Traduzione in italiano a cura di IsacaRoma dell’articolo “The International Critical Information Infrastructure Protection (CIIP) Handbook 2006” di Isabelle Abele-Wigert e Myriam Dunn, pubblicato da ENISA in "ENISA Quarterly" num. 5, giugno 2006 (pdf, 1.4 M, pagg. 4-5)

La protezione delle infrastrutture critiche (CIP - Critical Infrastructure Protection) è ormai una componente chiave della sicurezza nazionale in numerosi paesi ed è negli Stati Uniti, dopo l’11 settembre, al centro del dibattito sul terrorismo e la sicurezza interna.
Con infrastruttura critica (CI - Critical Infrastructure) si intende comunemente un sistema o un asset la cui distruzione o anche parziale indisponibilità ha l’effetto di indebolire in maniera significativa la sicurezza ed il sistema economico o sociale di una nazione.
I temi legati alla protezione delle infrastrutture strategicamente importanti fanno parte dei piani di difesa nazionale da decenni sebbene abbiano assunto, nel corso degli anni, diversi livelli di importanza. Negli anni successivi alla fine della guerra fredda il tema della difesa delle infrastrutture ha giocato un ruolo relativamente minore nel dibattito sulla sicurezza ma solo per ottenere nuovo impulso intorno alla metà degli anni 90 quando un nuovo e delicato problema è emerso: la dipendenza, nelle moderne società industrializzate, da una gran numero di infrastrutture informatizzate nazionali ed internazionali.
Gli Stati Uniti sono stata la prima nazione ad affrontare esplicitamente la nuova vulnerabilità delle infrastrutture vitali. La Presidential Commission on Critical Infrastructure Protection (PCCIP), nel 1997, ha identificato nuovi rischi in settori come le informazioni, le comunicazioni, le istituzioni finanziarie, l’energia, la distribuzione fisica dei beni e le risorse umane vitali; da quel momento in poi tali temi sono rimasti ad alta priorità nelle agende politiche; gli eventi del nove settembre sono semplicemente serviti per aumentare ulteriormente la sensibilità sul tema e di proteggere le infrastrutture critiche.

The Critical Information Infrastructure Protection (CIIP) Handbooks 2002-2006

Numerosi paesi, seguendo l’esempio degli USA e guidati da una sempre maggiore preoccupazione per le potenziali vulnerabilità delle proprie società servite da network sempre più interconnessi, hanno cominciato a predisporre delle politiche di protezione autonome.
L’International Critical Information Infrastructure Protection (CIIP) Handbooks 2002-2006 fornisce un quadro d’insieme di questi sforzi nei vari paesi.
La prima edizione  del CIIP Handbook (2002) conteneva la raccolta delle politiche di protezione in otto paesi (Australia, Canada, Germania, Olanda, Norvegia, Svezia, Svizzera e Stati Uniti) ed i metodi impiegati da ciascuno per il proprio CII assessment.
La seconda edizione (2004) comprendeva un aggiornamento dei survey allargati ad altri sei paesi (Austria, Finlandia, Francia, Regno Unito, Italia e Nuova Zelanda) e presentava anche le prime iniziative internazionali di protezione.
Nella versione 2006 è mantenuta l’impostazione delle precedenti due edizioni ma lo scopo è stato ampliato: non solo la sezione del survey è stata estesa ulteriormente con un focus specifico sull’Asia che ora comprende anche India, Giappone, Repubblica di Corea, Malesia, Singapore e Russia, ma sono censite anche le politiche CIIP di sei organizzazioni internazionali.
Il CIIP Handbook è volto principalmente agli analisti di politiche di sicurezza, a ricercatori e professionisti; esso può essere usato anche come “reference work” per una rapida analisi dello stato dell’arte della formulazione delle politiche CIIP o come punto di partenza per ulteriori ricerche più approfondite.

I due volumi del CIIP Handbook 2006

Volume I: analisi di 20 paesi e 6 organizzazioni internazionali

Il Volume I del CIIP Handbook 2006 riguarda le politiche nazionali ed internazionali per la protezione delle infrastrutture di informazione critiche di Australia, Austria, Canada, Finlandia, Francia, Germania, India, Italia, Giappone, Repubblica di Corea, Malesia, Olanda, Nuova Zelanda, Norvegia, Russia, Singapore, Svezia, Svizzera, Regno Unito, Stati Uniti, Unione Europea, G8, NATO, OCSE, Nazioni Unite e World Bank Group.
Ciascuna analisi nazionale è stata rivista da esperti nazionali del campo sia governativi sia di ambito universitario. Per ogni analisi sono stati considerati cinque focal point di grande importanza per gli aspetti concettuali e organizzativi del CIIP:

1. la definizione di settore critico: la prima sezione lista i settori critici identificati da ogni paese e fornisce, se disponibili, le definizioni di CII e CIIP;
2. passato e presente delle iniziative e politiche CIIP: la seconda sezione fornisce una sintesi dei passi più importanti effettuati a livello governativo dalla fine del 1990 per gestire i CIIP; il focus è sulle iniziative e sui principali elementi delle politiche CIIP e comprende la descrizione dei comitati speciali, commissioni, task force e gruppi di lavoro nonché i punti chiave dei risultati dei rapporti ufficiali più importanti ed i programmi nazionali più significativi;
3. strutture organizzative : la terza sezione fornisce una sintesi dei soggetti pubblici più importanti nel CIIP framework organizzativo di ciascun paese; sono sinteticamente identificate e descritte le specifiche responsabilità dei soggetti pubblici a livello statale o federale (ministeri, uffici nazionali, agenzie, gruppi di coordinamento etc.); i soggetti pubblici a livello più basso ed i soggetti privati (aziende, industrie etc.) non sono presi in considerazione; invece sono riportate, a causa dell’importanza che stanno assumendo, le più importanti partnership tra pubblico e privato;
4. approcci per l’early warning e le iniziative pubbliche di sensibilizzazione: la quarta sezione descrive le organizzazioni nazionali responsabili per il CIIP early warning, cioè le organizzazioni che diffondono e condividono informazioni relative al CIIP quali CERT (Computer Emergency Response Team), ISAC (Information Sharing and Analysis Center) etc; inoltre sono descritte le iniziative pubbliche rivolte ad aumentare la sensibilità del pubblico e degli operatori sul tema;
5. leggi e norme: la quinta sezione lista le norme più importanti varate per la promozione del CIIP comprese le norme che fissano le responsabilità delle autorità di governo in caso di emergenza; sono inoltre censite le leggi che hanno a che fare con temi quali la IT security, la protezione dei dati, i danni alle informazioni e dati, l’uso fraudolento dei computer, la firma digitale etc.

Volume II: dettaglio delle analisi e conclusioni

Il Volume II (“Analisi, sfide e prospettive”) approfondisce, anche con l’intervento di esperti che esprimo il loro punto di vista, alcuni dei temi presentati nel primo volume.
Il Volume II si compone di tre parti.

1. La prima parte si occupa degli aspetti concettuali. Dato che il CIIP interagisce con fenomeni sociali molto dinamici i confini esatti di ciò che si intende per sistemi critici ed il loro ruolo nella società sono ancora vaghi. Ciò cambierà quando che quest’area di ricerca assumerà una più stabile base scientifica e metodologica; nel frattempo però occorre definirne le basi concettuali: cos’è esattamente il CIP? E cosa il CIIP? In cosa i due concetti differiscono? Quali approcci si possono usare per analizzare questi sistemi ? Cosa dobbiamo cercare di proteggere?
2. La seconda parte si occupa delle minacce alle infrastrutture informative ed approfondisce tali temi già introdotti nella prima parte. Nello specifico si analizza quali sono in questo momento le minacce  alle infrastrutture informative. L’elenco dei possibili attori include stati ostili, gruppi terroristici, movimenti religiosi fanatici, organizzazioni criminali e partiti politici estremisti così come individui quali dipendenti infedeli, hacker o cracker. In aggiunta la complessità stessa diventa essa stessa un rischio importante ed espone ad una catena di minacce correlate.
3. La terza parte III affronta più in dettaglio tre temi “politici” gia introdotti nel primo volume: la partnership tra pubblico e privato, gli aspetti legali nazionali ed internazionali e la necessità della cooperazione internazionale. Questi temi sono tra loro interconnessi e richiedono una cultura globale della cyber sicurezza che parta dal livello nazionale. Ma come può un approccio nazionale diventare globale o, detto altrimenti, come ci si può muovere da un  approccio solo nazionale verso una cultura globale? Esiste un comune denominatore? Esiste già una cultura globale della cyber sicurezza anche se a livello rudimentale? Con queste domande in mente, la terza parte aiuta ad identificare i temi comuni, le best practice e specialmente i problemi ed i rischi nascosti in vista di una futura cultura globale della cyber sicurezza.

Uno strumento utile per tutti gli stati membri EU

Il CIIP Handbook 2006 contiene anche un capitolo sull’Unione Europea. Esso fornisce una sintesi delle iniziative EU e delle politiche in questo campo, i settori critici identificati dalla Commissione EU, le ricerche EU ed i programmi di sviluppo nonché le leggi e le normative rilevanti.
Per tutti gli esperti facente parte degli stati membri dell’EU, l’appendice del Volume I può risultare particolarmente utile; essa contiene una vasta bibliografia ed una collezione di link per ogni paese ed organizzazione internazionale nonché una lista degli esperti che hanno partecipato al progetto.
Inoltre nella sezione “Countries at a Glance” è fornita una lista completa degli attori e documenti più importanti in ciascun paese, il che permette una rapida overview, per ciascun paese EU, delle attuali politiche ed attività relative al CIIP.
Infine il volume II è una fonte ideale di informazioni sulle sfide correnti e sulle prospettive che i governi e le organizzazioni internazionali devono affrontare nell’ambito della difesa degli asset critici e fornisce, a riguardo, vari suggerimenti.
Questa pubblicazione è un punto di partenza ideale sia per chi affronta tali problematiche per la prima volta sia per chi è alla ricerca di informazioni più approfondite sul tema del CIIP.

Gli autori

Per ulteriori informazioni è possibile contattare Isabelle Abele-Wigert e Myriam Dunn presso il Center for Security Studies (CSS) dell' Eidgenössische Technische Hochschule Zürich 
Isabelle Abele-Wigert è ricercatrice presso il Center for Security Studies (CSS) dell’ETH di Zurigo e membro del team per il Comprehensive Risk Analysis e Management Network (CRN)
email: wigert AT sipo DOT gess DOT ethz DOT ch
Myriam Dunn è a capo del New Risk Research Unit del Center for Security Studies (CSS) dell’ETH di Zurigo e ne coordina il Comprehensive Risk Analysis and Management Network (CRN)
email: dunn AT sipo DOT gess DOT ethz DOT ch

Link

CIIP Handbook Volume I (pdf, 3.6 M)
CIIP Handbook Volume II (pdf, 1.4 M)

IsacaRoma link

ENISA

• ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008
• ENISA, l’agenzia di sicurezza europea
• Intervista ad Andrea Pirotti, Executive Director di ENISA
• La visione di ENISA
• ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare

Altri articoli

• L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook