Analisi del rischio terrorismo per un sito industriale. Paolo Vestrucci

Transcript

1 Analisi del rischio terrorismo per un sito industriale Paolo Vestrucci

2 Premessa L esigenza di una maggior sicurezza rispetto al rischio di possibili atti terroristici ha prodotto una crescente spinta nella definizione di metodologie di analisi volte all individuazione di adeguate misure di prevenzione e protezione anche per gli insediamenti industriali con particolare riguardo per gli stabilimenti classificabili a rischio di incidente rilevante. Come si evince dai dati tratti dal MIPT (National Memorial Institute for the Prevention of Terrorism - Terrorism Knowledge Base), le attività industriali o commerciali costituiscono uno degli obiettivi, su scala mondiale, percentualmente più colpiti da attacchi terroristici. 2

3 Target N incidents % Private Citizens & Property Premessa Government Business Diplomatic Police Other Private Citizens & Property Government Transportation Religious Figures/Institutions Military Business Airports & Airlines Diplomatic Utilities Unknown Police Journalists & Media Other Educational Institutions NGO Transportation Religious Figures/Institutions Military Tourists Terrorists Maritime Telecommunication Food or Water Supply Abortion Related TOTAL

4 Target N incidents Injurie s Fatalities (I+F)/ N incidents Premessa Transportation Religious Figures/Institutions Tourists Military Police Airports & Airlines Business (I+F)/ N incidents Private Citizens & Property Educational Institutions Terrorists Diplomatic Government Maritime Other Transportation Tourists Police Business Educational Diplomatic Maritime Unknow n Telecommunication Abortion R elated Food or Water Unknown NGO Telecommunication Journalists & Media Abortion Related Utilities Food or Water Supply

5 Caratteristiche della metodologia proposta La gestione del rischio terrorismo, per la complessità e l eterogeneità delle valutazioni coinvolte, richiede una metodologia sistematica e strutturata che permette una analisi esaustiva delle possibili modalità di attacco e delle vulnerabilità che la struttura analizzata presenta. L approccio metodologico proposto deve essere fressibile ovvero applicabile in analisi caratterizzate da un diverso grado di dettaglio e per finalità differenti (l individuazione delle infrastrutture sensibili o l analisi di dettaglio di una certa infrastruttura sensibile 5

6 Modalità d attacco L individuazione dei soggetti terroristici (Threats) e la loro caratterizzazione è una attività di pertinenza dele realtà governative preposte. L individuazione delle modalità di attacco (Hazard) è strettamente correlata all esito dell attività precedente; tuttavia, anche in assenza di indicazioni precise, si può precedere ad uno screening mediante l utilizzo di: Databases, per lo più di origine governativa americana ed inglese, che permettono la consultazione di numerosissimi reports su azioni terroristiche su scala mondiale e per un arco temporale considerevole. Check list di Hazard, quale quella definita indicata della Federal Emergency Management Agency (FEMA). Tale approccio, suggerito dal National Institute of Standard and Technology (NIST), permette di prescindere dalla identificazione e caratterizzazione dei gruppi terroristici, quindi dalla stima della probabilità di accadimento di un definito atto ostile. 6

7 Vulnerabilità La vulnerabilità viene definita come l insieme di caratteristiche o parti fisiche del sistema che possono essere sfruttate per creare un danno al sistema. Accessibilità aspetti che facilitano la realizzazione di un determinato atto terroristico Gravità del danno aspetti che determinano un aggravio dei danni attesi in seguito ad un determinato atto terroristico 7

8 Gravità del danno La stima della gravità delle conseguenze associate a ciascuna modalità di attacco è stata realizzata tenendo conto dei diversi aspetti di danno ritenuti significativi: danni sull uomo, danni materiali, indisponibilità di servizio, conseguenze non tangibili (impatto sull opinione pubblica, ecc.). In questo contesto, la criticità relativa di ciascun aspetto di danno è funzione delle caratteristiche della struttura e del soggetto che la gestisce / utilizza ed è quindi da definire sulla base del caso applicativo specifico. 8

9 Approccio metodologico Il processo di analisi del rischio terrorismo proposto è articolato in quattro fasi distinte: Hazard identification, Vulnerability assessment, Hazard analysis, Risk assessment. 9

10 Hazard Log Strumento di gestione del rischio, da aggiornare nel corso di tutta l attività d analisi. È un registro, articolato in conformità alle quattro fasi del processo, dove sono riportati i risultati in termini di identificazione e caratterizzazione delle modalità di attacco, analisi di vulnerabilità, analisi degli scenari di danno, valutazione del rischio e identificazione delle possibili misure tecniche e/o operative, associate a ciascun aspetto vulnerabile ed a ciascuna modalità di attacco. 10

11 1. Hazard Identification La fase di Hazard Identification è finalizzata alla identificazione ed alla caratterizzazione delle modalità di attacco. La metodologia proposta si basa su una lista delle modalità di attacco desunta dalle pubblicazioni della Federal Emergency Management Agency (FEMA, [1]) integrata ed adattata in base alle caratteristiche specifiche del target in esame (sito industriale). 11

12 2. Vulnerability assessment La fase di Vulnerability assessment è finalizzata alla valutazione degli aspetti di vulnerabilità (caratteristiche specifiche o parti fisiche del sistema) che, con riferimento ad una modalità d attacco, possono comportare scenari di danno significativi. Un Indice di Vulnerabilità complessivo viene definito per ciascuna modalità di attacco come media degli indici assegnati a ciascun aspetto di vulnerabilità. 12

13 3. Hazard analysis L attività di Hazard analysis è finalizzata alla stima delle conseguenze per ciascuna modalità di attacco. In fase di analisi preliminare si propone di assegnare un Indice di danno complessivo a ciascuna modalità di attacco, con riferimento allo scenario di danno più gravoso tra quelli ipotizzabili. 13

14 3. Hazard analysis L Indice di danno complessivo è composto dal contributo di diverse Tipologie di danno (Damage feature): Loss of Human Life, Material damage, Unavailability / business interruption Untouchable consequence (image and public opinion). I valori assegnati all indice di danno sono definiti come segue: 0 No Damage 1 Minor Damage 2 Significant Damage 3 Major Damage Quale caratterizzazione della struttura, per ciascuna delle suddette tipologie di danno è definito un peso che ne rappresenta l importanza relativa nella valutazione complessiva delle conseguenze di ciascuna modalità di attacco. L Indice di danno complessivo viene calcolato, per ciascuna modalità di attacco, come media dei Damage indexes assegnati a ciascuna tipologia di danno, pesata sui coefficienti (normalizzati) che caratterizzano la struttura. 14

15 4. Risk assessment Per ciascuna modalità di attacco il metodo prevede la stima di un indice complessivo di rischio (Risk index) calcolato sulla base della vulnerabilità della struttura (Vulnerability index) delle sue conseguenze più gravose (Damage index). L espressione utilizzata è la seguente: Risk index = Vulnerability index + Damage index 1 15

16 Caso applicativo Serbatoi Pensiline di carico uffici guardiania Deposito di benzina e gasolio Parcheggio di sosta autobotti Deposito circoscritto da un muro in cemento, Area dedicata allo stoccaggio dei prodotti caratterizzata da serbatoi fuori terra posti all interno di bacini di contenimento in cemento; Area per il carico e scarico dei prodotti dalle autobotti; Palazzina uffici dove è allocata la sala controllo ; Posto di guardiania con accessi distinti per le autobotti in ingresso ed in uscita. Tubazioni poste anche in quota (su pipe rack) o in trincea a vista Area pompe all aperto delimitata da un muro di contenimento. All esterno del deposito è presente una vasta area desinata alla sosta dei mezzi in attesa del carico 16

17 Hazard Identification Processo di integrazione e/o semplificazione della check list FEMA basato su valutazioni di completezza e di applicabilità al caso in esame delle varie modalità d attacco. In particolare, rispetto alla lista di partenza, si sono condotte le seguenti valutazioni: mantenere inalterata l articolazione relativa alle bombe convenzionali considerata esaustiva; mantenere inalterate e distinte anche le liste dei Biological Agents e Chemical Agents, pur essendo poco interessante tale distinzione per la tipologia di target in esame; escludere la voce Nuclear Device perché il target in esame non determinerebbe nessuna aggravante di danno rispetto ad una collocazione esterna né una condizione particolarmente accessibile escludere le voci Agriterrorism e Cyberterrorism perché scarsamente pertinenti; introdurre la voce Sabotage / Manumission; 17

18 Hazard Identification Le modalità d attacco considerate nell analisi sono: Stationary vehicle Moving vehicle Conventional bomb Biological Agents Chemical Agents Armed Arson/Incendiary Attack Radiological Agents Hazardous Material Release Sabotage / Manumission Mail Thrown Placed Personnel Anthrax, Plague, Viral hemorrhagic fever, Smallpox, Botulism, etc. Blister, Blood, Choking/lung/pulmonary, Nerve, etc. Ballistics, Stand-off weapons - Alfa, Beta, Gamma

19 Vulnerability assessment Gli aspetti di vulnerabilità considerati sono: Sito Caratteristiche costruttive / Lay-out Sostanze e processi pericolosi Utilities Systems Attività operative e di manutenzione Security Systems Area circostante (popolazione, viabilità, aspetti geomorfologici, parcheggi, ecc.) Caratteristiche costruttive, tipologia di apparecchiature, ecc. Presenza di sostanze pericolose (infiammabili, esplosive, tossiche, ecotossiche) o di processi in grado di produrre effetti di danno Alimentazione elettrica, acqua, aria compressa, sistemi di condizionamento, riscaldamento, sistema fognario Antincendio, Communications and Information Technology (IT) Systems Tipologia di attività umane / operazioni eseguite (personale interno, manutenzione, ecc.) Muri, sistemi perimetrali, controllo degli accessi, sistemi di sorveglianza, ecc. 19

20 Vulnerability assessment Per ognuno degli aspetti di vulnerabilità, in relazione ad ogni singola modalità d attacco, è stato assegnato un indice di vulnerabilità specificando se l aspetto di vulnerabilità è riferito a: e/o Gravità del danno Accessibilità del target Per l analisi, sono state utilizzate unicamente informazioni di pubblico accesso; tale approccio consente di realizzare una implicita analisi di accessibilità delle informazioni (identificazione delle informazioni ritenute vitali in quanto necessarie ad individuare un aspetto come vulnerabile). 20

21 Vulnerability assessment 1) Hazard Identification 2) Vulnerability assessment Hazard Applicati on Mode Hazard Duration Vulnerability feature Damage Impact Accessi bility Impact Vulnerabi lity index Comments All Vulnerability features 1,17 Convention al Bomb Stationary vehicle Detonatio n of explosive device on or near target. Istantaneous; additional secondary devices may be used, lengthening the time duration of the hazard until the attack site is determined to be clear Site Architectural - Structural System - Lay out Hazardous materials / process Utilities Systems Equipment Operations and Maintenance x x x x x x Parcheggio atb esterno Serbatoi fuori terra Benzina in quantità rilevante - Molto traffico in ingresso ed uscita Security Systems x 1 Sorveglianza poco attiva sul parcheggio 21

22 Vulnerability assessment Indice di Vulnerabilità 2,50 2,00 Aspetti vulnerabili 1,50 Security Systems Equipment Operations and Maintenance 1,00 Utility Systems Hazardous materials / process 0,50 Architectural - Structural System Site 0,00 Stationary vehicle Moving vehicle Mail Thrown Placed Personnel Biological Agents Chemical Agents Armed Modalità d'attacco Arson/Incendiary Attack Radiological Agents Hazardous Material Release Sabotage / Manumission 22

23 Hazard analysis La stima delle conseguenze di danno per ogni modalità d attacco è stata condotta assegnando un indice di gravità alle varie tipologie di danno considerate e ricomponendo un indice complessivo di danno pesato sulle varie tipologie. I pesi proposti per caratterizzare il target analizzato, sono: Damage feature Human Life Material damage Mission unavailability / business interruption Untouchable consequence: image Untouchable consequence: public opinion Damage weight

24 Hazard analysis L assegnazione di suddetti pesi è realizzata sulla base delle seguenti considerazioni qualitative: la perdita di vite umane rappresenta indubbiamente l aspetto più critico da valutare nella stima del danno prodotto dall evento terroristico; i danni materiali dovuti sia a danni diretti che per interruzione dell attività costituiscono una delle principali motivazioni d attacco verso obiettivi industriali; quali conseguenze intangibili, si ritiene equivalente sia l impatto sull opinione pubblica dell evento in sé, che il danno di immagine subito dal soggetto che gestisce / usufruisce della struttura. 24

25 Hazard analysis Dammage Index 2,50 Untouchable consequence: public opinion Untouchable consequence: image 2,00 Anavailability / business interruption 1,50 Material damage 1,00 Loss of Human Life 0,50 0,00 Stationary vehicle Moving vehicle Mail Thrown Placed Personnel Biological Agents Chemical Agents Armed Arson/Incendiary Attack Radiological Agents Hazardous Material Release Sabotage / Manumission 25

26 Risk assessment Risk 3,50 3,00 2,50 2,00 1,50 1,00 0,50 0,00 Stationary vehicle Moving vehicle Mail Thrown Placed Personnel Biological Agents Chemical Agents Modalità d'attacco Armed Arson/Incendiary Attack Radiological Agents Hazardous Material Release Sabotage / Manumission 26

27 Risk assessment 4,00 Danno 3,00 2,00 1,00 Placed Thrown Moving vehicle Sabotage / Manumission Stationary vehicle Mail Personnel Arson/Incendiary Attack Armed Radiological Agents Biological Agents Chemical Agents Hazardous Material Release Stationary vehicle Moving vehicle Mail Thrown Placed Personnel Biological Agents Chemical Agents Armed Arson/Incendiary Attack Radiological Agents Hazardous Material Release Sabotage / Manumission 0,00 0,00 1,00 2,00 3,00 4,00 Vulnerabilità 27

28 Conclusioni L approccio metodologico proposto permette di ottenere alcuni vantaggi. Fra cui: 1. l analisi sistematica delle modalità di attacco e, per ciascuna, delle vulnerabilità del target permette di identificare le circostanze più critiche in termini di facilità di accesso ovvero di conseguenze di un evento terroristico particolarmente gravose; 2. il grado di dettaglio dell analisi può essere stabilito sulla base delle finalità proposte, non alterando l approccio metodologico complessivo; 3. il modello è integrabile in un contesto di analisi del tipo costi - benefici, permettendo la valutazione del rischio residuo a valle della implementazione di contromisure aggiuntive 28

29 Conclusioni In fase di analisi di dettaglio, generalmente riferita ad un numero limitato di modalità di attacco, l attività di Hazard Analysis dovrebbe: 1. identificare e formalizzare i possibili scenari di danno associati a ciascuna modalità di attacco ed analizzarne le possibili evoluzioni; 2. tenere conto di possibili attacchi diversivi (eventualmente realizzati su infrastrutture diverse) e di situazioni di emergenza dovute ad eventi esterni, anche non intenzionali; 3. identificare sistematicamente gli scenari conseguenti al fallimento di ciascuna misura tecnica predisposta; 4. analizzare le misure predisposte per la gestione dell emergenza integrando il modello ad indici definito in modo da tener conto della loro efficacia e tempestività. 29