Home » News » Attualità

Ciclo idrico: un banco di prova per l’analisi integrata dei rischi

di Cristhian Re - 31 Ottobre 2018
Ciclo idrico: un banco di prova per l’analisi integrata dei rischi

(Parte I –  Introduzione e Assessment)

Introduzione
La filiera idropotabile, come noto, permette di erogare un servizio essenziale per la comunità: la distribuzione di acqua potabile ai cittadini (in figura la schematizzazione del ciclo).
Un settore che, in quanto tale, dovrebbe rientrare tra gli interessi strategici della Nazione ma che è stato, fino ad oggi, oggetto di limitato interesse, soprattutto in relazione ai rischi ai quali è esposto.
Per decenni il buon Dio è stato clemente. Scarsa l’attenzione istituzionale, come pure quella dei malintenzionati. Attacchi pochi e irrilevanti, ma soprattutto incapaci di procurare l’interruzione del servizio.

Di recente, complice la bestia nera per gli attacchi terroristici NBCR (nucleari, batteriologici, chimici e radioattivi) che ha investito il Vecchio Continente, gli asset del ciclo idrico sono saliti alla ribalta del teatro politico europeo che ha puntato i suoi riflettori sui Water Safety Plan di cui devono dotarsi gli operatori di tale servizio.
Tali piani si traducono in una vera e propria analisi dei rischi fisici associati, tra i quali rientrano ad esempio quelli climatici, metereologici, geologici, naturali, ecc.
Tuttavia, ciò di cui sono carenti i vari Water Safety Plans è la considerazione dei rischi di natura logica (cyber) che potrebbero verificarsi con la stessa probabilità (e sicuramente con un maggiore impatto rispetto a quelli di natura fisica) sugli asset del ciclo idrico, in gran parte telecontrollati.

Schematizzazione ciclo

Fonte: Linea Guida “Piano Sicurezza dell’Acqua

Le reti Operational Technology (OT) presentano, infatti, vulnerabilità sovente sottovalutate ma che, se sfruttate da un attaccante esperto, potrebbero generare un effetto domino di conseguenze devastanti e catastrofiche per milioni di utenti inermi e colti alla sprovvista.
Per anni, l’assenza pressoché totale di validi termini di paragone, ha consentito agli Stati Uniti di assurgere sulla scena internazionale a difensore cibernetico incontrastato delle reti OT al punto da costituirsi paradigma di riferimento oltre che motivo di orgoglio nazionale a stelle e strisce. In Europa, invece, il Regno Unito è apparso il Paese più sensibile e ricettivo, tanto che nel 2017 il Department for Environment, Food & Rural Affairs ha pubblicato, finalmente, il “Water Sector Cyber Security Strategy 2017-2021”.
Quindi, a fronte di ambiti perfettamente disciplinati ma altrettanto perfettamente e incomprensibilmente separati, sorge prepotente l’esigenza di unire le due sfere integrandone i singoli elementi in un modello di analisi del rischio caratterizzato da un approccio globale e interfunzionale.

Assessment
Il modello metodologico integrato nato dallo studio delle peculiarità della filiera idropotabile, e potenzialmente applicabile ad altri settori produttivi, prende necessariamente avvio da una fase di assessment, che prevede un primo censimento degli asset che compongono la summenzionata filiera, creando così un elenco esaustivo dei beni da proteggere.
Il passo immediatamente successivo consiste nella discriminazione, all’interno dell’elenco degli asset creato, della criticità dei beni in ragione di un criterio predeterminato.
Una delle strade che è possibile percorrere nella creazione di una scala di pesi è quella di assegnare un peso maggiore a seconda del potenziale effetto domino che il danno a un determinato bene potrebbe causare agli altri beni ad esso collegati.

Censimento asset

Fig. 1 – Censimento asset

Una volta pesati gli asset, può iniziare il processo di attribuzione delle pertinenze, che è l’operazione intellettuale fondamentale dell’intera metodologia. In una primissima fase basterà limitarsi ad associare gli asset censiti alle fasi di cui l’intero processo del ciclo idrico è composto.

Pertinenze asset

Fig. 2 – Pertinenze asset/fasi

Per condurre l’assessment degli impianti del ciclo idrico è necessario definire degli elementi che permettano di valutare lo stato complessivo dell’impianto. Tali elementi vengono definiti “parametri” e devono essere stabiliti in modo da risultare più generici possibili racchiudendo, cioè, tutte quelle caratteristiche utili a fornire un quadro d’insieme.

A titolo esemplificativo alcuni parametri possono essere:
• Stato dell’impianto
• Valore economico dell’impianto
• Ubicazione dell’impianto
• …

Come evidenziato, i parametri sono elementi connotati dalla genericità: per meglio dettagliare i molteplici significati racchiusi al loro interno vengono definiti alcuni “criteri”, ovvero regole (sotto forma di attributi) che aiutano a fondare un giudizio in relazione a un determinato asset.
Mettendo insieme gli elementi summenzionati si ottiene una visione d’insieme come mostrato nello schema seguente:

Visione insieme

Fig. 3 – Visione d’insieme

Perché il risultato dell’assessment sia oggettivo gli elementi elencati sinora (parametri e criteri) non possono essere connotati in modo meramente qualitativo, ma necessitano dell’associazione di un valore quantitativo, che viene definito “range”.
Al range, che può avere forma triadica oppure dicotomica (Si/No), sono associate delle “soglie” numeriche ben precise, che servono a rilevarne la maggiore o minore criticità sotto il profilo dell’analisi del rischio.
Il questionario di assessment verrà poi sottoposto a specialisti o figure professionali esperte come di seguito mostrato:

Questionario assessment

Fig. 4 – Questionario di assessment

Alla base delle voci riportate nel questionario risiede un algoritmo di calcolo che, a fronte di un elaborato sistema di pesi e contrappesi, fornisce come risultato il valore ponderale della criticità globale dell’asset preso in esame.
Il valore finale ottenuto dall’assessment relativo a ciascun impianto del ciclo idrico non avrebbe senso se esso non venisse confrontato con quello degli altri impianti.
Al fine di omogeneizzare scientificamente tale comparazione si crea una scala che parte dai diversi pesi iniziali degli asset e si articola in un range di 11 valori successivamente normalizzati in 5 livelli che consentono di categorizzare l’asset come: “inadeguato”, “in fase di graduale adeguamento”, “prossimo all’adeguamento”, “adeguato”, “più che adeguato”.
Attraverso la gerarchizzazione della criticità dei beni sottoposti ad assessment il Decisore saprà come allocare le proprie risorse in modo più efficiente stabilendo le opportune priorità di intervento.

Scala normalizzata

Fig. 5 – Scala normalizzata

di Cristhian Re e Federica Belleggia

#Dazebao della Security
Condividi questo articolo su:
Articoli correlati
Cristhian Re Security Manager Il Dazebao della Security
Attualità

La dimensione dello scarto

“La pietra che i costruttori hanno scartato è diventata la pietra d’angolo” [Marco 12, 10]. L’etimo svela talvolta le radici più profonde di un termine di cui ci restituisce il...
5 Marzo 2024 - Cristhian Re
Cristhian Re Il Dazebao Didattica
Attualità

Fu vera peste?

Anche la peste ne “I promessi sposi” ad un certo punto finisce. Tant’è che la vita dei protagonisti-sopravvissuti riprende da dove si era interrotta. Anche quel pavido di don Abbondio...
19 Gennaio 2024 - Cristhian Re
Cristhian Re Il Dazebao Didattica
Attualità

Security: ancora alla ricerca di ambasciatori

Nel nostro precedente articolo, Security: cerco un centro di “frazionalità” permanente, abbiamo iniziato a individuare le categorie professionali capaci di promuovere la cultura della Security all’interno delle aziende: talune rimaste...
12 Dicembre 2023 - Cristhian Re
Altre news da: Attualità
Dado Tecna New Opening showroom Nice
Attualità

DADO TECNA a TaoSicurezza, il NICE Day e ulteriori iniziative

Prosegue l’evoluzione di DADO TECNA, sancita con il New Opening, e varie sono le iniziative in programma, tra le quali la partecipazione a TaoSicurezza, il NICE Day ed ulteriori in planning...
16 Aprile 2024 - Monica Bertolo
Convegno ERSI 2024 sicurezza passiva
Attualità

Convegno ERSI: specialisti della sicurezza passiva a confronto

Si è concluso il Convegno ERSI, l’evento italiano sulla sicurezza passiva che ogni anno riunisce centinaia di serraturieri e che si è svolto il 12 e 13 aprile a Bologna...
16 Aprile 2024 - Redazione
Elron 50 anni Formula Uno Larousse
Attualità

50 anni di Elkron: avanguardia nell’antintrusione e antincendio

Intuire il futuro, utilizzare da sempre tecnologie all‘avanguardia, sponsorizzare una casa automobilistica in Formula Uno, essere leader del mercato della sicurezza agli albori del suo sviluppo, rinnovarsi cambiando pelle ma...
15 Aprile 2024 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.