Carissimi soci e colleghi, apro questa nostra seconda newsletter ASIS Italy rilanciando e citando ampiamente l’editoriale di Security Management di gennaio scritto da @Teresa Anderson - capo redattore. 
Teresa prende spunto dal nuovo libro della neuro scienziata Lisa Feldman Barrett (“7 lezioni e 1/2 sul cervello” link) e ci ricorda di come “brain is a network” ovvero il cervello è una rete, ovvero una collezione di parti che sono connesse per funzionare come un’unica entità.
Sostenere che il cervello sia una rete non è una metafora, ma una reale descrizione: significa che il “sistema” funziona meglio della somma delle parti. Il cervello infatti può agilmente generare una molteplice varietà di modelli neurali, ognuno con specifiche attività e funzioni.
La complessità della rete neurale permette al cervello di agire con flessibilità in ogni tipo di situazione, permettendoci di pensare in astratto, di avere una ricca competenza linguistica, di immaginare un futuro diverso dal presente e di avere la creatività di costruire astronavi che vanno su Marte e navi sempre più ecologiche e sicure. Ci permette di creare arte in immagini e parole. 
Ma forse la più sorprendente lezione è che il network cerebrale di ogni persona è influenzato da quello degli altri. Basta alzare la voce od anche solo un sopracciglio per generare un mutamento nelle persone che ci stanno davanti.
Mutamenti veri, fisici, dal battito cardiaco al rilascio di specifici ormoni nel sangue: gli umani sono - tra tutti gli animali -  l’unica specie capace di entrare in connessione e sintonizzare reciprocamente i cervelli con le parole oltre che con le azioni. 
Questo spiega molto di quanto stiamo vivendo in questi mesi: l’isolamento, l’interazione che improvvisamente è diventata “remota”, la distanza, un nuovo tipo di stress. 
Tutto questo rende la nostra comunicazione seppur più complessa ancora più importante.
ASIS vuole essere ed è questo, non una lobby o una casta esclusiva, ma un network di persone che insieme esprimono un potenziale ancora maggiore.
​
Be part of it!  

Iscriviti ad ASIS oggi stesso!
​

L’11 marzo 2020 l’Organizzazione Mondiale della Sanità, valutati i livelli di gravità e diffusione dell’infezione da Sars-CoV-2, ha identificato il focolaio internazionale da Covid 19 come pandemia dopo che il 30 gennaio lo aveva classificato, a seguito dell’elevato numero di casi registrati in diverse parti del mondo, come un’emergenza di sanità pubblica di rilevanza internazionale.
L’aggravarsi della situazione ha richiesto ai diversi Paesi l’adozione di misure restrittive ed urgenti mirate in un primo momento ad arginare la situazione e contenere la propagazione del virus e, successivamente, finalizzate a scongiurare nuove ondate.
Il lockdown totale, imposto come prima risposta alla veloce diffusione della pandemia, ha portato ad una riduzione dei casi notificati e del numero di pazienti ricoverati in ospedale ed in terapia intensiva, permettendo così di passare alla fase 2 di gestione della crisi sanitaria caratterizzata principalmente da, un allentamento delle restrizioni imposte e la ripresa degli spostamenti sul territorio nazionale.
La fase 2 ha richiesto interventi in grado di individuare rapidamente possibili nuovi focolai come ad esempio il tracciamento dei contatti di una persona risultata positiva al Covid-19.
Sono diversi i sistemi di contact tracing sviluppati nel mondo fino ad oggi, tutti molto simili tra di loro e sfruttano il principio base secondo cui uno smartphone può essere geolocalizzato e tramite il bluetooth è possibile risalire agli smartphone presenti nelle vicinanze. L’installazione delle App di tracciamento è generalmente su base volontaria e affinché risulti un strumento efficace è ovviamente necessaria un’ampia diffusione tra la popolazione.
L’osservatorio statunitense Sensor Towel ha effettuato un’analisi (al link sono consultabili i dettagli) sulla diffusione delle App anti Covid in tredici paesi con una popolazione superiore ai venti milioni di abitanti evidenziando che i primi cinque tassi di adozione più elevati provengono da Australia, Turchia, Germania, India e Italia realtà differenti dal punto di vista di diffusione della pandemia. 
In Italia in particolare l’applicazione adottata è “Immuni” proposta dalla società “Blending Spoon” e, sebbene dalla ricerca di Sensor Towel, sia emerso che l’Italia è uno dei paesi “virtuosi” in merito all’uso delle applicazioni di tracciamento, tra la popolazione ci sono ancora molti dubbi inerenti la tutela dei dati personali degli utilizzatori.
Il professore Gabriele Della Morte, docente di Diritto Internazionale presso la facoltà di Giurisprudenza dell’Università Cattolica di Milano assieme agli studenti della Law Clinic di Diritto internazionale, ha analizzato dal punto di vista giuridico Immuni”. Dall’analisi (consultabile al seguente link) è emerso che la soluzione italiana, rispetto ad altre applicazioni, si contraddistingue positivamente per l’opzione di un sistema poco invasivo (Bluetooth), la volontarietà del ricorso all’app, il trattamento di dati sostanzialmente anonimi, la struttura pubblica e decentralizzata della gestione dei medesimi e la caratteristica open source del codice.
Gli autori ha evidenziato inoltre che, pur essendo uno strumento utile, affinché Immuni risulti efficace deve essere affiancata da altri elementi come un corretto trattamento dei contagiati e un numero sufficiente di tamponi per prevenire una nuova ondata, considerazione queste che possiamo estendere a tutte le applicazioni di contact tracing sviluppate nel mondo.

Tra i numerosi campi che la tecnologia ha rivoluzionato, c’è quello industriale. Il monitoraggio del funzionamento di un impianto e l’intervento, in caso di anomalie, non vengono più condotti da operatori fisicamente sul posto, ma da personale che opera a distanza. Ciò è possibile grazie ai sensori e agli strumenti di misurazione che montano gli impianti moderni e che consentono l’utilizzo di sistemi SCADA (Supervisory Control And Data Acquisition).
Tali sistemi comprendono un dispositivo elettronico di controllo logico programmabile (PLC), un personal computer (PC) e una linea di comunicazione che li connetta (reti LAN, WAN). Il PLC, che viene programmato per assicurarsi che l’impianto esegua determinati comandi, riceve, in tempo reale, dai sensori e dai sistemi di misurazione, informazioni sullo stato di quest’ultimo. Se effettuata la verifica, non riscontra anomalie, il processo continua inalterato. Diversamente, lo ferma. 
Tutti questi dati acquisiti ed elaborati dal PLC vengono trasmessi, mediante una linea di comunicazione, al PC, che funge, per l’operatore, da interfaccia con l’impianto stesso. Si è così in grado di supervisionarne, a distanza, l’andamento e di porre tempestivamente rimedio all’insorgere di eventuali problematiche. Il che è particolarmente utile quando si tratta di controllare e gestire, in modo centralizzato, realtà distribuite, come le reti di pubblica utilità (elettricità, gas, acqua, etc.). 
Tuttavia, non sono sistemi privi di insidie. Il fatto che il PLC sia controllato dal PC da remoto lo espone, infatti, ad attacchi cyber. Individuata una qualche vulnerabilità nel sistema, la si può sfruttare per riuscire ad accedere al PLC e modificarne la programmazione. Come però spesso accade, tale vulnerabilità è rappresentata dall’essere umano che, inconscio della minaccia o, peggio ancora, reticente nel predisporre le misure di sicurezza adeguate, rende semplice l’intrusione. 
Ne è un esempio l’attacco cyber alla rete idrica della cittadina di Oldsmar, in Florida, avvenuto il 5 febbraio 2021. Uno o più soggetti non ancora identificati sono entrati nel PC del sistema e, mediante il software di accesso remoto TeamViewer, si sono collegati al PLC per riprogrammare il quantitativo di idrossido di sodio, noto anche come soda caustica, da immettere nel processo di purificazione dell’acqua. Se l’operatore preposto al monitoraggio dell’impianto non si fosse immediatamente accorto dell’intromissione e non avesse prontamente corretto il valore alterato, le conseguenze sarebbero state letali. 
Nonostante il fallimento dell’azione criminale, c’è poco di cui rallegrarsi. L’intrusione è stata, infatti, molto probabilmente agevolata dal mancato aggiornamento del sistema operativo del PC, dall’assenza del firewall e dall’impiego di un’unica password, condivisa da tutti, per l’utilizzo di TeamViewer. Ciò a emblema della scarsa attenzione che ancora oggi viene riservata alla sicurezza informatica. Si è, però, anche visto che è irragionevole pensare di poter prescindere da quest’ultima quando si cerca di garantire la sicurezza fisica di oggetti e persone.

Fonte: https://www.foxnews.com/us/fbi-florida-authorities-tips-water-treatment-hacking. 

Il capitolo italiano di WIS – WOMEN IN SECURITY COUNCIL è lieto di invitarvi a due importanti eventi online che si terranno nel prossimo mese.
 
Si tratta di due momenti di networking a livello internazionale per condividere esperienze e crescita professionale nel mondo della Security:
 
Martedì 2 marzo ore 17:15 – 18:00
ASIS EUROPE 2021 – FROM RISK TO RESILIENCE
Women in Security Networking and Discussion
Link di registrazione:
https://lnkd.in/dfHwdty
​

 

​Mercoledì 10 marzo ore 12:00 – 13:30
In linea con la Giornata Internazionale della Donna!
AMAZON WOMEN IN SECURITY: KEY TOPICS FOR WOMEN IN SECURITY 
HOW TO CARVE YOUR CAREER WITHIN THE SECURITY INDUSTRY
Link di registrazione:  
https://amazonwomeninsecurity.splashthat.com/

1 - Premesse
L'EU ha iniziato ad occuparsi concretamente di sicurezza informatica fin dal lontano 2004 quando venne istituita l'ENISA (European Union Agency for Network and Information Security) al cui primo comitato consultivo lo scrivente ha preso parte. In una Comunicazione della Commissione del 2009 si definiva un primo piano per la promozione e il rafforzamento della sicurezza della società informatizzata. Del 2013 è una Comunicazione congiunta della Commissione e dell'Alto Rappresentante dell'Unione per gli affari Esteri e la Security Policy of the Union for Foreign Affairs and Security Policy relativa a una strategia comune per la cybersecurity dei paesi membri. È tuttavia solo degli ultimi anni la posa di due pietre miliari realmente cogenti dal punto di vista normativo costituite dal Regolamento (UE) 2016/679 (General Data Protection Regulation) e dalla Direttiva (UE) 2016/1148 meglio conosciuta come Direttiva NIS.

Non si vuole in questa sede affrontare una disamina puntuale delle due norme. Si vuole piuttosto osservare come i due provvedimenti riguardino aspetti della protezione della Società digitalizzata profondamente diversi tra di loro, facendo chiarezza su alcune contaminazioni poco coerenti, almeno ad avviso di chi scrive, che spesso si riscontrano nel corso dell’attuazione pratica di quanto disposto dalle due norme. Si passerà poi, chiarito questo aspetto, a parlare degli aspetti implementativi della normativa NIS e a proporre, a questo riguardo, un supporto recentemente resosi disponibile.

Nella Società digitalizzata di oggi si possono distinguere due grandi ambiti applicativi delle tecnologie, diciamo così, informatiche che definiremo, per capirci, ambito gestionale e ambito tecno-industriale. Il primo, ormai più che maturo e adeguatamente normato sia sul piano degli standard che su quello legislativo, riguarda il trattamento di informazioni (vale a dire dati, nel momento in cui vengono trattati dai computer) di natura amministrativa e gestionale aziendale. È il dominio della contabilità generale, della contabilità degli stipendi, degli ordinativi commerciali, dei contratti, della posta elettronica, delle cartelle cliniche, dell’e-commerce e così via. La stragrande maggioranza di questi dati hanno, direttamente o indirettamente, a che fare con persone e, di conseguenza, con i loro diritti. In questo dominio si concorda generalmente che la protezione dei dati debba essere riferita a tre parametri: riservatezza, integrità e disponibilità. Tenendo conto di ciò si effettua, quando ci si accinge a redigere un piano di protezione, l’importante e prescritta fase di analisi dei rischi. Al riguardo, alcuni decenni fa chi scrive coniò il termine di terna RID (Riservatezza-Integrità-Disponibilità).  Giova notare che, in questo ambito, l’immissione delle informazioni è effettuata da una persona o da qualche suo comportamento, spesso con la mediazione di strumentazione tecnica e qualche tipo di automatismo. Il risultato del trattamento nella maggior parte dei casi è destinato, direttamente o tramite un evento che lo riguarda, a una persona (fisica o giuridica): l’accredito in banca di uno stipendio, l’invio di una e-mail, l’invio di un bene acquistato, l’aggiornamento di una cartella medica e così via. È questo, in particolare, l'ambito di riferimento del GDPR.

Di contro, più recentemente, la Società ha preso coscienza della necessità di proteggere piattaforme digitali di altro tipo: quelle che appartengono, appunto, all'ambito tecno-industriale. In questo ambito rientrano scenari vari: automotive, building automation, industria 4.0 e oltre, smart cities, produzione e distribuzione di energia e servizi e molto altro. In questo tipo di piattaforme l’immissione dei dati per l’elaborazione è a carico di sensori, l’elaborazione (come si può notare non parliamo più di trattamento) è a cura di molteplici piccole unità di calcolo dotate spesso di sistemi operativi sui generis. I dati viaggiano grazie a protocolli proprietari e i risultati sono a beneficio, piuttosto che di esseri umani, di attuatori che regolano le funzioni tecniche più disparate.
Di conseguenza a quanto sopra, essendo la maggior parte dei dati elaborati da questo tipo di piattaforme non relazionato a persone, ma dovendosi soprattutto, quanto a protezione (preferiamo usare questo termine in luogo del troppo ottimistico sicurezza), garantire la continuità funzionale della piattaforma stessa, appaiono giustificate alcune riflessioni che effettueremo di seguito. Prima di farlo riportiamo di seguito una tabella che riassume significativamente, anche se probabilmente non in modo esaustivo, la differenza tra i due mondi.

La maggior parte delle aziende interessate dalla normativa NIS (denominate, in italiano, Operatore di Servizi Essenziali e Fornitore di Servizio Digitale [1] ) si trova a dover considerare, come oggetto da proteggere, piattaforme informatiche di tipo tecno-industriale. In altre parole, l'obiettivo è garantire la continuità del servizio piuttosto che la riservatezza, integrità e disponibilità delle informazioni.

2 - Peculiarità delle piattaforme tecno-industriali
Le piattaforme gestionali (nel senso sopra indicato) sono costituite da un insieme di server, client fissi e mobili, dispositivi ausiliari di storage e altro ubicati in locale, in mobilità o in cloud. Tale insieme di risorse tratta le informazioni che viaggiano attraverso connessioni fisicamente realizzate con varie tecnologie trasmissive, utilizzando protocolli ben noti e codificati.
Dal loro canto, le piattaforme tecno-industriali, di cui appunto ora ci occupiamo, sono caratterizzate da un doppio livello, come indicato nella figura nella pagina che segue.

Un livello (indicato nella figura come Piattaforma tecno-industriale) è l'insieme dei componenti che, funzionalmente connessi tra di loro, realizzano il servizio o il ciclo produttivo che è la ragione di essere dell'azienda. Ad esempio, nel settore della distribuzione di energia, è l'insieme di apparati (componenti) elettrotecnici ubicati in cabine primarie e secondarie nonché i conduttori fisici che conducono l'energia fino ai dispositivi di misura e di utilizzo da parte dell'utente finale.

Nel novero di tali componenti sono inclusi sensori e attuatori di vario tipo che consentono il collegamento con la piattaforma del secondo livello.
​
Tale piattaforma di secondo livello (nella citata figura indicata, in realtà, sovrastante la precedente e denominata Rete di supervisione e controllo) è costituita da un insieme di componenti tra di loro interconnessi (concentra-tori di linee di comunicazio-ne, Remote Terminal Unit e altro), dotati di capacità computazionale e logica di livello variabile.

Questi componenti da un lato fanno capo a una applicazio-ne software centralizzata (normalm​ente di tipo SCADA) ubicata in Centro Operativo di controllo presidiato; dall'altro, tramite tratte di comunicazione di vario tipo, sono connessi a sensori e attuatori. Questi ultimi, che fanno parte integrante della piattaforma tecno-industriale, inviano e ricevono segnali che consentono, tramite appunto l'applicazione SCADA, di gestire la funzionalità del processo industriale. Le tratte di comunicazione, a tutti gli effetti componenti della piattaforma di supervisione e controllo, sono fisicamente caratterizzate da tecnologie di vario tipo e utilizzano protocolli spesso proprietari e non sufficientemente documentati.

3 – Specificità dell'analisi del rischio nelle piattaforme tecno-industriali
Tutto quanto sopra indicato consente di sostenere la seguente affermazione: le piattaforme di tipo tecno-industriale hanno la loro esposizione al rischio (leggi: ad eventuali attacchi) concentrata nel livello di supervisione e controllo. È chiaro che un malintenzionato può distruggere una cabina primaria o un impianto produttivo con una adeguata carica di tritolo (argomento di sicurezza fisica). Tuttavia, se ci concentriamo sugli aspetti di cybersecurity e immaginando che l'interruzione o il disturbo del servizio sia lo scopo dell'attacco da parte di un black hacker che voglia operare per via digitale, è chiaro che l'analisi del rischio debba concentrarsi sui punti di attacco dei diversi compo-nenti della rete di supervisione e controllo. Di conseguenza l’analisi del rischio si dovrà concen-trare sulla individuazione delle vulnerabilità che caratterizzano detti componenti, ivi comprese le tratte trasmissive e i loro protocolli.
 
Premesso quanto segue lo scrivente ha proposto una metodologia di analisi e gestione del rischio (IPSEM – Industrial Platforms Security Evaluation Methodology) ad oggi collaudata sul campo in un paio di significativi casi. La metodologia, in sintesi, si basa sui seguenti passi:
 
1 – Individuazione con rappresentazione grafica e testuale dei componenti della piattaforma di supervisione e controllo.
2 – Individuazione delle vulnerabilità note in letteratura o rilevate tramite analisi in laboratorio dei componenti di maggior criticità funzionale. Al riguardo, attualmente è disponibile un database delle vulnerabilità note (Vargo-el) per i componenti delle piattaforme del settore distribuzione energia.
3 – Associazione delle vulnerabilità rilevate ai singoli componenti (per tipo). Si ricorda che dei componenti fanno parte le tratte trasmissive e le persone addette alle operazioni.
4 – Attribuzione di un indice di criticità a ciascuna tipologia di componente tramite l'utilizzo di un questionario che tenga conto delle vulnerabilità rilevate, della criticità funzionale che il componen-te riveste per la funzionalità del processo e della entità del danno arrecato all'utenza se l’attacco dovesse avere successo. Tale questionario può essere personalizzato in funzione della specificità aziendale e del settore in cui l'azienda opera.
 
È possibile approfondire la conoscenza di IPSEM accedendo al sito cybercompliance.it.
 
4 – La cybersecurity per le piattaforme OSE: una soluzione innovativa.
Si è detto nel primo paragrafo di questo articolo come la normativa NIS costituisca una importante pietra miliare per la messa in sicurezza delle piattaforme gestite dagli Operatori di Servizi Essen-ziali e dai Fornitori di Servizio Digitale.
Il recepimento di detta normativa da parte del Governo Italiano è stata accompagnato, nel corso della individuazione di circa 450 aziende nei diversi settori, dalla proposta a detti OSE e FSD, da parte dei Ministeri competenti, di un percorso operativo (roadmap) derivato dal documento NIST intitolato Framework for Improving Critical Infrastructure Cybersecurity rielaborato per iniziativa comune tra il CIS-Sapienza di Roma e il CINI[1].

Essendo la più gran parte delle piattaforme OSE di tipo tecno-industriale, per esse, ai fini dell'ana-lisi del rischio, può essere vantaggiosamente utilizzata la metodologia IPSEM, sopra sinteticamente descritta e approfondibile come sopra indicato. Inoltre, le risultanze dell'applicazione di detta metodologia facilitano notevolmente l'attuazione dei complessivi venticinque passi proposti dalla roadmap citata e sintetizzata nella figura che segue.

Tale percorso è illustrato, in un'ottica di ausilio operativo a tutti gli adempimenti previsti, nel sito www.cybercompliance.it, realizzato dallo scrivente e dal suo gruppo, dove, per ciascuno dei venticinque passi, sono reperibili dettagliate istruzioni operative, facsimili di documenti da redigere e interessanti riferimenti normativi.  Il livello pubblico è ampiamente esplicativo mentre l'utilizzo operativo della piattaforma prevede le credenziali di accesso che possono essere richieste con le modalità indicate nel sito stesso.
La piattaforma è attualmente in italiano. È prevista una versione in inglese entro i prossimi mesi.

5 – Conclusioni
In questo articolo si è discusso di come l'analisi e la gestione del rischio, per le piattaforme di natura tecno-industriale e OSE in particolare, richiedano di essere affrontate con criteri diversi da quanto storicamente utilizzato per le piattaforme tradizionali di tipo gestionale. Si è presentata una metodologia specifica per tale esigenza che è stata poi inserita come uno dei passi (quello di maggior rilievo progettuale) del percorso complessivo previsto dalla normativa vigente per la messa in sicurezza delle piattaforme che erogano i servizi gestiti dagli OSE.
Tale percorso complessivo è contenuto e illustrato, con finalità di consistente ausilio progettuale, nel sito www.cybercompliance.it.


[1]  Decreto Legislativo 18 maggio 2018, art. 3, comma 1, lettere g) e i). 
[2] https://www.cybersecurityframework.it

Il cospirazionismo militante rappresenta sempre più un rischio per la sicurezza. Il motivo principale consiste nella facilità di diffusione nei sistemi politici, unitamente alla tendenza a provocare turbative dell’ordine pubblico e al sempre più evidente consolidamento dei legami con il mondo dei movimenti terroristici dell’estrema destra grazie alla sua struttura organizzativa cell-style.
In America la penetrazione del cospirazionismo militante nella società è ormai data per scontata dagli analisti come elemento sempre più dominante anche dell’agenda politica, grazie anche alla capacità di molti gruppi di fare proseliti tra le forze dell’ordine, i militari e infine direttamente nella classe politica, mentre in Europa è un fenomeno più recente che per adesso non mostra lo stesso grado di penetrazione istituzionale ma che in soli tre anni ha già dimostrato un notevole potenziale di radicalizzazione. Storicamente questo fenomeno, che si distingue dal semplice atto di credere in alcune teorie cospirazioniste, deve gran parte della sua trazione alla nascita del movimento americano della alt-right, preceduto da fenomeni mediatici come InfoWars, lanciato nel 1999 da Alex Jones, e si colloca approssimativamente nel 2009, a partire cioè dalla nascita del Tea Party a seguito dell’ultima Grande Recessione (2007/08). Tuttavia, è con le elezioni presidenziali del 2016 che il cospirazionismo militante, grazie al movimento QAnon e figure di riferimento come Steve Bannon, inizia ad assumere un ruolo di primo piano nella vita sociale e politica mondiale arrivando a un punto che oggi desta serie preoccupazioni a causa delle azioni di molti suoi membri.
Il pericolo rappresentato dal cospirazionismo militante si colloca prevalentemente su tre livelli.
Prima di tutto la sua penetrazione politica. Diversi movimenti extraparlamentari e think tank, quelli che da sempre orientano il voto della galassia identitaria e militante verso l’estrema destra, da tempo riprendono e amplificano i messaggi del cospirazionismo militante e in alcuni casi ne sono diretti promotori. Accade dunque che per raccogliere consenso i partiti ufficiali rilancino, anche inavvertitamente, quegli stessi temi, soprattutto sui social media. Quasi sempre ciò avviene in quanto la semplicistica retorica cospirazionista ha un grande successo mediatico e un immediato ritorno di consenso. Tuttavia, nel farlo, i partiti si espongono al rischio di associarsi ad un movimento e una cultura politica estremamente pericolosi e, soprattuto, al rischio di essere infiltrati dai suoi esponenti con conseguente aumento della possibilità che in futuro il policy making venga basato su premesse non fattuali, ma anche un aumento del pericolo di connivenza con potenze ostili che sfruttano il cospirazionismo militante come strumento di politica estera (come ad esempio nel caso del memetic warfare).
In secondo luogo, l’aumento di disordini pubblici. In Nord America, l’aumento di azioni violente associabili al cospirazionismo militante ha portato diverse agenzie Statunitensi e Canadesi ad inserire diversi gruppi nelle liste che raccolgono le organizzazioni criminali e/o terroristiche. Tuttavia, la mancanza di un’organizzazione definita e strutturata, con mandanti identificabili, rende estremamente difficile controllare i militanti cospirazionisti. In molti casi si tratta infatti di individui che aderiscono semplicemente ai contenuti del cospirazionismo e ne sfruttano l’ideologia, ma operano in modo autonomo o tramite loose ties con organizzazioni strutturate. In questo caso il rischio consiste nell’incremento di aggressioni o reati classificabili come hate crimes. In altri, il fenomeno si presenta in modo più strutturato, come nel caso dell’assalto al Campidoglio del 6 gennaio scorso o del prevedibile aumento di disordini durante manifestazioni pubbliche.
Infine, il terrorismo. Diversi analisti considerano come molto elevato il rischio di una radicalizzazione di massa, soprattutto tra le fasce giovani e meno istruite della popolazione, causata dal cospirazionismo militante. Ciò è dovuto al carattere interattivo, molto appagante, dei suoi contenuti cospiratori e ai continui riferimenti alla letteratura di genere fanta-politico che rendono l’esperienza di fruizione di contenuti estremamente avvincente. Per diffondersi, il copirazionismo sfrutta meccanismi di coinvolgimento tipici dei videogiochi ARG (alternate reality game) creando una comunità simile alle esperienze LARP (live action role-playing game) che permette ai partecipanti di sviluppare la propria militanza attiva. Il suo fascino è di tipo pseudo-religioso in cui il messaggio è strutturato come una teologia in cui predomina la componente escatologica, che si riassume ad esempio nella guerra cosmica contro il deep state. Il controllo esercitato da diversi gruppi cospirazionisti sui loro membri, l’incapsulamento sociale, è così pervasivo da far perdere loro la distinzione tra la realtà e la fantasia. Il fallimento della profezia relativa alla rielezione di Donald Trump alla presidenza americana ha attivato meccanismi di razionalizzazione che fanno inoltre presagire una prossima escalation violenta. L’analisi dei social networks e dei repost evidenzia come il cospirazionismo militante si stia integrando nel mondo del suprematismo bianco e dell’estemismo di destra nel quale alcuni suoi membri hanno una funzione di vero e proprio front. Ovviamente, non è lecito sostenere che tutti i militanti cospirazionisti siano coinvolti con gruppi più o meno violenti di estrema destra, come gli Oath Keepers, i Boogaloo Bois, i Proud Boys e, anche, con organizzazioni terroristiche neonaziste come la Atomwaffen Division. Si tratta di una minoranza, ma per molti è un’evoluzione naturale soprattutto se in cerca di un’esperienza più militante. Inoltre, sono gli stessi movimenti estremisti a usare i networks cospirazionisti per portare nuovi membri alla loro causa pescandoli, ad esempio, tra i fan delusi di QAnon o tra gli espulsi da gruppi sciolti dalle autorità. Questi individui sembrano costituire un bacino di reclutamento ideale dell’estrema destra che potrebbe, con poco sforzo e in breve tempo, incrementare esponenzialmente i propri ranghi con individui facilmente indottrinabili. In questo caso il rischio sembra essere rappresentato da possibili attacchi ad infrastrutture e altri obiettivi sensibili, notoriamente esposti all’azione di singoli individui radicalizzati (lone wolves) che magari operano al loro interno. Non va inoltre dimenticato che spesso questi individui posseggono capacità tecniche e, in alcuni casi, hanno prestato servizio nelle forze armate. Un primo esempio lo si è avuto già pochi giorni fa nello Stato della Florida, dove un’attacco hacker alla rete idrica della città Oldsmar, con l’obiettivo di avvelenarne le acque potabili, è stato fortunatamente sventato.
In conclusione, l’azione deve essere indirizzata prima di tutto a comprendere questo nuovo fenomeno e, in seconda battuta, a contrastare le condizioni in cui si sviluppa. Relativamente al problema politico, è necessario sensibilizzare le direzioni dei partiti sulla necessità di ridurre l’ambiguità del proprio messaggio e impedire ad elementi cospirazionisti di conseguire posizioni di potere all’interno delle loro strutture organizzative. Relativamente ai disordini e alle attività criminali è necessario intervenire sia monitorando i gruppi cospirazioniosti militanti, formali e informali, sciogliendoli laddove necessario, che prevedendo percorsi legali consoni volti a disincentivare l’attività criminale. Infine, relativamente al terrorismo, è necessario affrontare il problema del cospirazionismo militante imparando dall’esperienza del radicalismo islamista sia sotto il profilo operativo, degli interventi di contrasto che, soprattutto, nelle attività di prevenzione e deradicalizzazione.
 
 
Andrea Molle, PhD, FRAS
Assistant Professor, Political Science, Chapman University (USA)
Senior Research Fellow, START InSight (Switzerland)
 

 
START InSight (Strategic Analysts and Research Team) è una società privata con sede a Lugano e un team geograficamente diffuso. Centro di ricerca, analisi, produzione editoriale e consulenza, è co-fondatore e promotore dell’Osservatorio nazionale sul Radicalismo e il Contrasto al Terrorismo - ReaCT (Roma). I suoi collaboratori si occupano delle questioni legate al terrorismo e alla radicalizzazione violenta, sicurezza e politiche di difesa, immigrazione e conflitti, con un'attenzione particolare al Mediterraneo, al mondo arabo-islamico, all'Afghanistan. START InSight può agire da piattaforma dove esperti e idee convergono per individuare e discutere iniziative e collaborazioni multidisciplinari e la creazione di consorzi internazionali nell’ambito di progetti europei www.startinsight.eu 

A partire dalla dichiarazione dell’OMS con cui, il 30 gennaio 2020, si definiva l’epidemia da COVID-19 “un’emergenza di sanità pubblica di rilevanza internazionale a carattere pandemico”, la libera circolazione dei lavoratori – principio fondamentale dell’UE, sancito dall’art.45 del TFUE -  è stata fortemente compromessa a causa dell’introduzione di controlli alle frontiere o di restrizioni di viaggio all’interno dell’UE. Cittadini, turisti, aziende e lavoratori sono stati letteralmente travolti da quello che l’analista Sara Mosqueda ha definito “Rugulatory Turbolence” (Dec,2020 Security Management). Una macchina di norme, regolamenti, leggi, decreti, protocolli caratterizzata per un alto grado di complessità, differenziazione e volatilità in grado di piegare interi settori economici e industriali, e di esporre viaggiatori e Datori di Lavoro a nuovi fattori di rischio.
Al fine di evitare la frammentazione e l'interruzione dei servizi e garantire la trasparenza e la prevedibilità per i cittadini e le imprese, l’Unione Europea sta lavorando da settembre 2020 ad un approccio graduale e coordinato sulle limitazioni dei viaggi e della libera circolazione. Già il 3 settembre la Commissione ha presentato una proposta di raccomandazione del Consiglio per fare in modo che tutte le misure adottate dagli Stati membri fossero coordinate e chiaramente comunicate a livello dell'UE.
Con questo obiettivo, nasce la piattaforma Re-Open-EU, uno strumento che fornisce una panoramica della situazione sanitaria nei paesi europei, sulla base dei dati del Centro europeo per la prevenzione e il controllo delle malattie (ECDC). Le informazioni sono aggiornate frequentemente e disponibili in 24 lingue. Re-Open consente di seguire l'evoluzione pandemia in Europa fornendo informazioni sulle varie restrizioni in vigore, tra cui i requisiti in materia di ingresso, quarantena e test per i viaggiatori e le applicazioni mobili di tracciamento dei contatti.
Il 13 ottobre 2020 gli Stati membri dell'UE si sono impegnati a garantire un maggiore coordinamento e una migliore condivisione delle informazioni adottando la raccomandazione del Consiglio. La raccomandazione, che stabiliva criteri comuni e un quadro comune per le misure concernenti i viaggi in risposta alla pandemia di COVID-19, è stata aggiornata il 1° febbraio 2021 per far fronte all'aumento del numero di infezioni generato dalle nuove varianti del virus, garantendo, allo stesso tempo, la massima tutela per cittadini e imprese. Il Consiglio ritiene infatti che “le misure unilaterali in questo settore potrebbero causare gravi perturbazioni in quanto le imprese e i cittadini si trovano ad affrontare un'ampia gamma di misure divergenti e in rapida evoluzione. Ciò è particolarmente dannoso in una situazione in cui l'economia europea è già stata colpita duramente dal virus”. 
In quest’ottica di cooperazione i paesi dell'UE hanno concordato quattro categorie di zone di rischio (verde, arancione, rosso, rosso scuro) ed un quadro comune per le possibili misure che includono, tra le altre cose, la limitazione dei viaggi non essenziali verso zone a rischio, ed un regime di restrizioni più fluido per i lavoratori di “settori considerati essenziali” che preveda, al posto della quarantena, un sistema di monitoraggio della salute tramite un doppio test, prima e dopo la partenza. 
I lavoratori attualmente inclusi in questa categoria appartengono tuttavia ad una rosa piuttosto ristretta, ponendo non poche difficoltà a tutti i settori produttivi strategici dei Paesi Membri che, esclusi da tale definizione, si trovano a dover fronteggiare questo caos normativo con costi e impatti tutt’altro che irrisori.  A questo si aggiunge un’implementazione non sempre conforme delle misure raccomandate, essendo queste - nell’ordinamento europeo - fonti del diritto prive di efficacia diretta vincolante per gli Stati membri. 
In questo complesso scenario si intravede però una luce infondo al tunnel. Numerose infatti sono le aziende che si sono dette pronte ad implementare protocolli ad-hoc per la ripartenza dei viaggi lavoro, in attesa che i piani vaccinali aprano la strada dell’immunizzazione permettendo maggiore mobilità. Anche in questo senso, sia a livello nazionale che europeo, sta crescendo la mobilitazione affinché sia concessa alle aziende impegnate in settori strategici la possibilità di potersi dotare di un piano di vaccinazione anti-covid19 per garantire una ripresa rapida, efficace e sicura. 

Ilaria Lezzi
​International Security Analyst

La norma UNI 10459:2017, costituente la direttrice principale all’interno dei processi del security management, individua tra le principali attività del professionista della security la “tutela del know-how, segreto industriale e delle risorse immateriali” e la “protezione da spionaggio industriale”.
Il reato di spionaggio industriale, deducibile dall’art. 623 del Codice Penale per cui “…chiunque, avendo acquisito in modo abusivo segreti commerciali, li rivela o li impiega a proprio o altrui profitto…”, introduce il tema dei “segreti commerciali”. Questo, stando all’art. 98 del Codice di Proprietà Industriale: “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:

• siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
• abbiano valore economico in quanto segrete;
• siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.

Sono pertanto oggetto di tutela da parte della Aziende quelle informazioni che possono essere riconducibili alla definizione di cui sopra, ovvero aventi un ruolo rilevante nel raggiungimento negli obiettivi di business. Tuttavia è doveroso operare innanzitutto una distinzione tra le informazioni la cui tutela rappresenta un obbligo per l’Azienda, e quelle cui invece è una facoltà. Se le informazioni non vengono protette, nel primo caso si incombe in sanzioni sia amministrative che penali, nel secondo caso invece non vi saranno tali sanzioni ma sarà più difficile far valere i propri diritti sulle informazioni che sono state sottratte e/o usate in maniera non vantaggiosa per l’Azienda.
CONTESTO NORMATIVO DI RIFERIMENTO
Principalmente, rientrano nella tipologia di informazioni la cui tutela è un obbligo per l’Azienda quelle oggetto del: DPCM del 06 novembre 2015 n.5 concernenti le “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva”; Regolamento Generale per la Protezione dei Dati Personali n. 2016/679 (General Data Protection Regulation o GDPR); Testo unico delle disposizioni in materia di intermediazione finanziaria (o T.U.F.) e Regolamento (UE) N. 596/2014 sugli abusi di mercato (il c.d. M.A.R.) in riferimento alle c.d. “informazioni privilegiate” per le aziende quotate in borsa.
Vi sono invece delle informazioni per cui l’ordinamento non prevede specifici obblighi di tutela in capo all’Azienda, ma riconosce alla stessa il diritto di proteggere le informazioni che possano essere reputate come “segrete”. Tale diritto viene previsto sempre dall’art. 98 del Codice di Proprietà Industriale poiché “Costituiscono oggetto di tutela i segreti commerciali” (vds definizione di cui sopra). In altre parole è facoltà dell’azienda porre in essere le misure necessarie per proteggere le informazioni, ma quali misure? Eccezion fatta per le informazioni rientranti nel DPCM del 2015 (e per alcuni aspetti le informazioni privilegiate) dove vi sono specifici riferimenti normativi disciplinanti in maniera dettagliata le misure da implementare, quando si parla della tutela delle informazioni gli ordinamenti tendono per lo più a prevedere generici requisiti di sicurezza e strumenti giuridici a seguito di una violazione di sicurezza, e non degli strumenti operativi per prevenirle.
PRINCIPI GESTIONALI DI MESSA IN SICUREZZA DELLE INFORMAZIONI
Una efficace strategia di messa in sicurezza delle informazioni si articola nella definizione e adozione di norme e procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni.  Il concetto di sicurezza delle informazioni si sviluppa attorno a tre requisiti che devono essere mantenuti:

• Confidentiality: proteggere le informazioni da accessi non autorizzati;
• Integrity: impedire che le informazioni vengano modificate in modo non autorizzato o indesiderato;
• Availability: ovvero la capacità di poter accedere alle informazioni quando se ne ha bisogno.

Il principale strumento per supportare le organizzazioni nell’implementazione di tale strategia è la norma internazionale ISO/IEC 27001, la quale stabilisce i principi del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). Si riportano di seguito alcuni spunti per l’implementazione di un SGSI:

• Pianificazione del SGSI:
  • Definizione del campo di applicazione e della politica del SGSI in riferimento al business dell’organizzazione, alla sua localizzazione, a beni e tecnologia adottata;
  • Elaborazione di linee guida per la classificazione delle informazioni affinché le stesse ricevano un adeguato livello di protezione;
  • Definizione dell’approccio metodologico alla valutazione del rischio;
  • Identificazione e analisi dei rischi;
  • Identificazione delle possibili azioni per mitigare i rischi e scegliere le azioni da implementare.
• Attuazione del SGSI:
  • Formulazione ed esecuzione e di un piano di mitigazione del rischio che identifichi le azioni gestionali appropriate, le risorse, le responsabilità e le priorità per gestire i rischi riguardanti la sicurezza delle informazioni;
  • Erogazione di programmi di formazione e addestramento per lo sviluppo di una consapevolezza in tema di sicurezza delle informazioni;
  • Gestione delle risorse coinvolte nel SGSI;
• Monitoraggio e riesame del SGSI:
  • Esecuzione di procedure di monitoraggio e riesame per individuare errori nei risultati dei processi previsti del SGSI e consentire una pronta individuazione degli eventi relativi alla sicurezza e la reazione agli incidenti di sicurezza;
  • Conduzione di audit per verificare l’efficacia delle azioni intraprese;
  • Riesame delle valutazioni del rischio e delle misure di mitigazione;
• Mantenimento e aggiornamento del SGSI: ovvero individuazione, attuazione e monitoraggio delle azioni di miglioramento.

CONSIDERAZIONI
La tutela delle informazioni aziendali si configura pertanto come un processo volto a mitigare il rischio di sottrazione e/o utilizzo improprio/non autorizzato delle stesse. Trattandosi di un processo di mitigazione di uno specifico profilo di rischio, è bene ricordarsi, nella sua predisposizione e implementazione, che lo stesso deve operare all’interno del più ampio processo di Enterprise Risk Management posto in essere dall’Azienda. Una strategia di tutela delle informazioni aziendali definiti in assenza di un’analisi del contesto interno e esterno di riferimento, e che non prenda in considerazioni gli approcci e gli strumenti con cui l’Azienda vuole mitigare i rischi identificati, difficilmente potrà essere di successo.
Inoltre è bene ricordarsi che un efficace processo di security, soprattutto per quanto riguarda il tema in oggetto, non può prescindere da una visione sinergica delle misure di sicurezza fisiche, logiche e organizzative che saranno individuate e implementate. La tentazione di focalizzarsi su una sola tipologia di misure a scapito delle altre potrebbe produrre effetti non desiderati.  

Mirko Giuseppone
Physical Security

Caro amico, ti scrivo, così mi distraggo un po'
E siccome sei molto lontano, più forte ti scriverò
Da quando sei partito c'è una grande novità
L'anno vecchio è finito, ormai
Ma qualcosa ancora qui non va
Si esce poco la sera, compreso quando è festa
E c'è chi ha messo dei sacchi di sabbia vicino alla finestra
E si sta senza parlare per intere settimane
E a quelli che hanno niente da dire
Del tempo ne rimane
Ma la televisione ha detto che il nuovo anno
Porterà una trasformazione
E tutti quanti stiamo già aspettando
 
La canzone, scritta da un indimenticato Lucio Dalla usciva a febbraio 1979,  consacrando il cantante tra i grandi  della musica italiana.
Qualche anno fa un bell’articolo di Rock.it  leggeva commentando il testo di questa canzone, il peso di un periodo conosciuto come “anni di piombo”.
Scritta in un 1978 pieno di giornate buie (il delitto Moro, gli atti di  terrorismo, la morte naturale di Paolo VI e quella più chiacchierata del suo successore Giovanni Paolo I,  le dimissioni del Presidente Leone, sospettato di corruzione)  l’anno che verrà" non concludeva solo l’LP in cui era inserita (Lucio Dalla), ma concludeva idealmente gli anni '70.
Secondo l’autore dell’articolo, Lucio Dalla quando scrive i versi "Si esce poco la sera compreso quando è festa / e c'è chi ha messo dei sacchi di sabbia vicino alla finestra" allude alla paura della violenza terrorista e criminale che in quel periodo tempi  portò molte persone a chiudersi letteralmente in casa, fatto questo raccontato da molti film dell’epoca.
"L’anno che verrà" interpretava  un sentimento diffuso tra gli Italiani, ovvero la stanchezza  per il clima di violenza e  per le difficoltà economiche in cui riversava l’Italia.
Grazie anche all’impegno di indimenticati uomini delle forze dell’ordine (Carlo Alberto Dalla Chiesa in testa e con lui tanti amici più o meno noti della famiglia professionale della sicurezza) gli anni 70 sono passati ed hanno lasciato il posto agli anni 80 che tutti  in Italia – chi per esperienza, chi per mito – ricordiamo con tutt’altra memoria.
Sentendo la canzone adesso, in una playlist su Spotify, il testo suona  diverso, ma sempre ironicamente attuale…stiamo tutti guardando  il mondo dalla telefevisioni e dai computer  delle case e degli uffici in cui ci siamo rifugiati; abbiamo messo “protezioni” alle finestre  e… di sicuro “si esce poco la sera, compreso quando è festa.
Stiamo aspettando che l’anno nuovo ci porti una trasformazione, ma  ognuno di noi con il proprio impegno quotidiano a garantire la sicurezza, sta già  mettendo le basi per sconfiggere questo nuovo impalpabile nemico.
Insieme alla speranza di uscire da questa crisi ed alla certezza  del contraccolpo economico l’anno che  verrà  vede molte altre crisi non risolte affollare lo scenario mondiale: l’emergenza climatica sempre più cogente, il probabile esacerbarsi dello scontro economico tra Usa e Cina, le incertezze di una  Brexit  ora certa, la partenza di una nuova presidenza Americana cosi divisa da sembrare italiana, le tante “piazze” che, passato la fase di chiusura, rischiano di infiammarsi nuovamente in tutto il mondo.
La nostra professione verrà messa alla prova: la resilienza e la sostenibilità delle nostre aziende di cui tanto si è parlato in questi anni costituiscono il banco di prova della nostra professione.
Solo, preparando le nostre aziende a resistere, potremo garantirne la sicurezza e  contribuire alla rinascita del Belpaese  dopo questa grande crisi infinita, per uscirne  in piedi, più forti. Avanti tutta!
 
“L'anno che sta arrivando tra un anno passerà, Io mi sto preparando, è questa la novità”