• Home

  • Documents

  • (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf
16

(Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Embed Size (px)

Citation preview

Page 1: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf
Page 2: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201222

PRIMO PIAN

O

Èdiventato un leitmotif: viviamo un periodo di intensi cambiamenti, con-naturati da virtualità, aleatorietà, rischio, incertezza. L’Uomo, tuttavia,e le istituzioni del Gruppo organizzato soprattutto, devono avere po-chi ma chiari valori guida. Altrimenti è facile perdere la rotta!Il concetto di “benessere del Paese” e di “Interesse dello Stato”, in-

seriti nella nostra Grundnorme, sono tra quelli. Tra l’altro, ne deriva l’importanzadi perseguire una strategia propria del “Sistema Paese”, anche se inserita al-l’interno di contesti economico-sociali più vasti (come la UE e la NATO) (2) e conun criterio di efficienza all’interno del “burden sharing” nel contesto di alleanze.Al cuore di questo “sistema” sta il concetto di “Infrastruttura Critica”, già defi-nita come “impianto sensibile”. Si va dalle reti di energia, fino alle menti umane,dal “paniere” nazionale di invenzioni alla tecnologia condivisa dalla comunitàscientifica o da comunità di competenza. Nel complesso, come si vede, si trattadi situazione di rilevante importanza economica. Sta anche il concetto di “Si-curezza”, sia essa fornita da una funzione interna alle aziende, ovvero affidatain outsourcing; vi rientra tuttavia, anche il concetto di “sicurezza condivisa” coni Cittadini.Essenziale, tuttavia, è che queste considerazioni siano conosciute e condiviseda quanti più cittadini possibile in quanto, lungi dall’immaginare uno stato di po-lizia o peggio assolutista, un sistema socio-economico giusto ed equo non puònon essere – oggi – anche efficiente ed efficace.

Resilienza al tempo delle cyber-war

Counterintelligence per leinfrastrutture critiche nazionali1

Il presente lavoro nasce per illustrare come, all’interno delle organizzazionieconomico-sociali, la preparazione e la formazione adeguate evitano odiminuiscono possibili problemi di tipo, economico, fisico, informatico,

organizzativo.

Carlo C. Carliavvocato, consigliere giuridico militare

Page 3: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

PRIMO PIANO

I - Consapevolezza e comunicazione del rischioSICUREZZA NAZIONALE AL TEMPO DELLA INFO(PSYCO/CYBER) WARFARELa conflittualità che oggi si vive (spesso tra entità che si sa-rebbe detto “asimmetriche” tra loro) incide non solo sulle di-namiche politiche globali, con attenzione particolare alle vi-cende europee, ma anche sul mondo della comunicazionee dell’informazione, strumenti ormai imprescindibili per laconduzione di una politica estera realmente efficace. Nelmondo attuale, quindi, la conflittualità perlopiù non avvienepiù – neppure tra stati o tra sotto-sistemi – in modo bina-rio, ma multidimensionale (3).Oggi si parla di guerra nella noosfera, intendendo in primoluogo campi come la informazione, la comunicazione vir-tuale e la cibernetica. Volendo evidenziare i maggiori aspettidi novita’ emersi dalla storia contemporanea, possiamo farriferimento a:1. la centralita’ dell’informazione, che si manifesta travali-

cando le distanze, influenzando le scelte politico-militari,conferendo maggiore influenza o togliendola, manife-standosi secondo una modalita’ universale e interdi-pendente;

2. la diffusione di una violenza determinata da passioni cul-turali, etniche caratterizzate da spietata brutalita’.

3. la trasformazione del concetto di spazio: accanto aquello geopolitico si affaccia la noosfera e si affianca l’in-fosfera, dimensione per eccellenza della manipolazione,il cyberspazio nel quale l’informazione numerica circolae permette l’interazione degli attori.

Ebbene l’insieme di questi primi elementi determina laguerra “cibernetica”, che puo’ prendere forma ora nel cy-ber-terrorismo ora nella cyber-propaganda e che attra-verso la moderna facilità di adire le vie di comunicazione(internet, aria, acqua, energia, moneta virtuale, …) con-sente agli attori (già definiti “asimmetrici” – es.: ANONY-MOUS) di avere un contatto diretto con il pubblico; a cuisi somma l’eventuale azione dei media.

4. l’approccio strategico indiretto - sorto con Sun-tzu e svi-luppato dal Patto di Varsavia - finalizzato a modificare ilsistema nemico.

5. l’altra caratteristica consiste – non nella ricerca della su-periorita’, come nella guerra tradizionale, ma - nella con-

versione in debolezza della superiorita’ dell’avversario(come nei conflitti dei guerriglieri in Vietnam edell’E.Z.L.N. nel Chiapas).

L’obiettivo della guerra detta “asimmetrica” non è quindi ne-cessariamente l’annientamento fisico dell’avversario, ma ilsubentrare nella sua gestione del potere, sostituendolonella gestione delle menti dei soggetti gestiti.I motivi di ciò possono essere almeno tre: (1) imperandooggi il concetto di “fluidità” (4) – propria anche di fenomeniquali le istituzioni – , le strutture economico-giuridiche ri-schiano il collasso se non sono “condivise” (posto cheoggi sono sempre più “orizzontali”). (2) i rapporti sono sem-pre più “virtuali”, anzi gli effetti sono aumentati dalla estremainterconnettività tra persone, automi, istituzioni e fanno tro-vare tali soggetti in concorrenza tra loro (già in alcune partidel mondo si trova la “connettività tra persone” o internet2

23

Page 4: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201224

PRIMO PIAN

O

e già è stato ideato internet 3 o interconnessione tra cose).(3) il carattere di “asimmetria” che ha caratterizzato il mondodelle relazioni umane negli ultimi decenne, sta così modifi-candosi, dando la possibilità di competere tra strutture,cose, persone, automi altrimenti non comparabili tra loro.Esenmplificati di cià è il terrorismo o la pirateria che riesconoa tenere in scacco entità economicamente e giuridica-mente molto più complesse e strutturate.Una base di Cittadini, Consumatori, Professionisti, Dipen-denti istruita e consapevole delle problematiche della Si-curezza è la chiave per il successo di uno Stato consape-vole dell’esistenza del Rischio (dove la verità è che non si

è mai ‘preparati’, si può solo essere ‘pronti’) e di un pro-gramma aziendale od istituzionale efficace. L’importanza delfattore umano coinvolto nella sicurezza non può e nondeve essere sottovalutata.Il presente lavoro nasce per illustrare l’esigenza di far arri-vare prepotentemente un messaggio all’interno (comuni-candone i contenuti all’esterno) delle varie organizzazionieconomico—sociali non proprio ovvio nella pratica: la pre-parazione e la formazione adeguate evitano o diminui-scono possibili problemi. Mi riferisco a problemi di ogni tipo,economico, fisico, informatico, organizzativo.Questo messaggio “evangelico” – come sanno bene coloroche lavoro per o all’interno di aziende - viene fin troppospesso a collidere con le esigenze di budget, quando pureaddirittura proprio non rientra nella vision aziendale.Tale quadro fattuale viene però, oggi, a rendere conto allerecenti e sempre più espansive regolamentazioni in tema disicurezza – veri obblighi per le aziende, spesso anche pe-nalmente sanzionati – o, come meglio si può descrivere initaliano di “safety & security” (a cui bisogna aggiungerel’Emergency). Tuttavia, una scarsa conoscenza dellascienza della sicurezza presuppone che essa sia un argo-mento di contorno rispetto ad altre discipline. In realtàessa è una scienza assolutamente indipendente, ma ac-compagna sotto varie vesti moltissime discipline. Essa pre-senta moltissime branche, poiché in questo modo riesce adinterfacciarsi nel migliore dei modi alle varie discipline chesono correlate all’attività umana. La sicurezza infatti deve inogni momento circondare la persona e i luoghi in cui sisvolge ogni sua attività.Quando si parla di “scienza della sicurezza” non si inten-

dono solo delle sotto-branche della sicurezza (5). Ad esem-pio, l’ingegneria della sicurezza, anche se impiegata in di-versi settori (automobili, case e strade), è solo l’applicazionedi studi e ricerche di tecnologie d’avanguardia per preve-nire e proteggere da potenziali rischi sia nella sua singola-rità che nella sua socialità.La scienza della sicurezza talvolta è stata vista come un ar-gomento specifico del commercialista o dell’ISPESL ocome un costo aggiuntivo di qualche budget aziendale. Ècosì anche diffusa la credenza che la sicurezza sia compitodegli altri, dello Stato, dei medici, della Polizia, delle istitu-zioni. Invece il primo ad essere responsabile per la propriae l’altrui sicurezza è la persona stessa, poi ovviamente an-che le organizzazioni di persone che a vario titolo esistono.A livello internazionale si utilizzano normalmente tre termini

Ogni area della scienza della sicurezza tratta un aspettoparticolare della vita della persona, creando un insieme

organico di cognizioni e misure, al fine di produrre comerisultato l'incolumità e il benessere della persona e di

conseguenza della collettività

Page 5: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

PRIMO PIANO

per definire i concetti di “Sicurezza”: safety, security edemergency.• safety: fa riferimento all’incolumità della persona (ad

esempio la lotta al terrorismo), antinfortunistica; l’incolu-mità va intesa non solo dai danni fisici ma anche da quellimorali, spirituali e indiretti.

• security: ha più un significato di cultura, di studio e ge-stione della sicurezza per la realizzazione di misure per laprevenzione, porre in essere misure per la sicurezza delleinformazione riservate/segrete. Tali misure possono es-sere materiali e infrastrutturali, ma soprattutto formativeed informative, atte a far conoscere il rischio e quindi evi-tare il pericolo.

• emergency: fa riferimento a tutte quelle attività di sicu-rezza personali e sociali che devono essere messe in attonel caso in cui il compito della security non sia suffi-ciente. Riguarda quindi la protezione e il contenimento delpericolo.

La scienza della sicurezza è quindi la disciplina che studiail rischio (ma auspicando quello definito come “accettabile”)nelle sue varie forme, dirette ed indirette, e ad essa fannoriferimento molte aree tematiche e molte “sottodiscipline”.Ogni area tratta un aspetto particolare della vita della per-sona, creando un insieme organico di cognizioni e misure,al fine di produrre come risultato l’incolumità e il benessere

(sicurezza) della persona e di conseguenza della collettività.L’obiettivo di questa Scienza è di ridurre il Rischio fino adannullarlo o controllarne le conseguenze; evidentemente,l’eliminazione completa del rischio è matematicamente im-possibile, anche perché le variabili sono infinite ed impon-derabili. Il rischio che non si riesce ad eliminare viene defi-nito rischio residuo. A volte, con “danni collaterali” (6).Criteri generali della scienza della sicurezza sono:• Conoscenza: indica l’analisi del contesto operativo. Dal-

l’inconsapevolezza, dal non conoscere, dal non avere lagiusta percezione del rischio, nasce l’errore inteso come“situazione di rischio”. La conoscenza preventiva è ilprimo criterio di sicurezza. Il secondo è la “consapevo-lezza del rischio”, sia personale che ambientale. En-trambe quindi formano la “percezione” del rischio (7). Il mi-glioramento della sicurezza deve fondarsi su basitecniche, normative, con confronti con altre realtà e nonsoltanto dopo l’analisi e lo studio di un evento.Il concetto contemporaneo di sicurezza che chiama incausa il Security manager abbraccia un contesto moltoampio (8).

• Rischio: l’analisi della rischiosità di eventi e siti, rapporti epersone, dà la possibilità di creare un piano di preven-zione al fine di ridurre, contenere o evitare danni o co-munque effetti non desiderati. Concetto diverso è invecequello di “pericolo”.

• Ciclo della sicurezza: è un “ciclo virtuoso” composto datre momenti:- analisi: comprende lo studio legislativo, normativo, am-

bientale, personale, professionale, delle attività e deiprocessi.

- misure: prevedono due grandi famiglie: quelle relativealla prevenzione e quelle relative alla protezione. Le mi-sure possono essere attive, passive, strutturali, im-piantistiche, amministrative o disciplinari.

- gestione: è la parte che deve mantenere in vita la sicu-rezza con studi, aggiornamenti, formazione, informa-zione, manutenzione, verifiche, esercitazioni, piani disicurezza e adeguamenti.

Risk management è la professione che considera questi cri-teri. Sostanzialmente è costituita da analisi del rischio glo-bale e da relativa gestione, attraverso: esame di scenari delrischio, strategia di gestione e controllo del rischio, identi-ficazione e valutazione del rischio, rischio della stessa com-

pliance, strumenti di controllo, enterprise risk management

e crisis management.Ad essa è strettamente connessa la strutturazione della fun-zione della security e le sue interrelazioni interne ed esterne,la collocazione organizzativa nonché la missione ed il ruolodella funzione di security.Rientra in questo campo l’attività preliminare di intelligence:analisi del territorio, dell’azienda, del contesto competi-tivo, delle vulnerabilità, delle tipologie di rischio di un ap-

25

Page 6: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201226

PRIMO PIAN

O proccio integrato di tutela ambientale, scelta delle opzionidi security nonché tecnologie di supporto dell’ homeland

security.Governo della security: impresa e qualità, certificazionedei sistemi e delle professionalità,le norme ISO 150 9000e loro evoluzione, il sistema della gestione aziendale se-condo UNI EN ISO 9004, la security nei contratti esterni,nella sicurezza privata, la selezione, l’utilizzo e la gestionedei servizi di sorveglianza, l’organizzazione della sicurezzapubblica e privata, la definizione di una security policy, la si-curezza del top management, la tutela del patrimonio in-formativo.

SICUREZZA E QUALITà, binomio inscindibileL’obbligo della previsione di “security” e di “business con-tinuity” managers che gestiscano gli O.S.P.s sono l’esem-pio lampante di tale fenomeno. Fenomeno, ricordiamo,che si può dire sia iniziato con la previsione – a livello eu-ropeo ed internazionale – dei così detti “standards”, sia di

processo che di prodotto.Gli “standards” sono definiti “norme tecniche” ma, neltempo, da ‘disciplinari tecnici’ sono divenuti vera e propriafonte normativa primaria, avendovi le leggi fatto riferimentoe, quindi, riconducendoli nell’alveo dei propri dettati.Successivamente, gli stessi modelli organizzativi della pro-duzione e delle risorse hanno reclamato la presenza di “at-teggiamenti” omogenei, che fossero in grado di garantirequantomeno i presupposti sui quali costruire il risultatoeconomico delle singole aziende. Tra questi ultimi, il fattore“sicurezza” è man mano emerso preponderantemente, an-dandosi a collegare con un fenomeno a carattere giuridico,che è quello della tutela del consumatore. Fenomeno che,tuttavia, è nato proprio per garantire una sorta di “funzionedi controllo qualità” effettuata dall’esterno alla strutturaaziendale.Ecco che “Sicurezza” e “Qualità” si collegano e più volte siriallacciano in un continuum che entra prepotentemente afar parte di quella Cultura aziendale “classica” e forse de-

Page 7: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

finibile anche “etica”. Cultura che oggi declina anche – inmoltissimi, ma non in tutti i Paesi – i termini di “Sostenibi-

lità” nei confronti della Terra e dei Diritti Umani ed “Effi-

cienza”, verso gli interessi economici e sociali non solo delMercato ma della Convivenza civile.Norme sulla sicurezza e modelli di comportamento perevitare le responsabilità amministrative aziendali, regole diautodisciplina sul comportamento etico, codice sulla sicu-rezza sul lavoro, normative ambientali, dettati dei codici ci-vile e giurisprudenza, normative relative internazionali edinoltre il problema della tutela preventiva e successiva delleInfrastrutture Critiche, le previsioni relative al segreto distato, l’aderenza agli standard, i principi di sostenibilità, rap-presentano un quadro di riferimento unitario che, attra-verso un corretto processo di Security Risk Management,permette una sintesi tra norme, attività, esigenze aziendalied esigenze statuali (9).Il concetto stesso di S.R.M. sta a indicare la ricordata Qua-lità - in tutti gli aspetti della gestione - che garantisce cor-rettezza, trasparenza, legalità, controllo e verificabilità deiprocessi, finalizzate non solo alla difesa degli interessi de-gli azionisti di riferimento, ma anche e soprattutto dei varistakeholders (Fornitori, Consumatori, Comunità, Istituzioni).E tale processo è, anzi, collegato al ‘percorso della Qualità’a cui le Aziende si devono improntare per motivi normativi(internazionali, comunitari, statali, locali), regolatori (delle Au-torità amministrative) oltre che di standardizzazione e dietica.Non ultime, le recenti normative in tema di anti-riciclaggio,contrasto al crimine organizzato, anti-terrorismo. Questo èin linea con la moderna tendenza a considerare le Orga-nizzazioni sociali quali parti importanti – a volte addiritturastrutturali e magari anche “critiche” – della civica convi-venza, quindi gangli indispensabili per la gestione orizzon-tale della società e per la creazione del benessere sociale.Il percorso Sicurezza e Qualità diventa quindi vero e proprio‘processo comunicativo di Valore’ (a valenza sia interna cheesterna) che ogni organizzazione anche non commercialeattua, in cui ruolo specifico ed essenziale è fornito – ovvia-mente - dal Security Operational Plan, dal Disaster Reco-very Plan nonché dall’Analisi dei Rischi e dove il Risk As-sessment assume un ruolo di base che contribuisce a

fornire gli elementi necessari alla mitigazione di rischi ed alsoddisfacimento di obblighi connessi all’esercizio di im-presa e, quindi, alla funzione della Security, che pertanto oc-corre si munisca degli strumenti propri della Corporate So-cial Responsability.A ben vedere, qualsiasi decisione strategica importante(come ad es.: apertura di nuovi mercati, istituzione di nuoviinsediamenti, innovazioni tecnologiche, progetti d’inge-gneria complessi, …) possono influenzare la qualità dellavita dei dipendenti o degli stackholders, quindi devono es-sere accompagnati da un processo di analisi e valutazionedei possibili danni alle categorie interessate dall’espletarsidell’attività d’impresa.La “creazione efficiente di valore” risulta quindi oggettiva-mente essere un valido criterio, utile per indirizzare sceltegiuridiche di tutela ed agevolare economicamente le situa-zioni sociali di scambio, relazione, trasmissione di beni.Esempi di ciò si potranno vedere in ogni ambito: nella legi-slazione in tema di “successione di imprese familiari”, inquella relativa alla tassazione dei patrimoni immobiliari,piuttosto che nella legislazione sul lavoro, sugli appalti neisettori esclusi od in quella dei gradi di procedimento giudi-ziario.Ma è lo stesso criterio di razionalità del percorso valore chedisciplina le garanzie nel settore delle IC

INFRASTRUTTURE CRITICHE EUROPEE, il cuore del pro-blemaInfine, non può non rilevarsi la specificità dell’ambientecontestuale in cui ci muoviamo. Come non possiamo nonnotare che le IC sono recentemente venute agli onori dellecronache quasi certamente per l’emergere della necessitàdi costruire sistemi socio economici quanto più possibilesaldi e, quindi, contrastare efficacemente il terrorismo; cosache ha portato il Consiglio dell’Unione Europea a emanarela Direttiva 2008/114/CE, proprio in tema di InfrastruttureCritiche.Come mi insegnate, pur in presenza di contrastate versioni,con tale termine s’identificano sistemi, risorse e processi lacui distruzione, interruzione - o anche parziale o momen-tanea indisponibilità - abbia l’effetto di indebolire in manierasignificativa, non solo l’efficienza e il funzionamento normale

27

Il percorso Sicurezza e Qualità diventa quindi vero e proprio‘processo comunicativo di Valore’ (a valenza sia interna cheesterna) che ogni organizzazione anche non commerciale attua, incui ruolo specifico ed essenziale è fornito dal Security OperationalPlan, dal Disaster Recovery Plan nonché dall'Analisi dei Rischi

PRIMO PIANO

Page 8: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201228

PRIMO PIAN

O

di un Paese, ma anche la sicurezza e il sistema economico-finanziario e sociale, compresi gli apparati della PubblicaAmministrazione centrale e locale. In altre parole, le infra-strutture critiche sono quelle che consentono l’erogazionedei servizi che caratterizzano la vita dei paesi occidentali.L’interdipendenza fra le strutture non fa solo sì che le ICsiano fra loro strettamente interrelate, ma obbliga che losiano anche le misure poste per la loro protezione. Coo-perazione, Comunicazione e Coordinazione non solo degliobiettivi da raggiungere a livello nazionale, ma dell’interocontesto strutturale comunitario. Così, tra l’altro, esse siconnettono quindi strettamente al concetto di “strutture

sensibili” e di “Trans European Networks”, variamente col-legate alla regolazione di trasporti, telecomunicazioni edenergia.Al fine di incrementare il livello strutturale e sistemico di pro-tezione delle infrastrutture critiche, sia nazionali sia europee,diversi sono gli obblighi cui devono sottostare i Paesi dellaUE e gli operatori delle IC che ivi sono collocate.Ad iniziare da quello che (A) per ogni infrastruttura deve es-sere formulato un “Piano di Sicurezza per gli Operatori”(PSO o OSP in inglese). La Direttiva fornisce un’indicazionedei contenuti minimi che dovranno essere trattati nel piano;in particolare, il PSO deve identificare i beni dell’infrastrut-tura critica e le soluzioni in atto o in corso di implementa-zione per la loro protezione. Lo scopo di questo pianoconsiste nell’identificare quegli assets che soddisfano i re-quisiti per essere denominati “Infrastrutture Critiche Euro-pee”.In particolare il piano dovrebbe prevedere:• un momento di identificazione degli asset importanti;• una fase di risk assessment, durante la quale si devono

prendere in considerazione gli scenari riguardanti le mi-nacce più probabili;

• la progettazione e la messa in atto delle procedure e dellemisure di prevenzione e protezione;

Per ogni IC (B) deve inoltre essere nominato un Funziona-rio di Collegamento in materia di Security con lo scopo difacilitare la cooperazione e la comunicazione con le auto-rità nazionali competenti in materia di protezione delle IC;

la loro pre-senza è il pre-requisito perpoter formulareil PSO. A ciò si aggiungache (C) in Italiaviene previsto il “funzionario di sicurezza”, quale re-sponsabile delegato della tutela dlele informazioniriservate o protette nelle strutture industriali com-plesse.Il presente documento ha scopi ovviamente limitati.Tra gli argomenti che non rientrano tra i suoi scopi c’è quellodi discettare su cosa – e perché – si può definire “i.C.”, E’però di tutta evidenza che questo sia un argomento cardinedi ogni serio tentativo di rendere il lavoro preventivo vera-mente tale, quindi capace di produrre apprezzabili risultatidi efficacia ed efficienza (10).Tra i possibili oggetti di questa categoria di beni da tutelarec’è probabilmente anche la MENTE UMANA, nonché ilBAGAGLIO TECNOLOGICO dei membri di un sistema-

paese. … e quanto ciò sia importante oggi – che si parladi guerra della settima generazione, cioè di GUERRANELLA NOOSFERA – qui lo lasciamo solo immaginare.Un solo e conclusivo riferimento fattuale però vogliamofarlo: come e perché non si dovrebbero tutelare quellestrutture atte ad esprimere quelle idee commerciali chesiano magari fonti di brevetti? Cioè, appunto, le mentiumane.

MOTIVAZIONE PER AUMENTARE LA CONSAPEVOLEZZADEL RISCHIO: necessità di una resilienza largamente con-divisa nella societàIn pratica, si vuole intendere che la coscienza e la comuni-cazione del rischio attengono strettamente alla capacità disopravvivenza di un sistema umano.Nelle scienze dei materiali la resilienza (che è termine ancorapoco diffuso in Italia) viene definita come la capacità di unsistema nel tornare nel suo stato pre-perturbazione, dopoaverne subito, appunto, una. Il concetto è stato introdotto

Nel termine italiano sicurezza collassano due distinti concetti chein altre lingue sono espressi da parole differenti; in inglese il

termine security corrisponde alla sicurezza intesa comeprotezione da atti intenzionali che potrebbero ledere cose o

persone, mentre il termine safety riguarda la sicurezza dellepersone, intesa come loro incolumità

Page 9: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

PRIMO PIANO

nelle scienze ecologiche negli anni Settanta, soprattuttograzie alle analisi e ricerche di Holling e numerosi altri eco-logi ed etologi, che hanno studiato a fondo la resilienza neisistemi ecologici, poi confrontandosi con diversi ricercatorinel campo delle scienze sociali che hanno lavorato sulconcetto di resilienza nei gruppi.Pertanto la resilienza viene definita come la capacità di unsistema di assorbire un disturbo e di riorganizzarsi mentreha luogo il cambiamento, in modo tale da mantenere an-cora essenzialmente le stesse funzioni, la stessa struttura,

identità e feed-back. Il sistema ha la possibilità di evolvere in stati multiplie stabili, diversi da quello precedente da cui si è partiti nel-l’analisi pre disturbo, ma la resilienza garantisce il mante-nimento della vitalità delle funzioni e delle strutture del si-stema (11).A tale concetto se ne possono far seguire altri, tra cuiquello collegato alla SWARM THEORY, inizialmente studiatoper un impiego militare; in sostanza si vuole affermare che,dati certi presupposti, un ‘sistema’ si autodifende attac-cando, dopo essersi scomposto in un ‘nugolo di unità’ (12).

Il concetto di “Sicurezza”Il termine viene dal latino (“sine cura”, cioè senza preoccu-pazione) e può essere definita come la “conoscenza chel’evoluzione di un sistema non produrrà stati indesiderati”.Sostanzialmente significa conoscere le conseguenze delleazioni nostre e di coloro di cui abbiamo la responsabilità ocustodia, vuol dire sapere che quello che faremo non pro-vocherà dei danni ad altri (persone, cose, ambiente, strut-ture, ...) … In quanto – come si diceva una volta (!) – la li-bertà di ognuno finisce dove inizia quella dell’altro. Laconsapevolezza del rischio passa, quindi, anche per la“cultura del rispetto”, elemento fondamentale per una sanaconvivenza civile.Il presupposto della conoscenza è poi fondamentale da unpunto di vista epistemologico poiché un sistema può evol-versi senza dar luogo a stati indesiderati, ma non per que-sto esso può essere ritenuto sicuro. Solo una conoscenzadi tipo scientifico, basata quindi su osservazioni ripetibili,può garantire una valutazione sensata della sicurezza.La sicurezza totale si ha in assenza di pericoli. In senso as-soluto, si tratta di un concetto difficilmente traducibile nellavita reale anche se l’applicazione delle norme di sicurezza

rende più difficile il verificarsi di eventi dannosi e di incidenti

e si traduce sempre in una migliore qualità della vita.Nel termine italiano sicurezza collassano due distinti con-cetti che in altre lingue sono espressi da parole differenti; ininglese il termine security corrisponde alla sicurezza intesacome protezione da atti intenzionali che potrebbero lederecose o persone, mentre il termine safety riguarda la sicu-rezza delle persone, intesa come loro incolumità.È curioso notare però che in quasi tutte le lingue, il terminesicurezza non viene molto bene differenziato da quello diprevenzione., forse per retaggi culturali relativi alle differenti

accezioni culturali di “caso” e “fortuna”. Senzaentrare in posizioni filosofiche, si può dire che uncomportamento umano (e robotico) mediamenterazionale tende a efficienziare la risposta aglieventi sulla base di coscienza del rischio e pre-parazione anche psichica.

SettoriI campi in cui la sicurezza è un obiettivo primario sono nu-merosi, così come vari sono i sistemi per raggiungere ungrado di sicurezza accettabile. Attività lavorative in genere,ma anche la vita domestica, gli hobby, il gioco e lo sport.Proprio per questa grande pervasività si possono riteneregeneralmente valide le quattro regole originariamente detteper il web: 1. Ridurre la superficie di attacco; 2. Proteggeresu tutti i fronti; 3. Bloccare attacchi e tentativi di violazione;4. Mantenere la continuità lavorativa.

Sicurezza (pubblica) nazionaleUn capitolo a parte è costituito dalla sicurezza - anche in-ternazionale - cioè dalla difesa del sistema-paese che co-stituisce un dovere ed un onore di ogni cittadino.Un’attività anche preventiva (sostanzialmente di Vigilanza,Analisi ed Allarme) che contrasti possibili atti “antagonistici”(di terrorismo, pirateria, sabotaggi, etc..) e catastrofi (terre-moti, maremoti, uragani, etc.) compete ad ogni residentenel territorio.Al contrario, i relativi compiti di assistenza sono svolti dapersonale specializzato ed autorizzato, ove necessario op-portunamente coordinato da Cabine di Regìa Crisi o Emer-genza (la Protezione Civile coordina tutte le attività di am-ministrazioni dello Stato, centrali e periferiche, regioni,province, comuni, enti pubblici nazionali e territoriali, ognialtra istituzione ed organizzazione pubblica e privata).Tutti sappiamo quanto la qualità sia la chiave per la dimi-nuzione dei rischi, qualità in termini di efficienza ed effica-cia!

Sicurezza (privata) di luoghi, abitazioni, trasporti e stradeNella vita quotidiana, per migliorare la sicurezza, diminuirela possibilità di infortuni e incidenti, aumentando nel con-tempo la probabilità di risolvere favorevolmente le situazionidi emergenza, sono necessarie azioni preventive ed orga-

29

Page 10: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201230

PRIMO PIAN

O nizzative adeguate, che includono:analisi dei rischi; formazione delle persone addette alla si-curezza; formazione sul primo soccorso; dotazioni perso-nali appropriate (abbigliamento, dispositivi di protezioneindividuale, dispositivi di controllo, telerilevamento e tele-soccorso); cassetta di pronto soccorso, obbligatoria negliambienti di lavoro, dove deve essere segnalata appropria-tamente, del tipo stabilito per legge e reintegrata dopociascun utilizzo, fortemente consigliata in casa; controllo pe-riodico dei dispositivi antincendio, delle vie di fuga e delpiano di evacuazione nei locali a rischio incendio; controlloperiodico degli impianti elettrici, con particolare riferimentoall’efficienza dei dispositivi di apertura per sovraccarico eper dispersione e alla verifica dell’impianto di messa aterra; controllo periodico di filtri e prese d’aria negli impiantidi aerazione e condizionamento; controllo e revisione pe-riodica dei veicoli; custodia accurata e proporzionata al ri-schio di ciascun dispositivo e del materiale pericoloso, tos-sico o nocivo.

II - Regole di riferimentoVorrei ben specificare che la presente lista vuole essere soloun ausilio di indirizzo e non uno strumento operativo di in-dagine (13). Tra l’altro qui di segutio verrà fornita solo unaguida rapida e parziale di tutte le possibili rgole esistenti.Ciò, non solo perché la materia è complessa ed in cre-scente evoluzione, ma soprattutto in quanto la funzione delSecurity Manager – probabilmente inscindibile da quella delCompliance Man. e almeno collegata con quella del Busi-

ness Continuity Man. – è forse la più ‘rischiosa’ (per usareun gioco di parole!) tra le attività aziendali strategiche ed api-cali, trovandosi in cima ad una serie di sollecitazioni, pro-blemi con stringenti esigenze di rispondere a fatti concretie, soprattutto, a pericoli probabili o ipotetici. La personale esperienza ultradecennale in qualità di inter-

nal legal auditor & counsel mi ha fatto apprezzare l’alta pro-fessionalità di coloro i quali erano addetti a svolgere, nei varilivelli e ruoli, della mansione ed è stata la loro esperienza esensibilità che ha potuto indirizzare correttamente il mio

operato per la soluzione di problemi concreti o l previsionedi quelli futuri da evitare o mitigare.Quindi, le regole e le normative, di qualsiasi livello siano, po-tranno essere le più disparate.Peraltro, nel presente documento, per fornire un qualchevalore aggiunto ad una elencazione che, seppur forse diqualche ausilio, sarebbe stata sterile, abbiamo fornito qual-che spunto di riflessione sullr grandi linee di ispirazione delleregolazioni.Ci siamo contenuti ad indicare quelle che rispondono allelinee essenziali della “tipica” funzione di un’impresa gene-ricamente intesa, senza evidentemente entrare in specifi-cità.Non possono essere però dimenticate le normative intro-dotte per alcune moderne finalità, cioè quelle per contra-stare il “riciclaggio di danaro sporco”, il crimine organizzato,ed il terrorismo. A breve, molto probabilmente, si aggiun-geranno le norme per contrastare la “cyber warfare”.

A. LA TUTELA DELLA PRIVACY

La conoscenza del codice sulla privacy (D. Lgs. 196/2003)(14) è un presupposto fondamentale per tutti coloro che inqualunque modo abbiano a che fare con il trattamento deidati personali di terzi.

La nuova normativa sulla tutela dei dati personali, comu-nemente definita privacy, è entrata pienamente in vigore dal1° aprile 2006. La normativa tutela – non la persona, ma -

il dato personale (quindi la sua rappresentazione all’internodi un meccanismo di memoria, anche non informatica) ov-vero “qualunque informazione relativa a persona fisica, per-

sona giuridica, ente od associazione, identificati o identifi-

cabili, anche indirettamente, mediante riferimento a

qualsiasi altra informazione, ivi compreso un numero di

identificazione personale”.È tenuto al rispetto della normativa chiunque tratti dati per-

sonali, quindi aziende, enti pubblici, professionisti, asso-

ciazioni. Gli adempimenti previsti dalla normativa sono nu-merosi, e comprendono aspetti formali, organizzativi,tecnologici. La quasi totalità di questi adempimenti, in vi-

Rischi, analisi dei rischi e piani di sicurezza richiedononecessariamente un approccio sistematico attraverso un

processo di SRM, proprio di una struttura di SecurityAziendale, che deve approcciare la problematica sicurezzaessenzialmente a 3 livelli di servizio: misure minime per la

Privacy; misure idonee per la Privacy; certificazione delsistema informatico

Page 11: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

PRIMO PIANO

gore dal 1997 è sanzionata sia dal punto di vista ammini-strativo che penale. Le misure di sicurezza, la cui mancataadozione è sanzionata penalmente, sono in vigore dal 2001(15).La normativa impone esplicitamente l’effettuazione e ladocumentazione di un’analisi dei rischi (punto 19, AllegatoB “Disciplinare Tecnico in Materia di Misure Minime di Si-curezza”) e sancisce l’obbligatorietà della redazione di “undocumento programmatico sulla sicurezza contenente ido-nee informazioni riguardo”, tra l’altro, “l’analisi dei rischi cheincombono sui dati” (punto 19.3).Si osservi che i dati cui si riferisce la norma sono quelli per-sonali di cui l’azienda è titolare e che tali dati nella mag-gioranza dei casi non coincideranno completamente con leinformazioni aziendali da proteggere, poiché “critiche” perl’azienda stessa.Inoltre i rischi da considerare nell’ambito ella legge differi-scono da quelli considerati a fini aziendali. Infatti, l’obiettivodel Codice, come definito all’art. 1, è quello di garantire il“rispetto dei diritti e delle libertà fondamentali, nonché delladignità dell’interessato, con particolare riferimento alla ri-servatezza, all’identità personale e al diritto alla protezionedei dati personali”. Pertanto, i rischi considerati dalla leggesono quelli che potrebbero ledere tali diritti e, specificata-

mente come definito all’art. 31, di: distru-zione o perdita, anche accidentale, dei dati

stessi; accesso non autorizzato; trattamento nonconsentito o non conforme alle finalità della rac-

colta.Rischi, analisi dei rischi e piani di sicurezza richiedono

necessariamente un approccio sistematico attraversoun processo di SRM, proprio di una struttura di SecurityAziendale, che deve approcciare la problematica sicurezzaessenzialmente a 3 livelli di servizio: (A) misure minime per

la Privacy; (B) misure idonee per la Privacy; (C) certificazionedel sistema informatico. Oltre a (D) certificazione del sistemadi gestione delle informazioniSpecifiche normative riguardano: le imprese, anche a se-condo del loro settore (banche, negozi, …) ed anche inbase agli strumenti (videoterminali, video vigilanza, ...); glistabilimenti militari; i luoghi pubblici (metropolitane, ...) equelli aperti al pubblico (giardini, parchi, …).

B. LA RESPONSABILITà DELL’IMPRESA

Necessaria premessa: l’Impresa come istituto socialmenteapprezzato, oltre che come strumento giuridico di orga-nizzazione del lavoro e del profitto, oggi possiede il sensodi garantire la creazione e la prosecuzione di un insieme di‘valori’. E’, in sostanza, uno strumento efficiente ed efficacepèer la trasmissione del valore. Essa, quindi, concretizza –già ‘in sé - uno strumento socialmente valido sotto variaspetti etici ed economici e come tale deve essere protetto(anche ‘a danno’ di chi l’ha legittimamente posto in essere!).Il D.lgs. 8 giugno 2001 n. 231 ha introdotto una disciplinainedita in Italia, superando (proprio in base alla richiamataconcezione, di provenienza – però – della cultura germa-nica, che conosce varie forme di “condivisione” di mezzi edi beni) l’antico principio secondo cui “societas delinquere

non potest” ed introducendouna forma di responsabilitàamministrativa dell’impresa,come conseguenza di possi-

bili comportamenti illeciti disoggetti ad essa collegati, messi

o meno in atto allo scopo di favo-rire l’ente.

Tale innovazione ha dunquemesso decisamente in ri-salto funzioni aziendalicome Security e Internalaudit, ma anche organi-

smi quale il Comitato di Sor-veglianza, peraltro già da

tempo esistenti in altri Paesi (ger-manici oltre che anglosassoni).

Una corretta articolazione delle suddette fun-zioni è quindi necessaria affinché l’impresa si doti di

idonei modelli organizzativo e gestionale atti a prevenire lariconducibilità all’impresa di atti la cui commissione po-trebbe essere oggetto di incriminazione per i reati riportatinel citato D.lgs. 231, che non ha abolito la responsabilitàpenale individuale propria dei soggetti che abbiano com-piuto il fatto previsto come reato. Pertanto, tale tipo di re-sponsabilità ‘oggettiva’ non si proporrebbe qualora talisoggetti (posti in posizione apicale all’azienda stessa) nonabbiano commesso gli illeciti con favore o vantaggio del-l’ente, ovvero i soggetti siano persone che ricoprono un

31

Page 12: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201232

ruolo“sottopo-sto”, o ancora sianolavoratori autonomi.È importante notarecome ll D.Lgs. 231estenda la sua portataanche ad una tutela connessa alla materia “pubblica” dicontrasto alla criminalità organizzata, che sicuramente rap-presenta una delle minacce più insidiose per il sistemaproduttivo sano di ogni Stato. Come se non bastassero le“normali” bande criminali, negli ultimi anni le tradizionaliconfigurazioni organizzate sono state affiancate da altre as-sociazioni a delinquere, tutte ora caratterizzate dalla transnazionalità e addirittura da specializzazioni, con anche pre-senza di strumenti elaborati quali apparati di intelligence estrutture di analisi / previsione.In questo contesto, alla logica di conseguire una concretae corretta concorrenza tra imprese, si unisce quella di pre-servare quanto più possibile le ordinarie strutture sociali ten-denti alla creazione di Benessere sociale, ma anche la lo-gica di quella che è chiamata “network economy” (cherappresenta l’attuale stadio di economia mondiale). Così,ad una necessaria concatenazione delle singole vicende diun territorio (che, quindi, diventano “connesse” e con unaforte componente di virtualità) è conseguente la nuova di-mensione “peer to peer”, in cui i singoli soggetti – pubblicie privati, piccoli e grandi, … - concorrono alla costruzionedel Comune benessere o della Comune rovina.In sostanza, quindi, la lotta a tali forme di criminalità ne-cessita di strumenti incisivi e di strategie integrate. L’allar-gamento della 231 a dette fattispecie, infatti, trova riferi-mento nella Decisione quadro 2008/841/GAI del 24 ottobre2008 relativa alla lotta contro la criminalità organizzata,che ha come scopo preminente il miglioramento delleazioni comuni dell’UE e dei suoi Stati membri al fine di con-trastare la criminalità organizzata transnazionale mediantel’adozione di una strategia comune che combatta special-mente le infiltrazioni criminali o criminogene nelle piccole im-prese e nel sistema appalti e forniture (16).

Tra le norme interna-zionali, per l’importanza che

riceve anche dalla indiretta in-fluenza sulle “case madri” italiane o

straniere, c’è il Sarbanes-Oxley Actdel 2002.

Ritengo superfluo evidenziare che, anche e soprattutto inquesto caso, l’opera di COMPLIANCE si proietta in una di-mensione transanazionale.La Sarbanes-Oxley Act, conosciuta anche come Public

Company Accounting Reform and Investor Protection Act

e comunemente chiamata Sarbox, è una legge federaleUSA emanata a seguito di diversi scandali contabili chehanno coinvolto importanti aziende americane (come En-ron, Arthur Andersen, WorldCom, Tyco International) e chehanno causato grande e generalizzata sfiducia nel pubblico- sia share holders / investitori che stake holders - , solle-vando soprattutto dubbi circa le loro “politiche di sicu-rezza” aziendali oltre che sistemiche (17).Oltre a ridefinire i compiti della SEC, la legge costituisce ilPublic Company Accounting Oversight Board (ovvero ilconsiglio di vigilanza sui bilanci delle aziende quotate). Se-condo alcuni storici dell’economia, si tratta di uno degli attigovernativi più significativi dai tempi del New Deal. I puntisu cui la legge focalizza la sua attenzione sono:Promuove maggiore responsabilità per il management, perquanto concerne l’accuratezza delle informazioni contabilisui bilanci e relazioni finanziarie;Crea di una nuova autorità di controllo dei revisori esterni;Aumenta le pene per i crimini contabili e illeciti fiscali;Conferisce più potere alla minoranza azionaria

C. GLI STANDARD INTERNAZIONALI

L’attività di “normazione” – da non confondere con quella

PRIMO PIAN

O

Page 13: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

“normativa” –è costituita nell’elaborare documenti a carat-tere essenzialmente tecnico; essi non essendo atti norma-tivi, comportano un conseguente ambito di applicazionevolontaria. Tuttavia, siccome forniscono riferimenti certi aglioperatori e possono quindi avere una chiara rilevanza con-trattuale, esse sono quasi sempre applicate in modo similea quanto avveniva ad es. per gli usi (di borsa, …). Inoltre,sempre più spesso le norme primarie o secondarie “inbianco” vi fanno rinvio espresso. E’ il caso di quelle normeil cui oggetto abbia un impatto rilevante sulla sicurezza dilavoratori, cittadini, ambiente. In ogni caso, a mano a manoche si diffonde l’uso delle norme come strumenti contrat-tuali e che, di conseguenza, diventa sempre più vasto il ri-conoscimento della loro indispensabilità, la loro osservanzadiventa quasi “imposta dal mercato”.Oggi l’attività di “normazione” ha per oggetto anche la de-finizione di processi, servizi e livelli di prestazione; anzi oggila normazione si occupa anche di definire gli aspetti di si-curezza, organizzazione aziendale (UNI EN ISO 9000) eprotezione ambientale (UNI EN ISO 14000), così da tutelarepersone, imprese e ambiente.In particolare la citata norma UNI 10459 – relativa alla Se-curity - prevede la figura professionale del Security Mana-ger; essa ovviamente assume più vigore laddove ne è ri-presentata la centralità nel sistema di sicurezza aziendale,quando la norma UNI 10891 che regola gli Istituti di Vigi-lanza Privata, a quella rimanda.Valenza internazionale assume poi la figura del Security Ma-

nager quando ne è tracciato il ruolo negli standard inter-nazionali, fra cui l’australiano ASZ, che norma il SecurityRisk Management.

Note1 di Carlo C. Carli, avvocato, conciliatore, consigliere giuridico mi-litare – si occupa da anni di Tutela della Sicurezza Economica(specialmente per la tutela di brand, immagine e qualità prodotto)delle Infrastrutture Critiche. E’ socio di AIIC e direttore Centro Studidi AE/AGEIE focalizzato sulla ‘analisi criticità’. Oltre ad aver se-guito, come consulente, varie imprese multinazionali dei settori in-dustria e banca, ha accumulato una significativa esperienza “in-

house” negli uffici legale / legislativo / tributario di un’impresaenergetica internazionale.L’A. desidera ringraziare i vari Esperti del Settore Security, molti deiquali fanno parte dell’Associazione AIIC. Dei vari utili lavori scien-tifici o pratici nel settore darà conto nei successivi interventi. Perora richiama solo il Workshop internazionale su “Emergency Ma-nagement for Critical Infrastructures Crises”, svoltosi a Roma il4.10.2012, presso l’ENEA e organizzato da AIIC.2 E’ la mia cara vecchia tesi delle aree economiche complesse, piùvolte espressa e che deriva da quella sulla ciclicità in economia,esposta da Isidoro Carli nel 1830, poi ripresa da Filippo Carli circaun secolo dopo.Essa trova anche fondamento giuridico, tra l’altro, nella teoria de-gli “ordinamenti giuridici parziali”, magistralmente espressa dalprof. A. Malintoppi (che spesso esemplificava richiamando gli or-

dinamenti regionali, nazionali e comunitari rispetto all’ordinamentogiuridico universale) e più recentemente dal prof. E: Picozza (cherichiamava soprattutto il concetto di “sub-ordinamento”, qualequello sportivo).3 Vorrei rifarmi a precedenti studi: CARLI, C.C., Sicurezza nazio-nale al tempo della “network warfare” -risposte ordina mentali eimpatto economico delle piraterie – un’analisi di economia crimi-nologica, in: riv. Information Security, n. 13, sett. 2012, e idem,Economia criminologica, l’impatto economico del terrorismo, in:Rivista SAFETY & SECURITY, settembre 2011, ma anche ad al-tri due studi dove – pur non trattando direttamente la materia daun punto di vista “criminologico” – parlavo delle tematiche con-nesse all’Economic Security: idem, CORPORATE GOVERNANCE,tra riforma della politica economica nazionale e diritto dei consu-matori/risparmiatori, nel contesto del mercato internazionale, in:riv. L’Impresa c.i., n. 3, 1998 e idem, appalti e analisi economica– spunti per un audit giuridico-economica dei contratti di im-presa …verso un diritto dettato dall’economia?, in: riv. Nuova Giu-risprudenza Civile Commentata, p. 173, p. II, 2005.4 Secondo Nomisma (Rapporto “Nomos & Khaos“2010-2011sulle prospettive economico-strategiche) il mondo sta attraver-sando una fase di veloci cambiamenti, che hanno trasformato irapporti di potenza e le realtà fondamentali in cui si sono formatele percezioni e la mappa cognitiva delle élite politico-economicheoccidentali.Innanzitutto, sono cambiate le relazioni tra gli ambiti pubblici e pri-vati dell’azione collettiva, provocando l’avvento di quello che èstato definito da Zygmunt Bauman “il mondo liquido” ed accen-tuando la crisi della funzione politica, che ormai pare cavalcare glieventi, più che governarli. Partita dalla sfera economico-finanzia-ria, con la deregulation degli anni ottanta, questa rivoluzione ha oraraggiunto anche la sfera delle relazioni politiche, come hanno evi-denziato per un verso la “primavera araba”, innescata dal cosid-detto web 2.0, e per un altro le scelte compiute in campo inter-nazionale dagli Stati Uniti, che paiono aver optato per uncambiamento di paradigma strategico, centrato sul concetto di

Smart Power. Il “potere scaltro” prescelto dall’AmministrazioneObama parrebbe implicare non solo una minor propensione a ri-correre alla forza, ma altresì il tentativo dell’America di trasferireuna parte significativa degli oneri connessi al mantenimento dellastabilità internazionale ad un più vasto numero di Paesi. Stati amicied alleati, in prima battuta, ma anche potenze finora consideratecome competitrici e rivali strategiche dell’Occidente. Si tratta di unmutamento profondo, suscettibile di alterare anche la valenza diorganizzazioni come la Nato, con rilevanti ripercussioni per i nu-merosi Stati europei, tra i quali l’Italia, la cui membership atlanticaè stata per decenni il riferimento fondamentale delle rispettive po-litiche di sicurezza.5 Alcune sottodiscipline della scienza della sicurezza sono: spor-

tiva: analizza l’aspetto agonistico; sanitaria: analizza il mondodella medicina e della profilassi; ambientale; alimentare: analizzail mondo dei cibi e delle diete dalla produzione al consumo; stra-

dale: analizza il mondo delle strade, dei veicoli e della circolazione;informatica: analizza l’uso delle reti telematiche rispetto all’uso chene fa l’uomo; nucleare: si prefigge di eliminare i rischi associati al-l’uso dell’energia nucleare; bancaria e finanziaria: analizzano ilmondo degli investimenti e dalla Borsa; antincendio; domestica;elettrica; legale; personale; sociale; urbana; energetica; aerea.

33

PRIMO PIANO

Page 14: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201234

PRIMO PIAN

O

6 Concetti chiave della Scienza della Sicurezza sono:• Sicurezza: conoscenza che l’evoluzione di un sistema in un dato

senso non manifesti stati indesiderati.• Rischio: probabilità che si verifichi un dato evento caratterizzato

da una determinata gravità del danno sulle persone, sulle cosee/o sull’ambiente.

• Pericolo: proprietà intrinseca di una sostanza, di una attrezza-tura di lavoro o in generale di un evento, avente potenziale dicreare danno.

• Analisi: studio della statistica, dell’ambiente in questione, dellepersone che operano e dell’attività che si svolge, al fine di pro-durre una valutazione del rischio.

• Prevenzione: messa in opera ed in esercizio di tutte le misure de-rivate dall’analisi, per prevenire che accadano eventi pericolosi(e quindi dannosi).[2]

• Protezione: messa in opera ed in esercizio di tutte le misure perproteggere persone e cose dal rischio residuo. La protezione sidistingue in collettiva e individuale, attiva o passiva. Le misuredi protezione collettiva hanno priorità rispetto a quella individuale.La protezione attiva è quella che gli stessi operatori devono at-tivare (predisporre caschi, scarpe, estintori), mentre quella pas-siva interviene anche senza il comando umano (un esempio èl’impianto sprinkler antincendio).

• Gestione: insieme di attività che si realizzano in fase sia normaleche critica. La g. in normale esercizio è quell’insieme di attivitàcome formazione, informazione, manutenzioni, verifiche, eser-citazioni, adeguamenti normativi, procedure. La g. in emer-

genza è la messa in atto delle protezioni manuali, quindi le eva-cuazioni, le chiamate di emergenza, il contenimento, lospegnimento, il confinamento e l’allontanamento.

7 La “percezione del rischio” coinvolge dei meccanismi di tipo psi-cologico: in genere la mente umana tende a valutare come “piùrischiose” le situazioni che hanno una maggiore gravità (ovvero le

situazioni che possono provocare la morte), mentre tende a va-lutare come “meno rischiose” le situazioni a cui è associata unagravità minore (ad esempio le situazioni che possono provocareun danno fisico non irreversibile).Un altro meccanismo psicologico che altera la percezione del ri-schio è quello per cui generalmente si valutano come meno ri-

schiose le condizioni di cui si ha il controllo: ad esempio in genereuna persona tende ad essere meno preoccupata se è la personastessa a guidare rispetto alla situazione in cui l’autista è una se-conda persona.La scienza della sicurezza quindi non tiene conto della percezionedel rischio, bensì del rischio reale.8 va dalla sicurezza fisica dell’infrastruttura, al controllo della pro-tezione delle strategie produttive dell’impresa, alla sicurezza delleinfrastrutture critiche, alla sicurezza nazionale, alla sicurezza in-formatica, alla sicurezza sul lavoro, della fedeltà dei dipendenti,della rete di informazione-comunicazione, dell’introito merci, deltrasporto protetto e sicuro dei prodotti, della privacy, ecc9 Mi sembra molto interessante riportare una considerazione diVACCA (R., I grandi blackout: inevitabili - o no? ovvero: I grandi

blackout: sono “Atti di Dio”? , in: Il Messaggero, 29/9/2004):“……. Faremo bene a comprarci gruppetti elettrogeni e a riempircila casa e la borsa di batterie? Non ne sono convinto e non nesono convinti anche molti ingegneri progettisti e gestori di grandireti elettriche. La prima ragione è che la somiglianza fra blackout,

incendi e terremoti è solo un dato empirico. La analogie fra fenomeni del tutto diversi non ci permettono di fareprevisioni. Talora le analogie sono del tutto fuorvianti. La teoria delcaos studia fenomeni in cui un apparente disordine è, in effetti,prevedibile e ripetitivo. Si applica a fenomeni elettrici e idrodina-mici che devono essere studiati con precisione raccogliendo mi-lioni di dati per distinguere il caos dal rumore casuale. Non è cor-retto invocare teorie di cui si arguiscono solo possibili applicazioni,senza averle validate in modo rigoroso.In secondo luogo le cause di incendi e terremoti si possono ana-lizzare in modo molto rozzo. La struttura di foreste e sottoboschie ancor più quella degli strati geologici profondi è poco nota. Nonconosciamo i numeri. Possiamo solo arguire quali siano i mec-canismi rilevanti.Invece possiamo conoscere esattamente come sono fatte le retielettriche. Il loro comportamento è governato dalla struttura di pro-getto, dai regolatori e dai programmi dei computer preposti a mo-nitorare e gestire la rete. Questi reagiscono in modo prevedibileanche a eventi casuali (ad es. cortocircuiti) e provvedono a mo-dificare la rete stessa. Possono escluderne alcune parti, togliendoenergia ad alcuni utenti per non danneggiare la maggioranza. Pos-sono inserire nuovi generatori. Quest’ultimo intervento è possibile,però, solo se il gestore provvede a tenere in funzione - “calde”, maerogando potenza minima - un numero adeguato di centrali di ri-serva. È difficile costruire modelli adeguati di grandi reti complesse. Il lorofunzionamento dipende anche dalla competenza e dalla tempe-stività degli operatori. Ricordiamo che Chernobyl, la più grave ca-tastrofe nella storia della generazione di energia, fu causato dallatemeraria stupidità degli addetti a quella centrale. E’ bene studiarela teoria delle reti. Ma non va dimenticato che i modelli matema-tici sono sempre rozze approssimazioni della realtà e che opera-tori e utenti meglio addestrati possono essere decisivi per evitaresia guasti minori, sia grandi catastrofi.”10 Sull’ arg. del passaggio culturale tra società moderna e post-moderna, v. tra gli altri: OHMAE, K., Strategie creative, Milano,1985; TOFFLER. A., L’ azienda flessibile, Milano, 1990; FAR-SON, R., Il management per paradossi - modelli di leadership peril XXI secolo Milano, 1998; STACEY, R. D., Management e caos- la creatività nel controllo strategico dell’ impresa, Milano, 1996;OLIVETTI, A., Tecnica delle riforme, 1951, ed. mov. comunità.Inoltre: CARLI, C.C., L’ impresa a gruppo ed il bilancio consolidato- “trasparenza” gestionale privata, nell’ ambito delle nuove ten-denze economico sociali, in: Impresa, c. i., 1995, 2, 260; CARLI,C.C., L’ azione amministrativa: trasparenza, efficienza, controlli.Dalla “motivazione dell’ avviso di accertamento” alla “trasparenzaamministrativa”, in: Impresa, c.i., 1995, 1, 71.11 Gli studiosi della resilienza – quindi dei problemi connessi alladinamica dei sistemi sociali ed ecologici - riconoscono alcune suecaratteristiche cruciali:• Latitudine - l’ammontare massimo cui un sistema può cambiare

senza perdere la propria abilità al recupero (prima, quindi, di ol-trepassare una soglia che, se sorpassata, può rendere difficileo impossibile il recupero stesso).

• Resistenza - la facilità o la difficoltà di cambiare il sistema, o me-glio, quanto e come il sistema è resistente a subire un cambia-mento.

• Precarietà indica quanto sia vicino l’attuale stato di un sistema

Page 15: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 2012

PRIMO PIANO

ad un limite o una soglia. • Panarchia - utilizzato per ricordare che - a causa delle interazioni

a diverse scale - la resilienza di un sistema ad una particolarescala dipenderà dalle influenze di stati e dinamiche alle scale so-pra e sotto il sistema stesso.

• Adattabilità - la capacità degli attori di un sistema di influenzarela resilienza del sistema stesso. In un sistema sociale ed ecolo-gico questa caratteristica riguarda proprio la capacità di gestirela resilienza da parte dell’uomo.

• Trasformabilità - la capacità di creare fondamentalmente unnuovo sistema quando le condizioni ecologiche, economiche esociali rendono il sistema stesso non più mantenibile. La capa-cità di mantenere un sistema adattativo ed operare quindi conuna governance di tipo adattativa, aiuta a creare adattabilità etrasformabilità negli stessi sistemi sociali ed ecologici.

12 La swarm intelligence (traducibile come: teoria dello sciame in-telligente) è un termine coniato per la prima volta nel 1988 da Ge-rardo Beni, Susan Hackwood e Jing Wang in seguito a un pro-getto ispirato ai sistemi robotici. Esso prende in considerazione lostudio dei sistemi auto-organizzati, nei quali un’azione complessaderiva da un’intelligenza collettiva, come accade in natura nel casodi colonie di insetti o stormi di uccelli, oppure branchi di pesci, omandrie di mammiferi. Secondo la definizione di Beni e Watt laswarm intelligence può essere definita come: “Proprietà di un si-

stema in cui il comportamento collettivo di agenti (non sofisticati)

che interagiscono localmente con l’ambiente produce l’emer-

gere di pattern funzionali globali nel sistema”.Caratteristiche• Ogni individuo del sistema dispone di “capacità limitate”;• Ogni individuo del sistema non conosce lo stato globale del si-

stema;• Assenza di un ente coordinatore (ad esempio in uno sciame di

api, l’ape regina non coordina l’attività delle altre 13 Desidero sottolineare che, tra le varie fonti a cui mi sono ispi-rato, ce ne sono alcune che sono state addirittura illuminanti per

lucidità della struttura sistemica. Tra queste, quelle inserite negliATTI DEL CONVEGNO SULLA FUNZIONE DEL SECURITY MA-NAGER, svoltosi a Roma il 13 novembre 2012, presso la ScuolaSuperiore di Polizia.Non cito ciascun interventore per non fare torti. Vorrei invece evi-denziare il peculiare taglio dato all’iniziativa, tesa a far emergerel’importanza e la necessità di una PARTNERSHIP TRA PUB-BLICO E PRIVATO.Ora, e l’Italia in questo ha una lunga esperienza nell’istituto dellePARTECIPAZIONI STATALI, il concetto di operazione è stato ri-scoperto oltreoceano ed applicato dapprima nel settore militareper fini tattici (si parla in questo caso di CIVIL-MILITARY COO-PERATION), la cui applicazione è stata peraltro varia, a secondadel settore operativo, dell’area di intervento, delle forze impiegatein campo.Oggi, si tende a vederne un’applicazione di tipo strategico e nonpiù a fini (esclusivamente) militari, per arrivare ad un miglior rag-giungimento degli scopi prefissati per una o un’altra amministra-zione in questo o quel settore. Ne vengono, così, ad avere appli-cazione settori quali l’INTELLIGENCE (a vocazione innanzituttoverso l’esterno) e la POLIZIA (a vocazione specialmente all’in-terno).Tuttavia, ed è ancora un’altra peculiarità italiana, esistono altriesempi, quali la MAGISTRATURA ONORARIA che pur facendomolto parlare di sé (non sempre positivamente), costituisce unarisposta insostituibile all’esigenza di servizi giudiziari e, più in ge-nerale, di Sicurezza sociale.Altro recente evento, per me denso di inputs, è stata la 3a CON-FERENZA ANNUALE SULL’INFORMATION WARFARE, svoltasi inRoma, presso l’Aula Magna dell’Università La Sapienza l’8 no-vembre del c.a. Essa ha avuto come scopi (A) individuare meto-dologie per l’elaborazione di una strategia di sicurezza ciberneticanazionale per il sistema-Italia e (B) far emergere esistenti – ovverorichiamare la necessità di introdurne - innovazioni organizzativenell’ambito della architettura cognitiva e decisionale di sicurezza

35

Page 16: (Carli) resilienza al t delle cyber-wars - counterintelligence per le ic. (1).pdf

Information Security n° 16 dicembre 201236

PRIM

O PI

ANO nazionale, allo scopo di potenziarne le capacità tanto di preven-

zione che di reazione efficace e tempestiva per eventuali mi-

nacce o attacchi di cyber-war contro interessi vitali o infrastrutture

critiche nazionali. 14 I dati sensibili nel diritto italiano sono i “dati personali” la cui rac-

colta e trattamento sono soggetti sia al consenso dell’interessato

sia all’autorizzazione preventiva del Garante per la protezione dei

dati personali.

Secondo il Codice (d.lgs. 196/2003, art.4) sono considerati “sen-

sibili” i dati personali idonei a rivelare: origine razziale ed etnica, le

convinzioni religiose, filosofiche o di altro genere, le opinioni poli-

tiche, l’adesione a partiti, sindacati, associazioni od organizzazioni

a carattere religioso, filosofico, politico o sindacale, lo stato di sa-

lute e la vita sessuale

Tale elenco viene considerato chiuso, nel senso che non è lecito

procedere per analogia. Per esempio è stato chiarito che la con-

dizione sociale, le prestazioni sociali ricevute, titoli di studio for-

mazione e esperienze di lavoro, la solvibilità del debitore, il reddito

percepito o patrimonio posseduto non rientrano nel trattamento

severo riservato ai dati sensibili (ma sono comunque tutelati dalla

legge sulla privacy).

Ciò è in parte in contraddizione con il senso comune, in quanto

notoriamente vi è più resistenza a rendere noto il proprio reddito

o il proprio stato di indigenza che non a dichiarare le proprie opi-

nioni politiche o sindacali (p.es. partecipando a manifestazioni

pubbliche). Questa apparente contraddizione è spiegata dalla fi-

nalità della legge sulla privacy: tutela dei diritti e libertà fonda-

mentali, ma anche della dignità delle persone ovvero dell’identità

personale.

Il legislatore stesso, all’art.27, ha trattato in modo severo anche i

dati giudiziari.15 Per rispettare gli Accordi di Schengen e per dare attuazione alla

direttiva 46/95/CE del Parlamento europeo, e del Consiglio, rela-

tiva alla tutela dei dati personali, nonché alla libera circolazione di

tali dati, venne emanata la legge 31 dicembre 1996 n. 675. Col

passare del tempo, a tale norma si sono affiancate ulteriori leggi,

riguardanti singoli e specifici aspetti del trattamento dei dati. La so-

pravvenuta complessità normativa immancabilmente creatasi in

seguito all’approvazione di norme diverse ha reso indifferibile

l’emanazione di un Testo Unico, il D.lgs. 30.06.2003 n. 196, “Co-

dice in materia di protezione dei dati personali” (in vigore dal

2004) che ha riordinato interamente la materia, dove le disposi-

zioni sono per la maggior parte pressoché identiche a quelle

contenute nella L. 675/1996.

In data 25 gennaio 2012, la Commissione Europea ha approvato

la proposta di un regolamento sulla protezione dei dati personali,

che andrebbe a sostituire, una volta definitivamente approvato, la

direttiva 95/46/CE in tutti e 27 stati membri dell’Unione Europea,

e in Italia andrà quindi a prendere il posto del D.lgs. 196/2003.

Alcune delle novità del regolamento: (A) restano ferme le definizioni

fondamentali, ma con alcune aggiunte (dato genetico, dato bio-

metrico); (B) viene introdotto il principio dell’applicazione del diritto

UE anche ai trattamenti di dati personali non svolti nell’UE, se re-

lativi all’offerta di beni o servizi a cittadini UE o tali da consentire

il monitoraggio dei comportamenti di cittadini UE; (C) si stabilisce

il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso

in cui si intendesse trasferire i propri dati da un social network ad

un altro) ma anche il “diritto all’oblio”, ossia di decidere quali in-

formazioni possano continuare a circolare (in particolare nel

mondo online) dopo un determinato periodo di tempo, fatte salve

specifiche esigenze (ad esempio, per rispettare obblighi di legge,

per garantire l’esercizio della libertà di espressione, per consen-

tire la ricerca storica); (D) sarà eliminato l’obbligo per i titolari di no-

tificare i trattamenti di dati personali, sostituito da quello di nomi-

nare un Privacy officer (data protection officer)per le imprese al di

sopra di un certo numero di dipendenti; (E) sarà introdotto il re-

quisito del “privacy impact assessment”, oltre al principio gene-

rale detto “privacy by design”; (F) sarà introdotto l’obbligo per tutti

i titolari di notificare all’autorità competente le violazioni dei dati

personali (“personal data breaches”); (G) le autorità nazionali di

controllo, dovranno assicurare indipendenza(in Italia il Garante per

la Protezione dei dati personali) e saranno dotate più specifica-

mente poteri (anche sanzionatori).

Gli scopi del d.lgs. 196/03 mirano al riconoscimento del diritto del

singolo sui propri dati personali e, conseguentemente, alla disci-

plina delle diverse operazioni di gestione (tecnicamente “tratta-

mento”) dei dati, riguardanti la raccolta, l’elaborazione, il raffronto,

la cancellazione, la modificazione, la comunicazione o la diffusione

degli stessi. All’art. l del T.U. viene riconosciuto il diritto assoluto

di ciascuno sui propri dati: “Chiunque ha diritto alla protezione dei

dati personali che lo riguardano” e quindi pertiene ai diritti della

personalità.

Tuttavia, il diritto alla riservatezza è diverso rispetto al diritto sui pro-

pri dati personali (che riguarda solamente informazioni circa la pro-

pria vita privata), ma più in generale ingloba ogni informazione re-

lativa alla persona, pure se non coperta da riserbo (sono dati

personali ad esempio il nome o l’indirizzo della propria abita-

zione).

Lo scopo della legge è quello di evitare che il trattamento dei dati

avvenga senza il consenso dell’avente diritto, ovvero in modo da

recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10,

sono a tal scopo definiti i diritti degli interessati, la modalità di rac-

colta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o

tratta dati personali e le responsabilità e sanzioni in caso di danni.16 Ne consegue, che la funzione di Security - se da una parte deve

essere costantemente impegnata nell’attività di studio, sviluppo e

attuazione di strategie, politiche e piani operativi volti a prevenire

e superare ogni comportamento colposo o doloso che potrebbe

provocare danni diretti o indiretti alle risorse personali, materiali -

dall’altra costituisce una funzione che deve curare un costante

raccordo con le istituzioni, dando eventualmente luogo ad una si-

nergia pubblico - privato (ruolo in cui sono esperti i militari che –

ancora una volta in modo antesignano – hanno creato la così

detta Civil Military Cooperation).17 Si trattava, in origine, di due diversi disegni di legge proposti dal

deputato Mike Oxley (repubblicano, eletto nell’Ohio) e dal sena-

tore Paul Sarbanes (democratico eletto nel Maryland): i due di-

segni furono unificati da una commissione bicamerale nell’atto fi-

nale approvato il 24 luglio 2002 con grandissima maggioranza in

entrambe le camere, e firmato dal presidente George W. Bush il

30 luglio. La legge mira ad intervenire per chiudere alcuni “buchi”

nella legislazione, al fine di migliorare la corporate governance e

garantire la trasparenza delle scritture contabili, agendo tuttavia

anche dal lato penale, con l’incremento della pena nei casi di falso

in bilancio e simili. Viene inoltre aumentata la responsabilità degli

auditor all’atto della revisione contabile.


Army Counterintelligence Investigations

Army Counterintelligence Investigations

Documents
STUDY OF INTELLIGENCE AND COUNTERINTELLIGENCE …

STUDY OF INTELLIGENCE AND COUNTERINTELLIGENCE …

Documents
Counterintelligence Indicators

Counterintelligence Indicators

Documents
RESILIENZA - Giunti Psychometrics · Resilienza significa affrontare i continui cambiamenti e le sfide quotidiane riuscendo sempre a venirne fuori con spirito positivo. Resilienza

RESILIENZA - Giunti Psychometrics · Resilienza significa affrontare i continui cambiamenti e le sfide quotidiane riuscendo sempre a venirne fuori con spirito positivo. Resilienza

Documents
Terrorist Group Counterintelligence - Georgetown

Terrorist Group Counterintelligence - Georgetown

Documents
National Counterintelligence Strategy - dni.gov€¦ · National Counterintelligence. Strategy. of the United States of America. 2020-2022. Executive Summary. NATIONAL COUNTERINTELLIGENCE

National Counterintelligence Strategy - dni.gov€¦ · National Counterintelligence. Strategy. of the United States of America. 2020-2022. Executive Summary. NATIONAL COUNTERINTELLIGENCE

Documents
La Resilienza

La Resilienza

Documents
Conceptualising Cyber Counterintelligence · 2020. 9. 10. · Keywords: cyber counterintelligence, cyber threat intelligence, offensive cybersecurity, cyber counterintelligence levels,

Conceptualising Cyber Counterintelligence · 2020. 9. 10. · Keywords: cyber counterintelligence, cyber threat intelligence, offensive cybersecurity, cyber counterintelligence levels,

Documents
Terrorism & Counterintelligence Thesis

Terrorism & Counterintelligence Thesis

Documents
KUBARK Counterintelligence Interrogation

KUBARK Counterintelligence Interrogation

Documents
Meditazione e resilienza

Meditazione e resilienza

Health & Medicine
KUBARK - Counterintelligence Interrogation - July 1963

KUBARK - Counterintelligence Interrogation - July 1963

Documents
Counterintelligence Corps in Wwii

Counterintelligence Corps in Wwii

Documents
RESILIENZA E RIGENERAZIONE: APPUNTI Ottobre 2016, Angela ... · RESILIENZA E RIGENERAZIONE: APPUNTI Ottobre 2016, Angela Colucci 2 Significati e proprietà di resilienza Definizioni

RESILIENZA E RIGENERAZIONE: APPUNTI Ottobre 2016, Angela ... · RESILIENZA E RIGENERAZIONE: APPUNTI Ottobre 2016, Angela Colucci 2 Significati e proprietà di resilienza Definizioni

Documents
INTRODUCTION TO U.S. COUNTERINTELLIGENCE

INTRODUCTION TO U.S. COUNTERINTELLIGENCE

Documents
Vulnerabilità VS Resilienza

Vulnerabilità VS Resilienza

Documents
National Counterintelligence Executive CI Glossary

National Counterintelligence Executive CI Glossary

Documents
IX. CIA COUNTERINTELLIGEXCE - Stratejik İstihbarat · PDF fileIX. CIA COUNTERINTELLIGEXCE A. COUNTERINTELLIGENCE : AN INTRODUCTION 1. Definitio?L of Counterintelligence Counterintelligence

IX. CIA COUNTERINTELLIGEXCE - Stratejik İstihbarat · PDF fileIX. CIA COUNTERINTELLIGEXCE A. COUNTERINTELLIGENCE : AN INTRODUCTION 1. Definitio?L of Counterintelligence Counterintelligence

Documents
Studio Sulla Resilienza

Studio Sulla Resilienza

Documents
The Army Counterintelligence Program

The Army Counterintelligence Program

Documents
Army Counterintelligence Liaison Activities

Army Counterintelligence Liaison Activities

Documents
CounterIntellIgenCe AwAreness - Lockheed Martinlockheedmartin.com/.../clearanceconnection/CI_Awareness_briefing.pdf · According to Executive Order 12333, Counterintelligence (CI)

CounterIntellIgenCe AwAreness - Lockheed Martinlockheedmartin.com/.../clearanceconnection/CI_Awareness_briefing.pdf · According to Executive Order 12333, Counterintelligence (CI)

Documents
Counterintelligence theory and practice

Counterintelligence theory and practice

Documents
Counterintelligence Paper

Counterintelligence Paper

Documents
MANUALE DI RESILIENZA

MANUALE DI RESILIENZA

Documents
Counterintelligence - University of Michigan Press · PDF fileChapter 5 Counterintelligence As the shield is a practical response to the spear, so counterintelligence is to intelligence

Counterintelligence - University of Michigan Press · PDF fileChapter 5 Counterintelligence As the shield is a practical response to the spear, so counterintelligence is to intelligence

Documents
Stress panico-resilienza

Stress panico-resilienza

Health & Medicine
Counterintelligence Glossary A

Counterintelligence Glossary A

Documents
Presentazione di PowerPoint - Osservatorio Pratiche di ... · FORUM PRATICHE DI RESILIENZA 2017 Resilienza FORUM PRATICHE DI RESILIENZA Acquario di Milano 1 24febbrai02017 INNOVAZIONE:

Presentazione di PowerPoint - Osservatorio Pratiche di ... · FORUM PRATICHE DI RESILIENZA 2017 Resilienza FORUM PRATICHE DI RESILIENZA Acquario di Milano 1 24febbrai02017 INNOVAZIONE:

Documents
402 chapter 7 counterintelligence

402 chapter 7 counterintelligence

Government & Nonprofit