PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
9
Capitolo 1
Infrastrutture critiche
In questo capitolo sarà fornita una definizione informale di infrastruttura critica
anche attraverso l'uso di casi di esempio. Successivamente saranno introdotte
descrizioni più formali utilizzando il modello di Leontief, originariamente sviluppato
per lo studio dell’equilibrio dei sistemi economici. Saranno poi riportate alcune
possibili classificazioni relative alle infrastrutture critiche e descrizioni anche
rispetto alla loro sicurezza ed affidabilità. Infine, concluderà il capitolo con un
esame delle interdipendenze tra infrastrutture critiche.
1.1 Definizione e classificazione delle IC
Come già accennato nel contesto introduttivo, le infrastrutture critiche sono
essenzialmente dei sistemi caratterizzati da un'elevata complessità (che spesso
si manifesta in un'altrettanto elevata interdipendenza tra le componenti) in grado
di fornire servizi critici ed essenziali per l’intera collettività. L’elevato livello di
interconnessione all'interno e tra tali infrastrutture, evidenzia una serie di
problematiche collaterali, quali ad esempio l’incidenza della propagazione di
fenomeni di disturbo da un' infrastruttura ad un' altra, con il conseguente aumento
della criticità dell’ intero sistema, oppure l’aumento delle possibili minacce legate a
sabotaggi. Nasce dunque l’esigenza di conoscere le varie tipologie di
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
10
infrastrutture critiche al fine di definire ed adottare le strategie di protezione più
adeguate. Si intuisce che una definizione formale di infrastruttura critica non si
adatterebbe alla natura del problema; è quindi opportuno partire da una
descrizione informale: per infrastrutture critiche si definisce quell’insieme di
infrastrutture che garantiscono il benessere sociale ed economico di una
nazione
2
. Sebbene non esista una classificazione unica, la maggior parte delle
nazioni hanno individuato la seguente classificazione:
infrastrutture per la produzione, trasporto e distribuzione di energia
(elettrica, gas, ecc.);
infrastrutture di telecomunicazioni;
circuiti bancari e finanziari;
sistema sanitario;
infrastrutture di trasporto (aereo, viario, ferroviario, navale, ecc.);
infrastrutture per la raccolta, distribuzione e trattamento delle acque
superficiali;
servizi di emergenza;
filiera alimentare.
Tale definizione di infrastruttura critica potrebbe essere suscettibile di
interpretazioni ambigue. Introdurremo ora il concetto di infrastruttura critica
attraverso l'uso di un modello, quello di Leontief, sviluppato per lo studio
dell’equilibrio dei sistemi economici
3
. Esso è basato sui opportuni coefficienti, detti
appunto “coefficienti di Leontief”. Un tale modello, può ad esempio, essere
utilizzato per valutare, l’impatto di un evento indesiderato causato dalle
interdipendenze fra la rete di distribuzione dell'energia elettrica, ed altri sistemi
2
classificazione desunta dall’articolo: R. de Lemos et al. (Eds.): Architecting Dependable Systems V,
LNCS 5135, pp. 52–77, 2008.- c_Springer-Verlag Berlin Heidelberg 2008
3
Haimes Y.Y., Jiang P.: Leontief-based model of risk in complex interconnected infrastructures.
Journal of Infrastructure Systems, Vol. 7, n. 1, 2001, p. 1-12.
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
11
fortemente indipendenti da essa: si pensi ad un ospedale, al sistema dei trasporti
urbani di una metropoli o al sistema di telecomunicazioni. Resta evidente che
occorre individuare il grado di incidenza esistente fra le diverse infrastrutture
coinvolte. Con riferimento alla tabella di figura 2, la prima colonna indica che la
distruzione totale della rete elettrica (livello di inoperabilità pari ad 1) ha un
impatto diretto sul sistema viario rendendone non funzionante il 40%, il 60% del
sistema ospedaliero rimane bloccato, mentre il sistema di telecomunicazione è
completamente fuori uso. Oltre a queste conseguenze “dirette”, è necessario
valutare anche le conseguenze secondarie, per cui l’impatto complessivo di un
guasto è rappresentato dalla soluzione di regime della seguente equazione:
c n x A n x ) ( 1
Dove A è, appunto, la matrice m x m dei coefficienti di Leontief (con m pari al
numero di infrastrutture prese in esame), c è un vettore colonna di lunghezza m
che rappresenta il guasto indotto dall’esterno ed x è il vettore colonna, di
lunghezza m, con le probabilità di non-operatività associate a ciascun elemento.
4
Tratto da: Articolo "le infrastrutture critiche informatizzate" –rivista: m o n d o d i g i t a l e n . 3 - s e t t e m
b r e 2 0 0 9. Sandro Bologna, Roberto Setola, Salvatore Tucci – pag 23
Fig. 2
Matrice dei
coefficienti di
Leontief
4
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
12
con riferimento all' esempio suddetto, gli effetti provocati sul sistema da un evento
in grado di compromettere l’80% della rete di distribuzione elettrica, possono
essere valutati anche alla luce di un approccio basato su una equazione
matriciale, che si omette per brevità. E' possibile, inoltre, individuare alcune
tipologie base di sistemi critici. Tale classificazione è riportata in figura 3.
Fig. 3
Classificazione di
alcune tipologie di
sistemi critici
5
Questa tassonomia comprende:
Sistemi mission-critical o money-critical, ovvero tali che un fallimento può
comportare perdite notevoli in termini finanziari. Si pensi, ad esempio, a un
web server di un provider, oppure di un server asservito a transazioni
finanziarie.
Sistemi safety-critical o life-critical, dove un’avaria può causare danni gravi
anche in termini di ferimenti o perdita di vite umane (si pensi alla
strumentazione medicale di supporto alla vita o ai sistemi elettronici per il
controllo di autoveicoli, treni o aerei e quant’altro ).
5
Articolo "modelli per l’analisi di sistemi critici" –rivista: m o n d o d i g i t a l e n . 3 - s e t t e m b r e
0 9. Francesco Flammini, Nicola Mazzocca, Valeria Vittorini
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
13
Inoltre è evidente che in una società come la nostra, caratterizzata da complessi
rapporti economici-finaziari, l'avaria di un sistema classificabile come “life-critical”
comporta notevoli ripercussioni sul piano economico. Possiamo quindi ipotizzare
che un infrastruttura critica oltre a presentare peculiari caratteristiche di un
sistema “life-critical” può essere classificabile anche come sistema “money-
critical”. I promotori di tale classificazione, formalizzano tali concetti introducendo
il concetto di “costo previsto del fallimento” CPM, definito come segue:
Dove P
F
è la probabilità di occorrenza del fallimento (esempio, numero di volte in
un anno) e C
F
è una stima delle conseguenze del fallimento (esempio, espresso
in numero di vittime o danni monetari). Alternativamente è possibile ipotizzare
anche una classificazione alternativa di infrastruttura critica, basandosi sul livello
di criticità della stessa. Tale concetto di criticità, è decisamente molto soggettivo,
rispetto alle altre modalità di valutazione, quali l'affidabilità, intesa come misura
della frequenza di un guasto. Sono presenti diverse modalità di classificazione di
infrastrutture critiche, classificazioni afferenti a diversi paesi e dunque basate sulla
base di criteri individualmente adottati. La criticità di un' infrastruttura è legata alle
conseguenze causate da perturbazioni del suo regolare funzionamento. Potrebbe
essere inquadrata come: “la misura in cui l'interruzione è tollerabile”. Amin
6
classifica le caratteristiche principali di una delle infrastrutture critiche in cinque
principali categorie:
6
Amin, M., “National Infrastructures as Complex Interactive Networks,” Automation, Control and
Complexity: An Integrated Approach, Samad and Weyrauch, eds., John Wiley and Sons, New York NY, pp.
263-286, 2000
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
14
Multi-scala, multi-componente, eterogenei e distribuiti in natura, di questi
sistemi interconnessi in larga scala;
Vulnerabili agli attacchi e disturbi locali che possono portare al fallimento
istantaneamente di qualsiasi sistema;
Caratterizzato da molti punti di interazione tra cui si può osservare vari tipi di
contendenti: proprietari, gestori, venditori, acquirenti, clienti, fornitori di dati
e di informazioni, dati e informazioni degli utenti;
Con l’aumentare del numero di possibili interazioni, comporta un
drammatico aumento del numero dei concorrenti. Da ciò si ottiene una
complessa attività di questa rete e quindi supera di gran parte la capacità di
un soggetto unico e centralizzato per valutare, monitorare e gestire le varie
operazioni in tempo reale;
Troppo complesso per le teorie matematiche convenzionali e metodologie di
controllo;
Tuttavia non basta identificare tra le varie infrastrutture disponibili quelle che
svolgono un ruolo primario (energia, ospedali, difesa, trasporti, ecc), al fine di
classificare un’ infrastruttura come “critica”. A tal fine riteniamo che qualsiasi
infrastruttura può essere considerata essenziale e dunque “critica”, in determinate
circostanze. Per questo motivo la questione della classificazione è alquanto
controversa.
7
La prima caratteristica introdotta da Amin relativa a quelle
infrastrutture che si estendono su un vasto territorio. In tal caso, la loro vasta
distribuzione geografica complica la questione della sicurezza del sistema, che
risulta particolarmente sensibile a guasti occasionali (ossia danni da interruzioni o
non intenzionali) o peggio da avarie intenzionali come attacchi terroristici sulla
rete elettrica di trasmissione, come accadde in California nel 2000, un
catastrofico blackout ( in tal caso gli attacchi miravano esclusivamente alla rete
7
Tratto dall'articolo “Towards an MDA-Oriented UML Profile for Critical Infrastructure”
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
15
di trasmissione, mentre le altre infrastrutture furono danneggiate a causa della
elevata interdipendenze esistente ). Da questo esempio si deduce che un guasto
su una infrastruttura si potrebbe propagare verso le altre strettamente connesse
ad essa come un fattore di disturbo “ripple”. Il disturbo può anche causare un
arresto dell’intero sistema basato su tali infrastrutture connesse, provocando un
disastroso effetto “valanga”. Ci sono stati diversi approcci nella definizione del
comportamento comune e delle caratteristiche delle infrastrutture interconnesse.
Secondo il punto di vista di Rinaldi le infrastrutture sono sistemi adattativi
complessi. Egli ritiene che ogni infrastruttura è un insieme complesso di
componenti che interagiscono tra loro e modificando il loro modello
comportamentale come risultato di un processo di auto-apprendimento. Anche le
risorse umane possono essere considerate come una delle parti costitutive di
una infrastruttura complessa e proprio tale componente è quella maggiormente
responsabile del suddetto processo di adattamento. Sulla base delle varie
definizioni fornite dai diversi autori che si sono occupati di tale aspetto, possiamo
concludere che le infrastrutture sono "complesse reti di sistemi socio-
tecnonologici adattativi ". Sono complesse nel senso che esse sono formate
da componenti eterogenei e distribuiti. L'aspetto più interessante delle
infrastrutture critiche, dal punto di vista della ricerca, è proprio la caratteristica del
propagarsi a cascata delle avarie in tali sistemi. E’ poco realistico definire
infrastrutture "intrecciate" e trascurare gli effetti introdotti dall’alto grado di
interdipendenza delle infrastrutture e le loro conseguenze. Dunque, ignorare tali
interdipendenze può provocare una catena di avarie in termini di “probabilità di
impatto”
8
sull’intero sistema. L’esempio più lampante di interdipendenza tra
infrastrutture è certamente il commercio delle materie prime. Nel caso in cui una
perturbazione ostacoli il processo di approvvigionamento produttivo, anche tutte
8
Dunn, M., The socio-political dimensions of critical information infrastructure protection (CIIP)',
Int. Journal of Critical Infrastructures, Vol. 1, Nos. 2/3, pp.258–268, 2005.
PROFILI UML PER LA DESCRIZIONE DI INFRASTRUTTURE CRITICHE E LA
MODELLAZIONE DELLE INTERDIPENDENZE
Inserire il titolo della tesi di laurea come intestazione
16
le infrastrutture da esso dipendenti saranno compromesse. In tal caso l'effetto
valanga è il risultato di un'inadeguata politica aziendale relativa ai processi di
rifornimento di materie prime e quindi i concetti di sicurezza e protezione delle
infrastrutture critiche assumono dunque un ruolo primario. Nell’ultimo decennio
l’evoluzione dei sistemi di elaborazione ha introdotto calcolatori elettronici sempre
più performanti, ma non necessariamente più affidabili, aumentando la
vulnerabilità di alcune strutture critiche. Tali strutture sono particolarmente
sensibili a fenomeni di propagazione a cascata di guasti ed anomalie. Ad esempio
si pensi ai sistemi di controllo in tempo reale impiegati in applicazioni critiche per
la sicurezza di persone e cose. Nel paragrafo successivo illustriamo la sicurezza
e l’affidabilità delle infrastrutture critiche.
1.2 Sicurezza e affidabilità delle IC
La dependability è la proprietà di un sistema che permette di porre fiducia nel
modo giustificato del servizio che fornisce. I principali rischi relativi a sistemi
inseriti in un contesto di infrastrutture critiche sono individuabili come: Fault
(guasti), Error (errori) e Failure (fallimenti). Un sistema può essere soggetto a
guasti (di qualsiasi natura), esso da luogo ad un errore e quindi ad una mancata
erogazione di un servizio. Un errore, quindi, rappresenta la degenerazione dello
stato del sistema, mentre potremmo affermare che un fallimento si verifica
quando l’errore si propaga all’interfaccia del sistema causando la degenerazione
di uno o più servizi forniti. Le minacce possono essere classificate in diverse
modalità, in funzione di origine (naturali, intenzionali), consistenza (riproducibili,
elusive), persistenza (transitorie, intermittenti, permanenti), severità (minori,
catastrofiche).
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
