In un recente articolo Infrastructure Protection in the Ancient World (il link rimanda a un pdf) Michael J. Assante, traccia un interessante parallelo tra le attuali problematiche di difesa delle infrastrutture critiche USA e quelle che gli antichi romani ebbero nel costruire, mantenere e difendere il loro vasto sistema di acquedotti.
Con infrastruttura critica si intende un sistema la cui distruzione o interruzione (anche parziale) ha l’effetto di indebolire in maniera significativa la sicurezza ed il sistema economico e sociale di una nazione: esempi tipici sono le infrastrutture elettriche e di telecomunicazioni, i sistemi di trasporto, le aziende, le banche e le amministrazioni più importanti. Dopo gli attentati dell’11 settembre 2001, la protezione delle infrastrutture critiche (Critical Infrastructure Protection) è diventato un tema centrale della politica USA ed è al centro anche delle strategie di cyber difesa dato che ormai i sistemi informativi sono pervasivi in tutte le infrastrutture.
Nel suo studio, Assante da un lato ricostruisce le diverse fasi storiche nella progettazione e realizzazione degli antichi acquedotti romani e dall’altro mostra le similitudini con l’attuale sistema di distribuzione dell’energia elettrica negli USA. La tesi di Assente è che si possono trarre degli interessanti suggerimenti da come agivano gli antichi romani anche tenendo conto degli sbagli che furono fatti. Lo studio rivela che all’inizio gli acquedotti venivano costruiti avendo in mente le necessità di sicurezza: i canali venivano ad esempio interrati o resi poco visibili proprio per evitare i danneggiamenti per mano delle tribù nemiche.
Ma via via che l’Impero si rafforzò ed allargò i propri confini gli acquedotti divennero non solo un mezzo per rifornire di acqua le città ma anche un simbolo della potenza di Roma: i possibili attaccanti erano ormai al di là delle frontiere e dunque una (errata) analisi del rischio spinse le autorità a sottovalutare le problematiche di sicurezza ed a realizzare grandiosi acquedotti sempre più visibili e vulnerabili. Quando i romani si accorsero che nuove minacce si affacciavo all’interno dei loro confini era ormai troppo tardi per proteggere in maniera significativa la rete di acquedotti.
La lezione che possiamo trarre è che è necessario progettare le risorse critiche in modo che siano dotate ab initio di funzionalità di sicurezza (built-in security): cercare di mettere in sicurezza infrastrutture così vaste in un secondo momento è economicamente fallimentare.
Lo studio fornisce numerosi altri spunti per la riflessione ad esempio su chi dovrebbe essere responsabile per la sicurezza di tali infrastrutture o sugli effetti (a volte perversi) che le nuove tecnologie possono inaspettatamente indurre per cui consiglio caldamente a tutti coloro che si occupano di sicurezza la lettura dell’articolo.
Per concludere ecco alcuni riferimenti interessanti per chi vuole approfondire il tema della difesa delle infrastrutture critiche nazionali:
- AIIC: Associazione Italiana esperti in Infrastrutture Critiche;
- Programma europeo di protezione delle infrastrutture critiche;
- Sandro Bologna, Roberto Setola, Salvatore Tucci,
“Le infrastrutture critiche informatizzate” (pdf, 474 K, 12 pp), in “Mondo Digitale” n.4, dicembre 2005; - Guida internazionale per la protezione delle infrastrutture critiche informatizzate;
- L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook;
- CIP – Critical Infrastructure Protection su Wikipedia (in inglese).