i 185 milioni di euro.

Sicurezza e supply chain

Negli ultimi anni, anche grazie all’attenzione posta dall’evoluzione delle normative internazionali, è cresciuta l’importanza della estensione delle procedure, degli standard e delle competenze di Cybersicurezza lungo tutta la catena del valore. La compromissione di un qualsiasi punto della Supply Chain può facilitare la diffusione dell’attacco fino all’obiettivo principale che è solitamente un’organizzazione di maggiori dimensioni. La sicurezza della Supply Chain sta diventando una priorità fondamentale per le aziende, poiché una violazione potrebbe causare danni operativi, inefficienze e perdita di proprietà intellettuale, oltre a generare costi inutili.

Il rapporto dell’ENISA “Good Practices for Supply Chain Cybersecurity”, pubblicato a giugno 2023, rivela che un elevato numero di aziende intervistate, tra il 39% e il 62%, ha subito incidenti informatici causati da terze parti e che il 66% degli attacchi alla Supply Chain analizzati ha evidenziato una mancanza di consapevolezza o trasparenza da parte dei fornitori riguardo alla compromissione. Il 40% dei CEO ha dichiarato di avere subito impatti negativi dovuti a problemi di sicurezza informatica legati ai fornitori esterni o alla Supply Chain, e oltre la metà di essere preoccupati per la bassa resilienza dei propri partner e fornitori.

A livello europeo, la principale normativa che sta impattando sulla supply chain è la direttiva NIS 2. Tale normativa mira a rafforzare la sicurezza delle reti e dei sistemi informatici, garantendo un adeguato livello di resilienza. Tra le disposizioni della direttiva vi è l’obbligo per tutte le aziende interessate di valutare e gestire i rischi legati alla propria supply chain. Tutte le piccole imprese che forniscono servizi ad aziende di dimensioni medie o grandi saranno valutate dal punto di vista della Cybersecurity e, nel caso non aderiscano alle comuni best practice, potrebbero rischiare di essere escluse da opportunità contrattuali rilevanti.

Le aziende stanno adottando diverse strategie per garantire una protezione ottimale della Supply Chain, recenti dati indicano che il 42% delle organizzazioni svolge attualmente attività di Risk Assessment nei confronti di terze parti traendo ispirazione metodologica dal framework ISO 27001 e dai programmi di supply cyber risk management. Il resto delle organizzazioni, invece, prevede di avviare processi di Risk Assessment entro l’anno in corso anche per la pressante esigenza di adeguamento alla NIS 2 che deve essere completamente recepita entro ottobre 2024.

Le organizzazioni, inoltre, stanno prendendo consapevolezza dell’importanza di condurre verifiche approfondite sui propri fornitori, come dimostra il calo della percentuale di organizzazioni che non eseguono alcuna analisi, passato dal 38,2% del 2022 all’11,4%.

Tra le procedure di controllo e verifica più frequentemente adottate, spiccano quelle effettuate nelle fasi iniziali della collaborazione, citate dal 58% delle organizzazioni, seguite dalle verifiche della conformità agli standard dichiarati (47,7%). In aggiunta, si nota un crescente interesse alla verifica della presenza di pia- ni specifici di Business Continuity e Incident Response presso i fornitori, menzionati rispettivamente dal 42% e dal 36,4% degli intervistati.

L’impiego della Blockchain per garantire la condivisione sicura e tracciabile di dati e transazioni all’interno della Supply Chain mostra scarso interesse da parte delle aziende: il 59,1% nel campione non utilizza la tecnologia Blockchain e non ha intenzione di farlo; il 21,6% ha programmato approfondimenti nel corso dell’anno e solo il 15,9% sta conducendo POC e sperimentazioni per valutarne l’efficacia.

Le normative e le regolamentazioni

La complessa situazione relativa alla sicurezza informatica di aziende ed enti ha incentivato i governi europei a rafforzare il quadro normativo. A livello europeo, le principali disposizioni normative comprendono: il Cybersecurity Act (CSA), il Cyber Resilience Act (CRA), la normativa NIS2, il DORA.

Il Cybersecurity Act (CSA), entrato in vigore il 27 giugno 2019, specifica e rafforza il ruolo dell’Agenzia dell’Unione Europea (ENISA) per la sicurezza delle reti e dell’informazione e ha lo scopo di creare un quadro europeo ben definito sulla certificazione della sicurez- za informatica di prodotti ICT e servizi digitali.

Il Cyber Resilience Act (CRA), approvato dal Parlamento Europeo nel marzo 2024, descrive i requisiti di sicurezza informatica per i prodotti hardware e software con elementi digitali immessi sul mercato dell’Unione Europea.

Il NIS 2 (Network and Information Security 2) ha sostituito il NIS 1 ed è entrato in vigore il 17 gennaio 2023 e necessita di essere recepito entro il 17 ottobre 2024. Tale normativa è particolarmente importante per il tema che stiamo trattando in quanto ha l’obiettivo di rafforzare le misure di sicurezza informatica soprattutto nei settori critici e nelle infrastrutture critiche. Introduce un ampio bacino di settori merceologici in perimetro, distinguendo tra “soggetti essenziali” e “soggetti importanti”. Essa mira a rafforzare ulteriormente la sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea, in risposta all’evoluzione delle minacce informatiche e alla crescente digitalizzazione delle infrastrutture critiche. Innanzitutto, NIS 2 contiene una significativa estensione del Campo di Applicazione, includendo un maggior numero di settori considerati essenziali e importanti per l’economia e la società, come il settore sanitario, le infrastrutture pubbliche, le telecomunicazioni, i servizi digitali, la gestione delle acque, e le pubbliche amministrazioni. Come già accennato è, nell’ambito che stiamo analizzando relativo alle infrastrutture critiche, la norma di riferimento alla occorre adeguarsi velocemente. Le entità sono ora suddivise in due categorie principali: 1) Entità Essenziali che sono quelle che forniscono servizi critici e sono di grande importanza per la società. 2) Entità Importanti che sono anch’esse di rilevanza, ma con un impatto potenzialmente minore rispetto alle entità essenziali.

Nella NIS 2 i requisiti di Sicurezza sono più stringenti e più rigorosi secondo i rischi specifici del settore di appartenenza, essi comprendono, tra le altre regole:

  • La gestione del rischio: identificazione, valutazione e mitigazione dei rischi informatici.
  • La sicurezza dei fornitori: le entità devono garantire che i loro fornitori e partner implementino misure di sicurezza adeguate.
  • La crittografia e protezione dei dati: misure avanzate di cifratura e protezione dei dati per prevenire accessi non autorizzati.
  • Gli obblighi di reporting e condivisione delle informazioni
  • La segnalazione degli incidenti: le entità devono segnalare gli incidenti di sicurezza significativi alle autorità competenti entro 24 ore dalla rilevazione. Questa segnalazione deve includere dettagli sufficienti per permettere una valutazione immediata dell’incidente.

Il NIS 2 promuove la condivisione delle informazioni tra le entità e le autorità competenti, nonché tra le entità stesse, per migliorare la capacità di risposta alle minacce informatiche. Gli Stati membri devono designare una o più autorità nazionali competenti per la supervisione e l’applicazione delle misure previste dalla NIS2. In Italia, come è noto, il ruolo chiave è svolto da ACN (Agenzia per la Cybersicurezza Nazionale). La direttiva prevede sanzioni severe per le entità che non rispettano i requisiti di sicurezza o che non segnalano tempestivamente gli incidenti. Le sanzioni possono includere multe significative proporzionali al fatturato dell’entità. NIS 2 rafforza la cooperazione tra gli Stati membri dell’UE attraverso il gruppo di cooperazione NIS, che facilita lo scambio di informazioni e la cooperazione strategica. L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) gioca un ruolo chiave nel supportare gli Stati membri nell’implementazione della direttiva e nel miglioramento continuo delle misure di sicurezza.

Il DORA (Digital Operational Resilience Act), entrato in vigore il 16 gennaio 2023 e vincolante a partire dal 17 gennaio 2025, mira a consolidare e armonizzare a livello europeo i principali requisiti di Cybersecurity con riferimento alla resilienza operativa digitale nel settore finanziario.

A livello italiano, in seguito all’istituzione dell’ACN, è stata definita la Strategia Nazionale di Cybersicurezza, progettata per programmare, organizzare e mettere in pratica interventi che mirano a incrementare la sicurezza e resilienza del Paese. La Strategia è volta a realizzare 82 azioni entro il 2026, attraverso il percorso delineato dall’Agenzia Nazionale per la Cybersicurezza, che avrà anche il compito di monitorare il raggiungimento di 3 obiettivi fondamentali, ovvero:

  • protezione degli asset strategici nazionali, appunto le reti e le strutture informatiche delle infrastrutture critiche, con un approccio basato sulla gestione e mitigazione del rischio, attraverso normative e controlli per favorire una transizione digitale resiliente;
  • risposta alle minacce e alle crisi cyber nazionali mediante sistemi di monitoraggio, rilevamento e analisi, coinvolgendo l’intero ecosistema di Cybersicurezza nazionale;
  • sviluppo sicuro delle tecnologie digitali per soddisfare le esigenze del mercato, sostenendo centri di eccellenza, attività di ricerca e imprese.

Per sostenere l’attuazione della Strategia Nazionale di Cybersicurezza è stato istituito uno specifico fondo che prevede 420 milioni di euro l’anno per rafforzare la difesa dei sistemi informativi delle amministrazioni pubbliche e garantire l’indipendenza tecnologica; a questo si aggiunge il fondo per la gestione che raggiungerà i 70 milioni di euro nel 2026.

L’ACN, inoltre, è l’ente attuatore dell’Investimento PNRR “Cybersecurity” della Missione 1 – Componente 1, con una dotazione di 623 milioni di euro, finalizzato principalmente a potenziare la resilienza cyber delle PA, sviluppare servizi cyber nazionali e sostenere la creazione di una rete nazionale di laboratori di scrutinio e certificazione tecnologica. Tra le attività̀ svolte in questo senso, oltre ai bandi indirizzati agli enti per il potenziamento delle difese cyber, l’ACN sta sviluppando un insieme organi- co di iniziative per la gestione del rischio cibernetico a livello nazionale, tra cui: CSIRT Italia, con la costituzione di una rete di CSIRT regionali, HyperSOC, ISAC Italia e un network di ISAC settoriali.

Tecnologie emergenti e innovazione

L’integrazione tra intelligenza artificiale e cybersecurity sta assumendo un’importanza sempre maggiore, diventando essenziale per contrastare l’aumento della complessità degli attacchi informatici. La richiesta di soluzioni IA avanzate aumenta al crescere del numero degli attacchi informatici; infatti, secondo le proiezioni pubblicate dalla società di ricerca Marketsand Markets nel rapporto “Mercato dell’Intelligenza Artificiale nella sicurezza informatica”, il mercato globale delle soluzioni IA utilizzate per la Cybersecurity passerà da un valore di 22,4 miliardi di dollari nel 2023 a 60,6 miliardi di dollari nel 2028.

In quest’ambito l’Intelligenza Artificiale è principalmente utilizzata per le attività di analisi predittiva, così da identificare potenziali minacce, attraverso il riconoscimento di anomalie nel traffico o negli accessi, in modo da anticipare e mitigare le minacce in maniera proattiva. In aggiunta, l’incremento delle attività di Threat Intelligence ha generato la necessità di migliorare l’utilizzo di strumenti avanzati e di IA per il rilevamento delle minacce, con l’obiettivo di automatizzare maggiormente le operazioni di intelligence. Dal punto di vista normativo, a livello europeo, il 13 marzo 2024, è stato approvato l’EU AI Act con la finalità di creare un quadro normativo armonizzato e proporziona- to per l’Intelligenza Artificiale nell’Unione Europea.

L’EU AI Act impone obblighi di Cybersecurity che si estendono all’intero sistema di Intelligenza Artificiale, non limitandosi ai suoi singoli componenti. Per essere conformi con la normativa sull’IA, è necessario valutare il rischio di Cybersecurity per garantire la sicurezza dei sistemi ad alto rischio, collegando gli standard del sistema ai vari elementi che lo compongono. Per sviluppare sistemi di IA solidi, è fondamentale l’integrazione delle procedure di Cybersecurity esistenti con azioni specifiche per l’IA, attraverso un approccio olistico basato su principi di sicurezza approfondita e di security by design, da applicare lungo l’intero ciclo di vita del prodotto.

Inoltre, considerando la diversa maturità delle tecnologie emergenti di IA, non tutte risultano idonee per scenari ad alto rischio a meno che non vengano miti- gate le loro vulnerabilità in termini di Cybersecurity. Per le nuove tecnologie, quindi, a causa delle limitazioni intrinseche, il conseguimento della conformità può esse- re raggiunto solo attraverso l’adozione dell’approccio olistico citato in precedenza. A livello nazionale, l’Agenzia per la Cybersicurezza Nazionale ha aderito alle “Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale”, promosse dal National Cyber Security Centre del Regno Unito. Il documento, reso pubblico il 27 novembre 2023, è stato sottoscritto da 23 Agenzie di 18 Paesi ed è il primo documento congiunto internazionale per un uso sicuro dell’Intelligenza Artificiale.

Le linee guida vanno considerate insieme con le buone prassi di Cybersecurity, gestione del rischio e risposta agli incidenti e si concentrano su quattro aree chiave:

  • progettazione: sensibilizzazione sulle minacce e sui rischi; analisi delle minacce, progettazione del sistema con attenzione alla sicurezza e alla funzionalità; scelta del modello IA;
  • sviluppo: sicurezza della catena di approvvigiona- mento; identificazione, tracciamento e analisi degli asset; tracciamenti dei dati, modelli e prompt; gestio- ne del debito tecnico;
  • utilizzo: sicurezza dell’infrastruttura; protezione del modello da accessi diretti e indiretti; adozione di procedure di gestione degli incidenti; rilascio dei sistemi di IA in maniera responsabile; aiuto agli utenti a fare la cosa giusta;
  • funzionamento e manutenzione: sicurezza dell’infrastruttura; monitoraggio degli input dati al sistema; aggiornamenti automatici di default in ogni prodotto; condivisione delle buone prassi e delle vulnerabilità.

La necessità della security by design

La protezione delle infrastrutture critiche è una questione di massima importanza, poiché queste costituiscono la spina dorsale di qualsiasi società moderna. L’interruzione dei servizi essenziali può causare gravi danni economici, sociali e persino mettere a rischio la sicurezza nazionale. La crescente digitalizzazione di settori come l’energia, i trasporti, la sanità e le telecomunicazioni ha portato a un aumento delle superfici di attacco e delle vulnerabilità, rendendo essenziale un approccio alla sicurezza delle reti che sia olistico e integrato.

Le infrastrutture critiche moderne, come le reti di Telecomunicazioni, le reti intelligenti elettriche, o smart grids, gli intelligent transportation systems, non possono prescindere dall’implementazione di soluzioni di alta affidabilità e sicurezza avanzate e complete che comprendano non solo tecnologie ma anche processi di gestione del rischio e formazione continua del personale.

L’approccio necessario è quello della Sicurezza by Design, che include:

  • Architetture ad alta affidabilità con strutture e processi di Business Continuity e Disaster Recovery su tutti i collegamenti e i POP principali,
  • Software sicuro, aggiornato e puntualmente testato nei vari casi di criticità,
  • Sicurezza perimetrale,
  • Sicurezza dei dati in transito e nelle memorie,
  • Monitoraggio integrato degli eventi critici di rete, di traffico e di sicurezza,
  • Contrasto alla diffusione di malware e ransomware,
  • Applicazione delle normative internazionali come la NIS2, la 27001, e altre rilevanti,
  • Formazione continua del personale sugli aspetti rilevanti di cybersecurity,
  • Cooperazione con le Autorità competenti.

Il contesto normativo, rappresentato dalla direttiva NIS2 e da altre normative europee e nazionali, impone requisiti sempre più stringenti in termini di sicurezza, crittografia, gestione degli accessi e segnalazione degli incidenti. Le aziende e le organizzazioni coinvolte devono adeguarsi rapidamente per evitare sanzioni, ma soprattutto per garantire la continuità operativa e la protezione dei dati sensibili. In particolare, la NIS2 richiede un rafforzamento della cooperazione tra entità e autorità competenti, oltre all’adozione di misure avanzate per la gestione del rischio e la sicurezza dei fornitori.

L’analisi dei trend di attacco evidenzia un significativo aumento delle minacce cibernetiche in Italia, con una crescita preoccupante degli attacchi DDoS e del Cybercrime, che colpiscono particolarmente le infrastrutture governative e industriali. Questo scenario richiede un aumento degli investimenti in Cybersecurity, come dimostrato dai recenti incrementi di spesa nel settore bancario, industriale e della pubblica amministrazione. Gli investimenti non devono limitarsi a soluzioni tecniche, ma devono anche sostenere la formazione, l’audit di sicurezza e la gestione della supply chain.

Infine, l’evoluzione delle tecnologie emergenti come l’intelligenza artificiale pone nuove sfide e opportunità. Sebbene queste tecnologie promettano di migliorare l’efficienza e la sostenibilità delle infrastrutture critiche, esse introducono anche nuove vulnerabilità che devono essere affrontate con strategie di sicurezza innovative. La convergenza tra AI e Cybersecurity diventerà cruciale per anticipare e mitigare le minacce, e l’adozione di un approccio Zero Trust sarà fondamentale per garantire che nessuna entità possa compromettere la sicurezza delle infrastrutture.

La protezione delle reti delle infrastrutture critiche richiede una combinazione di tecnologia avanzata, normative rigorose e una cultura della sicurezza profondamente radicata in tutte le parti coinvolte. Solo attraverso un impegno continuo e coordinato è possibile garantire la resilienza e la sicurezza di queste infrastrutture essenziali per il benessere e la sicurezza della società.

Un attacco DDoS (Distributed Denial of Service) è una tipologia di attacco informatico mirato a rendere un servizio, una rete o un sito web indisponibile per gli utenti legittimi. Questo viene fatto sovraccaricando il sistema bersaglio con un’enorme quantità di traffico, che ne esaurisce le risorse come la larghezza di banda, la capacità di elaborazione o la memoria. L’attacco viene eseguito utilizzando una rete distribuita di computer compromessi, noti come botnet. Questi dispositivi infetti, che possono essere computer, server, smartphone o altri dispositivi connessi a Internet, sono controllati dall’attaccante. I dispositivi della botnet inviano simultaneamente una grande quantità di richieste o dati al server bersaglio, con l’intento di sovraccaricarlo. A causa del traffico eccessivo, il server o la rete non è più in grado di gestire le richieste legittime, risultando in un rallentamento significativo o in un’interruzione completa del servizio.

La definizione di “infrastrutture critiche” in Italia è contenuta nel Decreto Legislativo 11 aprile 2011, n. 61, che recepisce la Direttiva 2008/114/CE del Consiglio europeo. Questa direttiva riguarda l’identificazione e la designazione delle infrastrutture critiche europee (ICE) e la valutazione della necessità di migliorare la loro protezione. Principali riferimenti legislativi: 1) Direttiva 2008/114/CE: Stabilisce un approccio comune a livello europeo per identificare e proteggere le infrastrutture critiche nei settori dell’energia e dei trasporti, con possibilità di estensione ad altri settori. 2) Decreto Legislativo n. 61/2011: Definisce in Italia le infrastrutture critiche come “quei beni, sistemi o parti di essi, situati nel territorio nazionale, che sono essenziali per il mantenimento delle funzioni vitali della società, della salute, della sicurezza, della protezione e del benessere economico e sociale dei cittadini”. La legge prevede anche misure per la protezione di tali infrastrutture e stabilisce procedure per la designazione delle infrastrutture critiche europee e nazionali. Inoltre, il Decreto Legislativo 18 maggio 2018, n. 65, che recepisce la Direttiva NIS (Network and Information Security), introduce ulteriori misure di sicurezza per le infrastrutture critiche, soprattutto in relazione alla sicurezza delle reti e dei sistemi informativi.

Il digital twin

Il Digital Twin o “gemello digitale” è una rappresentazione digitale accurata di un oggetto fisico, sistema o processo che esiste nel mondo reale. Questa replica virtuale è continuamente aggiornata con dati in tempo reale provenienti dal suo corrispondente fisico e può essere utilizzata per simulare, analizzare, monitorare e ottimizzare le operazioni di quel sistema o oggetto nel suo ciclo di vita. In altre parole “Un Digital Twin è una replica virtuale di un’entità fisica, che utilizza dati in tempo reale, algoritmi e modelli di simulazione per riprodurre il comportamento, lo stato e le prestazioni del suo corrispondente reale. Questo consente di monitorare, analizzare e ottimizzare le operazioni, supportare la manutenzione predittiva e facilitare la progettazione e lo sviluppo di nuovi sistemi.” Gli elementi chiave di un Digital Twin sono:

  • Connessione dati: il gemello digitale è collegato all’entità fisica attraverso sensori e sistemi di raccolta dati che forniscono informazioni in tempo reale.
  • Modelli di simulazione: utilizza modelli matematici, fisici e basati sui dati per simulare il comportamento e le condizioni dell’entità reale
  • Visualizzazione e analisi: fornisce strumenti per la visualizzazione, il monitoraggio e l’analisi delle prestazioni e dello stato dell’entità fisica.
  • Automazione e ottimizzazione: permette di testare e ottimizzare scenari operativi e strategie senza interferire con il sistema fisico, riducendo rischi e costi.
  • Manutenzione predittiva: supporta la manutenzione predittiva, identificando problemi potenziali prima che si verifichino e suggerendo interventi correttivi.

L‘Hacktivism (una fusione delle parole “hacking” e “activism”) si riferisce all’uso di tecniche di hacking per promuovere una causa politica, sociale, religiosa o ambientale. Gli hacktivisti sono individui o gruppi che sfruttano le proprie competenze informatiche per portare avanti una determinata agenda, spesso attraverso azioni digitali che mirano a sensibilizzare l’opinione pubblica o a mettere in difficoltà entità percepite come avversarie.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4