7
Introduzione
Una infrastruttura critica è un sistema o una risorsa che eroga un servizio
particolarmente rilevante e di interesse, tale da garantire il benessere sociale ed
economico di una nazione. Un esempio di infrastruttura critica è rappresentato dalla
rete ferroviaria nazionale, un aeroporto, un ospedale, una centrale elettrica o idrica,
dai sistemi di sicurezza militari. Il termine “critica” sta a significare la particolarità del
servizio offerto, la cui interruzione può rendere appunto “critica” la sicurezza in
senso lato del “sistema paese”.
Un sistema per la gestione della sicurezza di una infrastruttura critica deve
consentire la piena gestione di ogni situazione, emergenziale o meno. La protezione
efficiente delle infrastrutture critiche richiede, per sua natura, un elevato grado di
integrazione tra vari sistemi di sicurezza quali, in particolare, apparati di rete, reti di
sensori e attuatori, protocolli operativi, strumenti per la videosorveglianza e per la
gestione degli addetti alla sicurezza. Questi sistemi devono essere operativi
costantemente. Un’efficace gestione della sicurezza si ottiene soltanto attraverso
un’analisi costante degli eventi che si verificano all’interno dell’infrastruttura e mai
attraverso un’analisi ed una valutazione dei rischi “una tantum”.
Per evento si intende l’occorrenza di un fatto che si verifica all’interno del
sistema/dominio di interesse. Ogni evento è un produttore di informazione, e come
tale può, anzi deve, contribuire ad incrementare la base di conoscenza dell’intero
sistema. Alcuni eventi possono essere osservati facilmente, in quanto prodotti da
una singola fonte informativa; altri, invece, sono frutto di un’osservazione e
un’analisi più accurata ottenuta solo con l’integrazione ragionata di più dati e
informazioni. Si tratta, però, di un processo difficile a causa dell’apparente
indipendenza dei singoli eventi.
8
Lo stato dell’arte della tecnologia informatica mostra la facilità con cui è possibile
accedere a enormi quantità di dati diversi, ma non sembra ancora esibire strumenti
efficienti per le fasi di analisi, correlazione e aggregazione dei dati stessi.
Aggiungiamo, poi, che il flusso di dati che occorrono all’interno di un contesto quale
quello di un’infrastruttura critica deve essere analizzato necessariamente in real-
time, per far fronte alle situazioni di emergenza che richiedono, per loro natura, un
intervento immediato e risolutivo, o per lo meno orientato a minimizzare i danni
materiali e alle persone.
Una metodologia e un approccio per sistemi software, basato sull’idea di evento,
che analizza e correla eventi più o meno complessi provenienti in tempo reale da un
“campo operativo”, prende il nome di Complex Event Processing (CEP). Un sistema
basato su tecnologia CEP sintetizza le informazioni raccolte mediante un motore di
regole, permettendo di stabilire la logica di aggregazione dei dati per tradurli in
“informazione”. Utilizzare un sistema di processamento eventi, in un ambito come
quello di un’infrastruttura critica, comporta un miglioramento dei processi di
gestione della sicurezza e una migliore identificazione delle criticità legate ad essi.
Spesse volte, nella gestione della sicurezza viene fatta un’analisi a posteriori e solo
dopo che sono avvenuti i fatti, utilizzando i dati storici per collegare i risultati alle
cause e risolvere le inefficienze e i problemi. Analizzando le prestazioni e le
operazioni in tempo reale, invece, si rende la gestione dei rischi parte integrante dei
processi di monitoraggio, superando l’approccio tradizionale di analisi del rischio.
Gli eventi processati da un sistema CEP sono, in realtà, prodotti da uno strato
architetturale più "basso", costituito da una rete di sensori fisici di vario tipo,
immersi nell'infrastruttura. Il progresso tecnologico osservato nella costruzione di
sistemi elettronici di piccole dimensioni nel campo dell'elettronica digitale ha
incentivato lo sviluppo di apparati a bassa potenza e ridotto consumo, capaci di
comunicare anche in modalità wireless tra loro, in grado anche di elaborare dati
9
autonomamente e tra loro interconnessi. Fino ad oggi, la ricerca nel campo delle
Reti di Sensori (Sensor Networks) si è, perlopiù, focalizzata su aspetti che riguardano
il routing e la comunicazione fra i singoli nodi, nonché sui metodi per la
minimizzazione del dispendio energetico nel caso di dispositivi auto-alimentati (es.,
a batteria). L’integrazione e l’utilizzo composto delle informazioni provenienti da
una rete sensoriale non è stato finora oggetto particolare di studio a causa
dell’eterogeneità e della diversità delle singole sorgenti sensoriali che impedivano di
considerare la rete come le più comuni reti informatiche.
Le problematiche che un sistema di “diffusione” delle informazioni si trova ad
affrontare sono, in realtà, molte altre: la mole di dati può essere più o meno onerosa
e gli interessati numerosi e/o dislocati su una rete geografica vasta; la diversità e
l’eterogeneità dei dispositivi utilizzati richiede l’adozione di appositi standard di
interfacciamento e comunicazione; vanno considerati anche gli aspetti relativi a
guasti dei dispositivi o rallentamenti dovuti all’inaffidabilità dei canali di
comunicazione; altre criticità possono presentarsi quando si è in presenza di rete
con dispositivi mobili e che eventualmente comunicano in modalità wireless.
Diventa necessaria, a questo punto, la presenza di uno strumento software in grado
di occuparsi dell’acquisizione affidabile delle informazioni provenienti dalla rete
fisica sensoriale, per diffonderle correttamente agli strumenti di analisi o a chi ha
necessità di monitorare lo stato del sistema. Lo strato software adibito alla
risoluzione di questi problemi si posiziona “in mezzo” tra le applicazioni che
intendono accedere alla rete e la rete sensoriale stessa e prende il nome di
middleware. Ad esso viene demandata la gestione delle problematiche appena
descritte, mentre le applicazioni dovranno occuparsi solo della logica di
interpretazione delle informazioni: inviare un dato a un elemento della rete o
ricevere un dato da esso si tradurrà semplicemente in un’istruzione al middleware
sottostante. Il middleware è l’elemento architetturale chiamato a supportare sia
10
l’interoperabilità tra i vari elementi che costituiscono la piattaforma tecnologica
utilizzata per la gestione della sicurezza sia la ricerca dell’efficienza e dell’efficacia
delle applicazioni dedicate al supporto dei processi gestionali/operativi definiti.
Un ulteriore elemento che contribuisce ad arricchire la conoscenza di un sistema di
gestione della sicurezza è rappresentato dalla conoscenza della posizione di
persone/agenti mobili che si trovano all'interno dell’infrastruttura. Un sistema di
tracciamento e localizzazione in ambienti indoor ha il duplice vantaggio di
coadiuvare l’agente mobile nella navigazione delle aree dell’infrastruttura e
consente al sistema stesso di individuare e localizzare gli agenti in casi particolari di
emergenza.
I capitoli di questa tesi tratterranno ciascuno degli aspetti descritti, in particolare:
ξ Il Capitolo 1 affronta il tema generale della sicurezza nelle infrastrutture
critiche, soffermandosi sulla definizione delle stesse e considerando tutte le
problematiche legate al raggiungimento del livello di sicurezza desiderato.
ξ Il Capitolo 2 tratta di una metodologia di processamento e gestione di eventi
più o meno complessi che concorrono in real-time (Complex Event Processing)
all’interno di un contesto operativo. Questa metodologia si basa su un
approccio "guidato da eventi" ed ha come scopo, nel caso della gestione della
sicurezza all’interno di un’infrastruttura critica, quello di anticipare le criticità
che possono verificarsi al suo interno. Verranno esposti i vantaggi che possono
derivare dall'utilizzo di un sistema di questo tipo e presi in considerazione una
serie di software di processamento eventi presenti sul mercato.
ξ Il Capitolo 3 descrive nel dettaglio un prototipo di sistema CEP progettato e
realizzato per la sicurezza delle infrastrutture critiche, illustrando i motivi che
hanno portato alla sua realizzazione piuttosto che all'impiego di una
piattaforma già esistente. Verrà dato risalto, in particolare, alle modalità di
11
progettazione e definizione degli schemi e delle procedure di sicurezza, oltre
che alla logica di controllo e monitoraggio in tempo reale di un sito.
ξ Il Capitolo 4 descrive i vantaggi legati all’utilizzo di un sistema software
(middleware) di intermediazione tra lo strato fisico, rappresentato dalla rete
sensoriale costituita dai singoli apparati hardware di controllo (sensori di
temperatura, umidità, videocamere, dispositivi di rilevazione fumo e sensori
antincendio, etc.) e lo strato “applicativo”, costituito dai sistemi di
monitoraggio e controllo dell’infrastruttura. Viene inizialmente presentato il
panorama delle reti sensoriali, in particolare delle Wireless Sensor Network e
dello standard Zigbee e poi effettuata un’analisi dello stato dell’arte dei
middleware per reti di sensori.
ξ Il Capitolo 5 descrive l’approccio adottato nella progettazione del componente
di middleware del sistema di processamento eventi.
ξ Il Capitolo 6 affronta il tema della localizzazione e del tracciamento di
oggetti/utenti mobili all’interno di un ambiente. Vengono prima passate in
rassegna varie tecniche e algoritmi di localizzazione utilizzati in diversi contesti;
poi, descritto un sistema prototipale di localizzazione, basato sull’utilizzo di
sensori ZigBee. L’algoritmo è realizzato sulla base del calcolo delle distanze fra
nodi mediante l’indice RSSI (Received signal strength indication) e sul metodo
di multilaterazione (calcolo dei punti di intersezione fra circonferenze
geometriche). Viene descritta, in particolare, una euristica che si basa sulla
conoscenza della geometria degli ambienti allo scopo di ridurre gli errori di
misura (intrinseci in questi metodi).
12
Capitolo 1
Le Infrastrutture Critiche e
la gestione della sicurezza
13
Con il termine Infrastruttura Critica (IC) si intende un sistema, una risorsa o un
processo che, attraverso l’erogazione di un servizio, garantisce in maniera più o
meno diretta il benessere sociale ed economico di una nazione (un aeroporto, la
rete ferroviaria, una centrale di produzione di energia elettrica, etc.), il cui
degrado o la cui interruzione ha l'effetto di mettere a repentaglio il “corretto”
funzionamento e la sicurezza del “sistema paese”. Le IC sono considerate sempre
più degli “obiettivi sensibili”, in quanto vulnerabili sia nei confronti di minacce
terroristiche o cyber crimine, sia a seguito di eventi naturali di particolare
rilevanza.
L'8 dicembre 2008 il Consiglio dei Ministri Europei di Giustizia e Affari Interni ha
approvato la Direttiva Europea sull'identificazione e designazione delle
Infrastrutture Critiche Europee.1 Da quanto emerge dalla Direttiva, lo sviluppo e la
sicurezza nei paesi industrializzati dipendono sempre più dal funzionamento
continuo di queste infrastrutture. La strategia, richiesta ad ogni Stato Membro,
per migliorare la protezione delle IC prevede la realizzazione di un insieme di
adempimenti minimi quali, in particolare:
ξ l'istituzione di un punto di contatto nazionale per le strategie sulle IC
ξ l'individuazione delle IC nazionali che, in caso di problemi e/o interruzioni di
servizio, potrebbero indurre rilevanti effetti di tipo transnazionali
ξ l'attuazione a livello governativo di attività di controllo generale su tali IC
In particolare, il Piano di protezione delle infrastrutture nazionali (NIPP, National
Infrastructure Protection Plan2) si pone come obiettivo primario la condivisione
massima delle informazioni detenute dai diversi soggetti sul territorio. Negli Stati
1
Direttiva 2008/114/CE del Consiglio dell’Unione Europea, "Individuazione e designazione delle infrastrutture
critiche europee", (http://www.infrastrutturecritiche.it/)
2
The 2009 National Infrastructure Protection Plan (http://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf)
14
Uniti, ad esempio, sono quattordici le agenzie federali che si sono integrate nel
NIPP per gestire le informazioni di diverso livello, relative a rischi e vulnerabilità:
in questo modo si è riusciti in breve tempo a rendere operativa una struttura
come il DHS (Department of Homeland Security) e a generare alcuni standard di
sicurezza che permettono di gestire una crisi. In Italia è l'AIIC (Associazione
esperti Italiani Infrastrutture Critiche) che riunisce i maggiori esperti del settore.
Se fino a qualche decennio fa ciascuna singola infrastruttura poteva considerarsi
un sistema autonomo e indipendente, adesso le varie infrastrutture tendono ad
essere più strettamente connesse da risultare interdipendenti: questo significa
che un semplice guasto può facilmente propagarsi amplificando i suoi effetti. La
presenza di queste interdipendenze induce una complessità superiore a quella
gestibile dalle metodologie su cui si basano gli attuali paradigmi di simulazione.
Un episodio emblematico è rappresentato dal problema occorso il 20 maggio
1998 al satellite americano Galaxy IV3. Un guasto mise fuori servizio una ventina
di voli, oscurò alcune emittenti radiofoniche e causò disservizi enormi ai sistemi
di pagamento con carta nelle aree di servizio, le quali utilizzavano comunicazioni
satellitari per connettersi con gli enti bancari. Vanno menzionati, inoltre, vari
black-out elettrici che a volte colpiscono molte nazioni e che mettono in evidenza
la forte dipendenza delle società industrializzate con la disponibilità di energia
elettrica. Il blackout americano del 2003 ha messo in evidenza interdipendenze,
prima difficilmente immaginabili, fra sistema elettrico, sistema dei trasporti,
sistema di raccolta e smaltimento dei rifiuti.
Il NIPP classifica le IC in due categorie: Critical Infrastructures e Key Resources. Le
prime riguardano gli impianti in genere, dal petrolifero al chimico; mentre le
seconde sono relative alla distribuzione delle risorse e al funzionamento del
3
The Boeing Company, “Hughes Statement on Galaxy IV Anomaly”, (http://www.boeing.com/defense-
space/space/bss/panamsat/statement.html)
15
sistema di alimentazione della struttura nazionale. La gestione del rischio diventa
pertanto un obiettivo fondamentale, ma che si rivela difficile e costoso: un
ipotetico terrorista deve solo scegliere un obiettivo, mentre uno Stato o una
infrastruttura privata deve difenderli tutti allo stesso modo e al massimo delle
forze. Il rischio va pertanto previsto e gestito in tutti i suoi aspetti, in modo da
avere una macchina efficiente e puntuale di fronte ad ogni evento che può
rilevarsi perfino catastrofico.
E' chiaro, quindi, il passaggio dal semplice concetto di importanza delle IC a
quello di protezione delle stesse. A livello internazionale, la problematica
riguardante la protezione delle IC sotto il profilo non solo della sicurezza fisica,
ma anche della sicurezza informatica, viene genericamente indicata col termine
CIIP (Critical Information Infrastructure Protection). La Polizia di Stato italiana ha
costituito il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione
delle Infrastrutture Critiche) che, come si legge, è "in via esclusiva incaricato della
prevenzione e della repressione dei crimini informatici, di matrice comune,
organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate
di natura critica e di rilevanza nazionale".4
Nel marzo del 2003 è stato costituito, presso il Dipartimento per l'Innovazione e
le Tecnologie della Presidenza del Consiglio dei Ministri, il Gruppo di Lavoro sulla
Protezione delle Infrastrutture Critiche Informatizzate, il quale ha redatto un
documento5 che pone enfasi sulle necessità di incrementare le attività di ricerca
e sviluppo, sia a livello aziendale che accademico. In particolare, sono identificate
4
Polizia di Stato, CNAIPIC - Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche
(http://poliziadistato.it/articolo/18494-
CNAIPIC_Centro_Nazionale_Anticrimine_Informatico_per_la_Protezione_delle_Infrastrutture_Critiche)
5
Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri, “Protezione delle
Infrastrutture Critiche Informatizzate: la realtà italiana”, 2004
(http://www.infrastrutturecritiche.it/jml/images/Documenti/forumpa2005.pdf)
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
