Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Domenica, 29 Maggio 2022
L’approccio alla Cybersecurity adottato dal sistema aeroportuale italiano: un esempio di integrazione tra discipline già in essere per il raggiungimento del risultato - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

L’approccio alla Cybersecurity adottato dal sistema aeroportuale italiano: un esempio di integrazione tra discipline già in essere per il raggiungimento del risultato - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

GENNAIO 2022

Il settore aeroportuale quale componente strategica nazionale costituisce un sistema complesso nel quale operano soggetti diversi e fornisce una varietà di servizi finalizzati ad assicurare il massimo livello di efficienza e sicurezza al passeggero. Inoltre, il sistema aeroportuale concorre in modo determinante allo sviluppo economico e sociale del Paese garantendo la mobilità delle persone e delle merci a livello nazionale e internazionale. L’approccio cyber seguito dal sistema aeroportuale, la cui componente rappresentata dalle società di gestione aeroportuale è attiva nell’ Associazione Gestori Aeroporti Italiani (Assaeroporti1) che ne è stata il propulsore, è stato orientato ad indirizzare la tematica della cybersecurity all’interno del complesso della regolamentazione del trasporto aereo, in cui, oltre alla tradizionale declinazione del concetto di “sicurezza” intesa nella duplice accezione di safety e security - se ne aggiunge ora un’altra, quella informatica. Quest’ultima interessa in maniera trasversale tutta l’attività della gestione aeroportuale, interfacciandosi, in modalità diverse ed articolate, con tutte le funzioni aziendali operative ed amministrative e con le entità istituzionali che nel settore ne assicurano la fruibilità ed il funzionamento a tutela del libero e sicuro esercizio del trasporto aereo, inteso come
assistenza al volo ma anche in termini di difesa e sicurezza. La minaccia cyber, infatti, richiede in primo luogo una risposta coordinata “pubblico-privato” di tipo nazionale. Nessuno dei due attori può rispondere singolarmente a questi rischi: il privato, nel settore del trasporto aereo, anche come concessionario di pubblico servizio, non può controllare la totalità delle minacce di tipo cyber che, per loro natura, possono giungere da chiunque e da ogni parte del mondo; ed il pubblico ha bisogno del privato/concessionario che gestisce il servizio pubblico, indirettamente o direttamente. Va infatti ricordato, peraltro, come la messa in sicurezza degli assetti nazionali, tra i quali rientrano le infrastrutture critiche, è stata definita nel “Piano nazionale per la protezione cibernetica e la sicurezza informatica” secondo tre livelli di difesa: sicurezza nazionale dello Stato (Comparto Intelligence, Difesa, Interno, altre amministrazioni CISR); infrastrutture critiche nazionali (TLC, utilities, settore finanziario, trasporto) e altre amministrazioni pubbliche sensibili (Sanità, ecc.); tessuto produttivo nazionale, cittadinanza.
Tenendo conto dei suddetti livelli di difesa, il principio base adottato individuato, grazie al lavoro approfondito, ed integrato con le direttive delle istituzioni competenti, svolto dal gruppo “Cybersecurity” in Assaeroporti, ha proposto la gestione dello specifico rischio come “strutturale” all’attività stessa e, conseguentemente, attinge da tutte le materie già applicate dai vari attori del sistema del trasporto aereo in generale ed aeroportuale, proponendo i principi per la gestione della cybersecurity nel trasporto aereo, messi a sistema con quelli di safety e security (ma anche aziendali) coordinati tra loro in un unicum. Il tema della sicurezza informatica, tradizionalmente confinato nel mondo Information Communication Technology, viene così esteso agli ulteriori ambiti dell’aviation security, della security aziendale tradizionale, della safety, della privacy, del risk management, della corporate governance, della compliance e del government liaisoning, non come disciplina aggiuntiva ma come declinazione di quelle già esistenti, alla dimensione informatica, trovandosi già naturalmente allineata con l’impianto procedurale dello standard ISO 27001 e quindi, successivamente, anche con le Linee guida di settore per gli operatori di servizio essenziali come individuati dall’Autorità NIS dei rispettivi Ministeri. Ciò in linea con la condivisibile affermazione che “...la prospettiva della cyber security non sia considerata semplicemente un aspetto tecnologico, ma impone piuttosto la considerazione dei doveri complessivi di natura giuridico-formale e i principi di utilità sociale verso cui pubblico e privato, per necessità e doverosità, devono convergere”.
La particolare attenzione nel settore aeroportuale al rischio “cyber” nasce e si sviluppa prontamente in relazione al grave rischio rappresentato dal cyber-terrorismo, le cui comprovate capacità materiali mostrano che attacchi digitali su larga scala sono una possibilità molto reale. Il settore del trasporto aereo, proprio per la tecnologia e la visibilità che lo caratterizza, si è perciò da subito attivato, proprio per l’ingente danno economico che tali attacchi informatici potrebbero causare in luogo di attacchi terroristici tradizionali, anche solo attraverso l’interruzione di energia elettrica, ma anche per il possibile utilizzo di attacchi informatici come prodromici ad attacchi terroristici propri (ad es. il blocco dei sistemi di informativa voli al pubblico per creare assembramenti per concomitanti attacchi attraverso “suicide bombers”). Il mondo dell’aviazione - che si tratti di compagnie aeree o di aeroporti - è inoltre certamente esposto ad attacchi cyberwarfare nell’ambito delle nuove tipologie ibride di belligeranza.
In sintesi, le infrastrutture ICT di un aeroporto sono essenziali per l’efficienza, la regolarità e la continuità delle operazioni aeroportuali - fondamentali per il trasporto aereo - ed è per tale motivo che gli aeroporti devono dotarsi di misure di sicurezza adeguate a difesa da attacchi cyber perfettamente integrate in tutto il modello organizzativo ed operativo del sistema aeroportuale.
L’approccio alla cyber security per il settore aeroportuale come integrazione tra i modelli di safety, security e di governance societaria.
La sicurezza è a tutti gli effetti prioritaria per l’intero settore e si declina tradizionalmente nelle due diverse accezioni di safety e di security, dove la prima è intesa come insieme coerente di attività e azioni tese allo sviluppo della sicurezza del volo, in termini di tutela dell’incolumità delle persone e dei beni coinvolti nelle operazioni aeronautiche in senso lato, mentre la seconda è intesa come insieme di misure volte a impedire che vengano commessi atti di interferenza illecita nei confronti di aeromobili civili che mettano in pericolo la sicurezza dell'aviazione civile. Per sua natura, il settore aeroportuale è già predisposto ad assumere un modello organizzativo societario che puntualmente descrive modalità organizzative certe, formalizzate e improntate a una chiara definizione di responsabilità e ruoli come richiesto dalla normativa a cui gli operatori del trasporto aereo devono conformarsi. La gestione del rischio rappresenta uno degli aspetti di maggior rilievo all’interno del sistema di gestione aeroportuale che si sviluppa nei diversi profili di seguito indicati.
Il profilo “Aviation Safety”: la sicurezza delle operazioni di volo è garantita da un complesso di regole nazionali, comunitarie e internazionali e dall’attività di sorveglianza dell’ENAC volta a verificare l'applicazione di tali regole. Fondamento delle stesse è la normativa internazionale che si basa sugli standard e sulle raccomandazioni contenute negli Allegati tecnici (Annessi) alla Convenzione di Chicago, che ha istituito nel 1944 l'Organizzazione per l'Aviazione Civile Internazionale (ICAO). Con riferimento agli aeroporti, parte dei suddetti standard e raccomandazioni è stata recepita dal Regolamento (CE) n. 216/2008 e dal Regolamento (UE) n. 139/2014 che, tra gli altri aspetti, impongono al gestore aeroportuale l’attuazione di un sistema di gestione che comprenda un safety management system (SMS) quale approccio sistematico alla gestione della sicurezza, comprese le necessarie strutture organizzative, responsabilità, politiche e procedure. Tale normativa offre gli strumenti di cui allineata con l’impianto procedurale dello standard ISO 27001 e quindi, successivamente, anche con le Linee guida di settore per gli operatori di servizio essenziali come individuati dall’Autorità NIS dei rispettivi Ministeri. Ciò in linea con la condivisibile affermazione che “...la prospettiva della cyber security non sia considerata semplicemente un aspetto tecnologico, ma impone piuttosto la considerazione dei doveri complessivi di natura giuridico-formale e i principi di utilità sociale verso cui pubblico e privato, per necessità e doverosità, devono convergere”.
La particolare attenzione nel settore aeroportuale al rischio “cyber” nasce e si sviluppa prontamente in relazione al grave rischio rappresentato dal cyber-terrorismo, le cui comprovate capacità materiali mostrano che attacchi digitali su larga scala sono una possibilità molto reale. Il settore del trasporto aereo, proprio per la tecnologia e la visibilità che lo caratterizza, si è perciò da subito attivato, proprio per l’ingente danno economico che tali attacchi informatici potrebbero causare in luogo di attacchi terroristici tradizionali, anche solo attraverso l’interruzione di energia elettrica, ma anche per il possibile utilizzo di attacchi informatici come prodromici ad attacchi terroristici propri (ad es. il blocco dei sistemi di informativa voli al pubblico per creare assembramenti per concomitanti attacchi attraverso “suicide bombers”). Il mondo dell’aviazione - che si tratti di compagnie aeree o di aeroporti - è inoltre certamente esposto ad attacchi cyberwarfare nell’ambito delle nuove tipologie ibride di belligeranza.
In sintesi, le infrastrutture ICT di un aeroporto sono essenziali per l’efficienza, la regolarità e la continuità delle operazioni aeroportuali - fondamentali per il trasporto aereo - ed è per tale motivo che gli aeroporti devono dotarsi di misure di sicurezza adeguate a difesa da attacchi cyber perfettamente integrate in tutto il modello organizzativo ed operativo del sistema aeroportuale.
L’approccio alla cyber security per il settore aeroportuale come integrazione tra i modelli di safety, security e di governance societaria.
La sicurezza è a tutti gli effetti prioritaria per l’intero settore e si declina tradizionalmente nelle due diverse accezioni di safety e di security, dove la prima è intesa come insieme coerente di attività e azioni tese allo sviluppo della sicurezza del volo, in termini di tutela dell’incolumità delle persone e dei beni coinvolti nelle operazioni aeronautiche in senso lato, mentre la seconda è intesa come insieme di misure volte a impedire che vengano commessi atti di interferenza illecita nei confronti di aeromobili civili che mettano in pericolo la sicurezza dell'aviazione civile. Per sua natura, il settore aeroportuale è già predisposto ad assumere un modello organizzativo societario che puntualmente descrive modalità organizzative certe, formalizzate e improntate a una chiara definizione di responsabilità e ruoli come richiesto dalla normativa a cui gli operatori del trasporto aereo devono conformarsi. La gestione del rischio rappresenta uno degli aspetti di maggior rilievo all’interno del sistema di gestione aeroportuale che si sviluppa nei diversi profili di seguito indicati.
Il profilo “Aviation Safety”: la sicurezza delle operazioni di volo è garantita da un complesso di regole nazionali, comunitarie e internazionali e dall’attività di sorveglianza dell’ENAC volta a verificare l'applicazione di tali regole. Fondamento delle stesse è la normativa internazionale che si basa sugli standard e sulle raccomandazioni contenute negli Allegati tecnici (Annessi) alla Convenzione di Chicago, che ha istituito nel 1944 l'Organizzazione per l'Aviazione Civile Internazionale (ICAO). Con riferimento agli aeroporti, parte dei suddetti standard e raccomandazioni è stata recepita dal Regolamento (CE) n. 216/2008 e dal Regolamento (UE) n. 139/2014 che, tra gli altri aspetti, impongono al gestore aeroportuale l’attuazione di un sistema di gestione che comprenda un safety management system (SMS) quale approccio sistematico alla gestione della sicurezza, comprese le necessarie strutture organizzative, responsabilità, politiche e procedure. Tale normativa offre gli strumenti di cui cybercriminali, attivisti o da nazioni straniere (cyberwarfare), oltre al danno operativo e reputazionale, possono arrecare danni finanziari ingentissimi a causa del blocco o malfunzionamento dell’attività aeroportuale. Per tale motivo non va sottaciuto l'Enterprise Risk Management (ERM), strumento istituito allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale, complessivamente intesa, attraverso un modello integrato che intende comprendere tutti i rischi aziendali. Da ultimo, ma certamente non per rilevanza, va citato il sistema procedurale per l’integrità dei dati come da GDPR, ormai ampiamente integrato nelle procedure di gestione dei dati e per i rischi di Data breach, ed il ruolo fondamentale del Data Protection Officer.
Conclusione. Come riferito in precedenza, la peculiarità del settore del trasporto aereo e delle società di gestione aeroportuale in particolare, consiste nel fatto che le stesse sono già fortemente orientate alla gestione del rischio, nei diversi profili di responsabilità del settore aviation, in particolare, e societario in generale, che già prevedono precise definizioni di competenze attribuite alle diverse figure che coinvolgono direttamente o indirettamente il top management (es. accountable manager, postholder, organismo di vigilanza ex Dlgs. 231/01, comitato di controllo dei rischi, sistema del controllo interno, security manager, ecc.). Di conseguenza, il top management aziendale è nelle condizione di agire correttamente nelle scelte finalizzate a ridurre il rischio di cybersecurity, riconoscendo nei modelli organizzativi, nelle procedure e nei sistemi di controllo interno già esistenti, lo strumento più idoneo per gestire i propri processi decisionali, facendo sì che la gestione della policy in materia cyber, come parte integrante delle operations, possa ritenersi un valido strumento di crescita e di sviluppo, mettendo a fattor comune le responsabilità e i modelli organizzativi.

Dott. Alberto Caruso De Carolis

(Newletter AIIC n. 1 (2022))