This presentation is for Oracle Security Comunity, presented in Feb. 2011 at Oracle meeting in Milano. I speak about AIIC (Associazione Italiana Esperti in Infrastrutture Critiche), About CIP and ECI (Critical Infrastruture Protection) and European Critical Infrastructure. SCADA Protection and related strategies

1. AIIC: Associazione Italiana Esperti in Infrastrutture Critiche, le IC e le ICEe la Protezione da rischi informatici di Reti e Sistemi di Telecontrollo e Controllo di impianti ed infrastrutture Enzo M. Tieghi – Consigliere di AIIC etieghi@servitecno.it 1 Febbraio 2011 - Oracle Security Comunity

2. Chi siamo: Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it

3. IC: Infrastrutture Critiche, cosa sono? «per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessereeconomico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».

5. Metodologie

6. Tecnologie

7. Consapevolezzain grado di gestire correttamente le infrastrutture con una particolare attenzione alle situazioni di crisi

8. Il primo risultato dello “sforzo congiunto” :GdL alla Presidenza del Consiglio dei Ministri È il primo testo italiano ad avere avuto come obiettivo quello di delineare l’argomento, evidenziando gli aspetti di maggiore interesse e criticità per il sistema Paese

9. Alcuni dei risultati prodotti dal Gruppo di Lavoro dell’ ISCOM

10. Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it

11. La rivista: Safety & Security Organo ufficiale dell’AIIC Contiene articoli tecnici e divulgativi sul tema delle Infrastrutture Critiche trattati da esperti dei vari settori industriali Tirato in 8.000 copie è diffuso tra i principali operatori del settore […] uno scenario aggiornato del contesto competitivo del settore della sicurezza fisica e della sicurezza logica in Italia […]

13. Bandi

14. Incontri

16. Sezione dedicata ai documenti istituzionali prodotti dai diversi governi (US, UK, ecc.)

17. Versione in formato elettronico dei principali articoli apparsi sulla rivista Safety&Security

18. Newsletter elettronica a cadenza mensilewww.infrastrutturecritiche.it

20. Quale l’impatto nazionale?

21. Quale l’impatto sui singoli owners?

22. È immaginabile una prospettiva di analisi per la standardizzazione?

23. Qual è il ruolo degli esperti?

25. ICE: Infrastrutture Critiche, cosa sono? Critical Sectors in EU - 2006

26. Cosa ha fatto e cosa sta facendo AIIC Analisi dell’impatto della proposta di direttiva Consultazione sui possibili effetti dell’implementazione della direttiva Cross-analysis sulle esperienze globali (analisi comparata dei sistemi CIP) Consultazione con Istituzioni per uk recepimento/Attuazione in Italia della direttiva 2008/114/CE La AIIC è stata coinvolta nel processo di approvazione della Direttiva Europea sulla Protezione delle Infrastrutture Critiche ed è presente, direttamente o con i suoi soci, nei principali tavoli nazionali e internazionali che si occupano della tematica

27. Alcune immagini 15

28. AIIC – Consiglio Direttivo (2011-13) : Presidente: Sandro Bologna (ricercatore) Vicepresidenti: Bruno Carbone (Enav), Silvio Fantin (GSE), Segretario: Roberto Setola (Univ. Roma Campus Biomedico) Tesoriere Guido Pagani (Banca d’Italia) Consiglieri: Emiliano Casalicchio (Univ. Roma Tor Vergata), Gregorio D’Agostino (Enea), Dario de Marchi (Acquirente Unico), Luisa Franchina (Pres.Cons.deiMinistri Dip. Protez. Civile), Stefano Panzieri (Università Roma Tre), Andrea Rigoni (Poste ItGC-SEC Global Cyber Security Center) Enzo Maria Tieghi (ServiTecno)

29. AIIC Associazione Italiana esperti in Infrastrutture Critiche Per Associarsi: http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it

30. Enzo Maria Tieghi, socio AIIC, Socio CLUSIT Gestire e proteggere da rischi informatici reti e sistemi di Supervisione, Controllo, Monitoraggio e Telecontrollo di impianti nelle infrastrutture e nelle utility

31. Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 19

32. Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 20

33. Security e sistemi (secondo ISA95) Level 4 Business Logistics Plant Production Scheduling, Shipping, Receiving, Inventory, etc IT Security Policies and Practices (ISO 27000- 20000 Level 3 Common technologies, policies and practices Manufacturing Operations Management Dispatching, Detailed Production Scheduling, Production Tracking, ... Mfg Security Policies and Practices (ISA 99) Level 2 Batch Production Control Discrete Production Control Continuous Production Control Process Safety (ISA 84, IEC 61508, IEC 61511) Level 1 The production processes Level 0

34. SCADA, Retidiimpianto & IT

35. Incidenti del passato (+ altri recenti… ) Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni ‘80 sino a casi decisamente recenti.

36. Whatcom Falls Park “About 3:28 p.m., Pacific daylight time, on June 10, 1999, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that flowed through Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18-year-old young man died as a result of the accident. Eight additional injuries were documented. A single-family residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million.”

38. Technical details “The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package.”

42. Corriere della Sera 21.10.2009

43. … e Stuxnet? (2010)

44. Reti Cablate e Reti Wireless

45. Il wireless arriva in fabbrica Smart Wireless Smart Control Systems Smart Analytical Smart AssetOptimization Smart Measurement Smart FinalControl Smart MachineryHealth Smart Safety 33

46. Ergonomia http://www.metroland.org.uk/signal/amer01.jpg Eravamo abituati a…

47. Ergonomia Oralavoriamo In mododiverso. http://www.ihcsystems.com/section_n/images/efficientdredgingnewsapril2005_Page_09_Image_0002.jpg

48. Operatori, SCADA e Daltonismo N.B. nel mondo occidentale, 1 uomo su 12 (8%)

49. Enzo Maria Tieghi etieghi@servitecno.it