Componenti statiche e dinamiche delle infrastrutture, ma anche definizione delle responsabilità in materia di sicurezza. Di tutto questo e molto altro si è parlato con un vero esperto di cybersecurity.
Con Ernest Hayden (la sua lunga qualifica è CISSP CEH, Managing Principal for Industrial Control Systems Cybersecurity del Verizon Risk Team) abbiamo voluto affrontare il tema delle infrastrutture critiche, alla luce del fatto che il cloud, e l’uso che se ne fa, paiono cambiare lo scenario di valutazione della disponibilità e della tenuta delle stesse.
D: Delineiamo subito il concetto di infrastruttura critica, oggi, al tempo del cloud e dell’interconnessione globale. Cosa è critico e cosa non lo è?
H: Il termine infrastruttura critica può assumere diversi significati, che sono normalmente definiti dai governi nazionali. Recentemente in un Executive Order e in una Presidential Policy Directive del Presidente degli Stati Uniti Obama sul miglioramento della cybersecurity per l’infrastruttura critica , il termine infrastruttura critica ha assunto il significato di sistemi e asset, siano essi fisici o virtuali, così importanti per gli Stati Uniti che la loro inabilità o distruzione avrebbe un impatto debilitante sulla sicurezza, sulla sicurezza economica nazionale, sulla sicurezza della sanità pubblica o qualsiasi combinazione di questi element”. Paragonandola con la definizione data dal governo inglese, il termine infrastruttura critica include strutture, sistemi, sedi e reti necessari per il funzionamento del Paese e per il rilascio di servizi essenziali da cui dipende la vita di tutti i giorni all’interno del Regno Unito.
Le definizioni sono simili, ma sono soggette ad analisi accademiche. Nel complesso, la parola chiave è dunque l’aggettivo critica poiché non tutte le infrastrutture sono da considerarsi “critiche”. Per esempio, un ponte di campagna non può influire sulla sicurezza o sulla sanità pubblica se cede o è inagibile.
Tuttavia, un ponte importante che collega due Paesi, come l’Øresund Bridge tra Copenhagen e Malmo, può essere considerato un’infrastruttura critica per la Danimarca, la Svezia e l’economia dell’Unione Europea.
Alcuni aspetti di un’implementazione cloud possono essere considerati come critici, poiché un guasto o la loro distruzione potrebbero avere un impatto negativo sulla sicurezza nazionale/globale e sulle attività economiche.
Per esempio, l’utilizzo del cloud al fine di facilitare le transazioni globali delle carte di credito può essere considerato una infrastruttura critica, così come un guasto del cloud che supporta un centro di emergenza operativa. Tuttavia, la non disponibilità di una rete sociale globale causata da un guasto al cloud che la supporta non avrebbe un impatto tale da considerarla una infrastruttura critica.
D: Quali sono le componenti statiche e quali quelle dinamiche delle infrastrutture?
H: Le infrastrutture possono avere componenti statiche e dinamiche. Per un’infrastruttura fisica, l’assemblaggio di tutte le parti e di tutti i pezzi è generalmente statico di natura. Tuttavia, gli elementi che comunicano con l’infrastruttura fisica possono essere considerati come dinamici. Per esempio un ponte permette ai veicoli di comunicare via terra e di oltrepassare i corsi d’acqua. Allo stesso modo, i cavi di fibra ottica sono dispositivi statici, ma trasportano bit e byte, pacchetti di dati e impulsi di luce che sono invece da considerarsi dinamici.
D: Stabiliamo il concetto di protezione dell’infrastruttura. A chi tocca?
H: Sinceramente, chiunque si occupi ogni giorno di infrastrutture dovrebbe essere consapevole anche degli aspetti legati alla sicurezza. Tuttavia, se ci si chiede “chi è il responsabile delle infrastrutture?”, la risposta è che chiunque possiede l’infrastruttura è comunque responsabile anche del suo funzionamento, della manutenzione, della protezione e del ripristino. Per esempio, le infrastrutture pubbliche come strade, ponti, alcuni sistemi di comunicazione di emergenza, sono solitamente sotto l’egida del governo associato.
Mentre le infrastrutture private, come ad esempio i data center, le aziende manifatturiere critiche, le linee di trasmissione elettrica rientrano invece sotto la responsabilità del proprietario.
Tuttavia, in situazioni di emergenza estrema, come ad esempio durante l’uragano Katrina o la tempesta Sandy, il ripristino delle infrastrutture, siano esse pubbliche o private, diventa uno sforzo congiunto da parte dei governi e dei privati.
D: Infrastruttura vuol dire anche ultimo miglio e, quindi, utente finale. Con che grado di complessità è coinvolto?
H: Uno dei modi per osservare tutto ciò è quello di considerare l’utente finale come il beneficiario delle infrastrutture installate. La possibilità di utilizzare Internet a casa esiste grazie a un ampio numero di infrastrutture Internet costituite da server, data center, energia elettrica, acqua per il raffreddamento, cavi per la rete telefonica/dati, software e protocolli di dati. Nonostante l’utilizzatore di Internet non veda realmente queste cose, trae comunque beneficio dall’esistenza di questi dispositivi e sistemi.
D: Chi detta le policy di gestione sicura e come le implementa?
H: Questo è un argomento di discussione con diversi governi che stanno rivedendo le regole di gestione per la protezione delle infrastrutture nazionali, soprattutto quelle riguardanti il cyberspazio. Tuttavia, come affermato in precedenza, la sicurezza globale delle infrastrutture appartiene essenzialmente ai loro proprietari. Le infrastrutture pubbliche sono di competenza del governo, che decide le regole e le policy della gestione della sicurezza; se l’infrastruttura è privata, il proprietario ne è responsabile. Tuttavia, fare riferimento allo stesso set di standard minimi, di base, di sicurezza, ha senso per tutte le parti coinvolte come punto di partenza.
