Strumenti e metodologie per l analisi del rischio nella security aeroportuale

Transcript

1 XXI Convegno 3ASI Istituto Superiore Antincendi, Roma 22/23 Novembre 2005 L analisi dei rischi come strumento di supporto alle decisioni. Strumenti e metodologie per l analisi del rischio nella security aeroportuale Galileo Tamasi Ente Nazionale per l Aviazione Civile (ENAC) g.tamasi@enac.rupa.it ENAC XXI Convegno 3ASI Roma 22/23 Novembre

2 Aviazione civile: ancora un obiettivo? August th, 2004 The Russian airplane bombings was a terrorist attack on two domestic Russian passenger aircraft. Both planes had flown out of Domodedovo International Airport in Moscow. November 18th, 2003 Czech airline enroute to New York from Prague forced to land in Iceland Bomb threat and intelligence October 23rd & 24th, 2003 El Al airlines forced to land in Hamilton Canada due to threat of a surface-to-air missile attack at intended stop of Toronto August 19th, 2003 Hijacking of a flight from Algiers to Lille Man claimed to have a grenade and ordered the plane to Geneva ENAC XXI Convegno 3ASI Roma 22/23 Novembre

3 International Civil Aviation Organization (ICAO) - Azioni Dall 11 settembre 2001 nuove misure sono state applicate per proteggere gli aeromobili dalle minacce di dirottamenti e sabotaggi e nuove metodologie preventive sono state sviluppate per prevenire azioni che possono minacciare la sicurezza dell aeromobile. L ICAO ha compreso immediatamente l urgenza e la necessità di ristabilire l integrità del sistema aviazione civile e ha incontrato i rappresentanti di 32 nazioni per discutere le nuove misure di sicurezza. A tale fine l ICAO ha raccomandato l Universal Security Oversight Audit Program (USOAP) e ha fatto confluire le sue regole e raccomandazioni nelle Standard Recommended Practices (SRPs). ENAC XXI Convegno 3ASI Roma 22/23 Novembre

4 I documenti chiave dell ICAO Nuovi standard e raccomandazioni nella settima edizione dell Annesso 17 Manuale per la Security Doc (Restricted) ENAC XXI Convegno 3ASI Roma 22/23 Novembre

5 ICAO Doc Risk Management Threat Assessment L annesso 17 richiede ad ogni Stato appartenente all organizzazione (Contracting State) una continua valutazione del livello di minaccia per le attività dell Aviazione Civile e un corrispondente adeguamento del proprio programma nazionale di security. Queste attività richiedono due strumenti fondamentali il Threat assessment e il Risk Management che insieme forniscono una valida risposta agli atti illegali e terroristici verso l Aviazione Civile. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

6 Il Risk Management Effettivo controllo dei Rischi Comprensione dei Rischi - Cosa può andare male? - Qual è la probabilità che accada? - Quali sono le conseguenze? Specifici obiettivi in merito ai Rischi - Criteri di accettazione del Rischio - Miglioramento continuo Controllo dei fattori che influenzano i Rischi - Configurazione di infrastrutture e impianti - Preparazione e capacità di intervento del personale - Evoluzione di fattori esterni al sistema Sistemi di gestione del rischio (Security Risk Management Systems ) ENAC XXI Convegno 3ASI Roma 22/23 Novembre

7 Critical Assets Threats Vulnerabilities Risks L analisi del rischio Analysis Security Measures Obiettivi di una analisi Management Risk Analysis il livello di rischio attuale le possibili conseguenze di attacchi le azioni da intraprendere se il rischio residuo è superiore ai valori accettabili Consequence Assessment Emergency Response Models Economic Assessment Decision Analyses of Countermeasures ENAC XXI Convegno 3ASI Roma 22/23 Novembre

8 Tre generazioni di Analisi del Rischio Risk Analysis & Management devono essere parte integrante nello sviluppo di un sistema, non devono intuizione esseree utilizzati giudizio che a posteriori consente di assegnare valori numerici per Tre generazioni di metodi descirvere I potenziali 1a Generazione: Checklists rischi e le possibili Esempio: BS 7799 Part 1 (BS EN ISO17799) perdite. ICAO Audits 2a Generazione: metodi ingegneristici Esempio: Il metodo del risk assessment Quantitativa Cerca di (Qualitativo & Quantitativo) definire in modo rigoroso i valori numerici delle Non ancora raggiunta? probabilità di subire danni per effetto del Nuovo progetto ENAC per I sistemi di Security negli Aeroporti di Pantelleria & Lampedusa concretizzarsi di minacce verso obiettivi vulnerabili. 3a Generazione: Progettazione integrata Qualitativa Una analisi basata sull esperienza, ENAC XXI Convegno 3ASI Roma 22/23 Novembre

9 Il processo di analisi del rischio quantitativa Considerare un insieme di scenari Scegliere uno scenario Characterize Individuare Maximum la Massima Consequence Conseguenza La massima conseguenza è < X? Yes Si rimane sulle Protezioni standard Recupero informazioni relative alle minacce dai servizi segreti No Sviluppare il modello di scenario Riconfigurare lo scenario con le nuove strategie di controllo Analisi del livello di minaccia Analisi del livello di criticità Analisi del livello di vulnerabilità Caratterizzazione del Rischio per lo scenario Fine Yes Il livello di Rischio è accettabile? No Sviluppare strategie di controllo del rischio ENAC XXI Convegno 3ASI Roma 22/23 Novembre

10 Il processo di analisi del rischio quantitativa Viene costruito un insieme di scenari che sono esaminati attraverso le analisi del livello di vulnerabilità, del livello minaccia, del livello di criticità Ogni scenario viene investigato al fine di ottenere una stima del livello di rischio complessivo che può essere espresso attraverso la valutazione delle perdite economiche attese su base annuale. Per ogni scenario possono essere definite le idonee contromisure necessarie a mitigare il livello di rischio entro valori ritenuti accettabili. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

11 Scenario 1:L obiettivo = la sottostazione elettrica Le radioassistenze guidano l aeromobile mediante un approccio strumentale di precisione alla pista di volo Gli Aiuti Visivi Luminosi Aeroportuali consento ai piloti di verificare la correttezza della procedura strumentale e quindi di atterrare Radio Navigation Aids Airfield Ground Lighting ENAC XXI Convegno 3ASI Roma 22/23 Novembre

12 Scenario 1: analisi del livello di criticità Passeggeri/Anno Passeggeri/Giorno 24657,53425 Numero di Giorni 7 Perdite per passeggero per mancato volo 150,00 Perdite per passeggero per mancate attività commerciali 50,00 Perdite totali dal traffico passeggeri ,95 Tonnellate Cargo/Anno Tonnellate Cargo/Giorno 68, Numero di giorni 7 Perdite per tonnellata cargo per mancato volo 5.000,00 Perdite totali dal traffico cargo ,27 Costo di ricostruzione sottostazione ,00 Perdite totali ,22 Criticality Scenario 1 = C 1 = ENAC XXI Convegno 3ASI Roma 22/23 Novembre

13 Scenario 1: Analisi di vulnerabilità mediante Analisi di Operabilità Ricorsiva e Analisi dell Albero dei Guasti L analisi di vulnerabilità è la sottoprocedura che nell ambito del risk assessment identifica le labilità nelle strutture fisiche, nei sistemi di protezione del personale, nelle procedure o in altre aree, che possono essere sfruttate dai terroristi e può suggerire opzioni per eliminare o mitigare le debolezze riscontrate. L Hazop ricorsiva ha il pregio di consentire la costruzione immediata dell albero dei guasti e da questo ricavare il Top Event che in questo caso è l indisponibilità della componente sensibile individuata. L Hazop Ricorsiva inoltre consente di esaminare tutte le deviazioni dal comportamento normale dell impianto e le cause di eventuale mancato funzionamento, di tenere in conto i mancati interventi degli operatori del centro di sicurezza aeroportuale e di costruire attraverso il Diagramma delle Sequenze Incidentali il Fault Tree per l esame logico e probabilistico del sistema di protezione. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

14 External Perimeter Defence Video Surveillance 1 MicroWave Barrier Surveillance Patrols Millimeter Wave Radar Sensibile Wire System Electical Substation Scenario 1: Schema del sistema di monitoraggio e protezione A Perimetro fisico: recinzione metallica B Sistema di videosorveglianza perimetro C Sistema di barriere a microonde D Radar millimetrico Airside E Area sorvegliata mediante pattuglie F Perimetro fisico cabina elettrica e con sistema di protezione a filo sensibile G Sistema di videosorveglianza sottostazione elettrica H Sistema di protezione locali cabina elettrica mediante sensori volumetrici Video Surveillance 2 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

15 External Perimeter Defence Hazop Ricorsiva (1) Video Surveillance 1 MicroWave Barrier Surveillance Patrols Millimeter Wave Radar Deviations Potential Causes Consequences Alarm Systems Bypass external enclosure Damage airport enclosure Entry Air Side Zone 1 Sensibile Wire System Entry Air Side Zone 1 Overcoming external perimeter Entry Air Side Zone 2 Microwave System Video Surveillance Electical Substation Video Surveillance 2 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

16 External Perimeter Defence Hazop Ricorsiva (2) Video Surveillance 1 MicroWave Barrier Surveillance Patrols Millimeter Wave Radar Deviations Potential Causes Consequences Alarm Systems Bypass external enclosure Damage airport enclosure Entry Air Side Zone 1 Sensibile Wire System Entry Air Side Zone 1 Overcoming external perimeter Entry Air Side Zone 2 Microwave System Video Surveillance Electical Substation Video Surveillance 2 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

17 External Perimeter Defence Hazop Ricorsiva (3) Video Surveillance 1 MicroWave Barrier Surveillance Patrols Deviations Potential Causes Consequences Alarm Systems Millimeter Wave Radar Sensibile Wire System Entry Air Side Zone 2 Entry Air Side Zone 1 Entry Air Side Zone 3 Millimetric Radar Patrol Surveillance Electical Substation Video Surveillance 2 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

18 Check Mark Deviations Potential Causes Consequences Alarm Systems Bypass external enclosure Damage airport enclosure Entry Air Side Zone 1 Hazop Ricorsiva (4) Recursive HAZOP Automatic Protections Systems Notes Top Event Entry Air Side Zone 1 Overcoming external perimeter Entry Air Side Zone 2 Microwave System Video Surveillance Causes MI Unavailability System Microwave Unavailability Video Surveillance External Perimeter Defence Video Surveillance 1 MicroWave Barrier Surveillance Patrols Millimeter Wave Radar Sensibile Wire System Electical Substation Entry Air Side Zone 2 Entry Air Side Zone 1 Entry Air Side Zone 3 Millimetric Radar Entry Air Side Zone 3 Entry Air Side Zone 2 Entry Area Electric Facility Patrol Surveillance Sensitive Wire Protection System Video Surveillance TOP EVENT 1 MI Security Operator Unavailability Monitoring Network Causes MI Unavailability Milimetric Radar Unavailability Patrols Surveillance MI Security Operator Unavailability Monitoring Network Ingresso nella sottostazione elettrica Causes MI Indisponibiità Sistema Spins Sensitive Unavailability Videosorveglianza MI Security Operator Unavailability Monitoring Network Entry Area Facility Elettrica Entry Air Side Zone 3 Entry Electric Facility Volumetric Control System Causes MI MI Volumetric Control System TE1 Video Surveillance 2 MI Security Operator Unavailability Monitoring Network Analists: Galileo Tamasi & Micaela Demichela Date: 1/9/2005 Pag: 1/2 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

19 FTA & ASTRA per Windows Il software gira sotto Microsoft Windows e ha un approccio di tipo modulare:: Gli alberi di guasto sono risolti quantitativamente e sia logicamente che probabilisticamente, sulla base di parametri affidabilitstici prelevati da banche dati di affidabilità e da inforamzioni certificate dai produttori. Il mancato intervento (MI) di ogni sistema di protezione è inteso come Probabilità di Fallimento su Domanda. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

20 Fault Tree risolto con il programma ASTRA-FTA Electric Facility Invasion TOP G2INH G1OR G2INH G1OR G3INH G2AND GE1 MI Volumetric Alarm G3INH G2AND 2.3 GE1 E2 G7INH G5AND G4OR G3OR G7INH G5AND G4OR G3OR G8AND MI Perimeter Defence G6OR MI Patrol Operators MI Sensible Wire Alarm GE1 MI Video Surveillance GE1 G8AND E14 G6OR E1B E6 A1 GE1 *E4 A1 GE G10OR G9OR GE1 MI Millimetric Radar Alarm G10OR G9OR GE1 2.1 G10OR 2.2 G9OR A1 GE1 E9 G10OR G9OR A GE1 MI Video Surveillance GE1 MI Microwave Sensors Al arm GE1 MI Secu ri ty Operator MI Alarm Telematics Network *E4 A1 GE1 E10 A1 GE1 E1 ERM ENAC XXI Convegno 3ASI Roma 22/23 Novembre

21 Scenario 1: Risultati dell analisi Event Failure Repair Unavaila- Test Description name rate time bility interval E E-03 MI Security Operator E E-03 MI Microwave Sensors Alarm E E-01 MI Perimeter Defence E1B E-02 MI Patrol Operators E E-03 MI Volumetric Sensors Alarm E E-03 MI Video Surveillance E E-04 MI Sensitive Wire Alarm E E-04 MI Millimeter-wave radar Alarm ERM E-05 MI Alarms Telematics Network # Minimal cutsets E1 E14 E1B 2 E14 E1B ERM Number of mimimal cutsets : 2 Unavailability of TOP event : e-006 Expected Number of Failures of TOP event : e-006 Mission time (hours) : e+003 Truncation error : e+000 Summary of results ENAC XXI Convegno 3ASI Roma 22/23 Novembre

22 Scenario 1: Fault Tree Analysis Results (1) # Minimal cutsets E1 E14 E1B 2 E14 E1B ERM MCS #1 E1 = MI Operatore della security E14 = MI Sistema di difesa perimetrale E1B = MI Operatori della pattuglia ENAC XXI Convegno 3ASI Roma 22/23 Novembre

23 Scenario 1: Fault Tree Analysis Results (2) # Minimal cutsets E1 E14 E1B 2 E14 E1B ERM MCS #2 E14 = MI Sistema di difesa perimetrale E1B = MI Operatori della pattuglia ERM = MI Network telematico degli allarmi ENAC XXI Convegno 3ASI Roma 22/23 Novembre

24 Profilazione per il Threat assessment conoscere la configurazione degli impianti aeroportuali e la collocazione della cabina conoscere le procedure di sorveglianza aeroportuale avere conoscenze di reti di monitoraggio allarmi avere attrezzature per scavalcare la recinzione avere attrezzature per sabotare la rete di monitoraggio allarmi avere armi e strumenti per aggirare i controlli della pattuglia avere armi e strumenti per disabilitare la cabina elettrica ENAC XXI Convegno 3ASI Roma 22/23 Novembre

25 Scenario 1: Threat assessment L analisi della popolazione delle minacce incombenti è delegata ai servizi segreti, al ministero della difesa e al ministero dell interno. L autorità per l aviazione civile (ENAC) contribuisce tuttavia all identificazione degli elementi chiave che devono essere tenuti in considerazione nell analisi, soprattutto nella classificazione di importanza relativa degli aeroporti. Groups and Skills 16 Skill Rating Livello di taglio fornito dalla profilazione Group Number ENAC XXI Convegno 3ASI Roma 22/23 Novembre

26 Scenario 1: Il progetto di attacco Groups andskills Skil Rating Group Number ENAC XXI Convegno 3ASI Roma 22/23 Novembre

27 Scenario 1: Event Tree Analysis (1) Attacco Terroristico Attaccare Attaccare? 0 Non attaccare VERO Ospedale Aeroporto Rete Ferroviaria Navigazione Marittima Quale Obiettivo? Rete elettrica Dighe Reti di trasporto fluido Sistemi Informativi Altri Obiettivi FALSO 0 VERO 1 FALSO Malpensa Linate Quale Aeroporto Fiumicino Bari Altri FALSO 0 FALSO 0 FALSO 0 FALSO 0 FALSO 0 FALSO 0 FALSO 0 VERO 0 Terminal Sottostazione Elettrica FALSO Quale Area Fisica Deposito Carburanti Parcheggio Aeromobili Altre aree fisiche FALSO 0 FALSO 0 FALSO 0 VERO 0 FALSO 0 FALSO 0 FALSO 0 FALSO 0 ENAC XXI Convegno 3ASI Roma 22/23 Novembre

28 Scenario 1: Event Tree Analysis (2) Sottostazione Elettrica Acquisizione Informazioni Chance 0 Fallimento Acquisizione Fondi 85,0% Chance Fallimento 5,0% 0,0255 Formazione Gruppo 80,0% Chance Fallimento 15,0% 0,09 75,0% Chance Fallimento 20,0% 0,15 25,0% 0,25 Attacco Riuscito 16,1% 0, Costruzione Bomba 95,0% Chance branch Fallimento 83,9% 0, Acquisizione Esplosivi 95,0% Chance branch Fallimento 5,0% 0, T1 = Frequenza di Attacco /Anno ENAC XXI Convegno 3ASI Roma 22/23 Novembre

29 Scenario 1: Event Tree Analysis (3) Attacco Sottostazione Disabilitazione Recinzione Fallire Chance 0 Disabilitazione Rete Allarmi 95,0% Chance Fallire 5,0% 0,05 Evitare Polizia 75,0% Chance Fallire 25,0% 0,2375 Detonare Bomba 25,0% Chance 75,0% 0, V1 = Probabilità di fallimento delle misure di protezione Fallire 95,0% 0, ,0% 0, ENAC XXI Convegno 3ASI Roma 22/23 Novembre

30 Scenario 1 : Risultati Finali Risk = [Threat (T) x Vulnerability (V)] x Criticality (C) Risk = T1 x V1x C1=ALE1 ALE1 = Perdita attesa su base annua 0.46 x 0.16 x = /Anno (Annual Loss Expectancy) ENAC XXI Convegno 3ASI Roma 22/23 Novembre

31 Conclusioni (1) L analisi di rischio quantitativa condotta con le metodologie RAMS ha mostrato la possibilità di investigare livelli di minaccia, vulnerabilità e criticità dei componenti di una infrastruttura aeroportuale. La procedura consente di determinare il livello atteso di minaccia in termini di numero di attacchi annui, il livello di vulnerabilità in termini di probabilità di fallimento del sistema di protezioni e il livello di criticità dell obiettivo considerato. Il risk assessment quantitativo si è dimostrato uno strumento di supporto alle decisioni anche nel settore della security aeroportuale. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

32 Conclusions (2) Conclusions (2) Alla fine del processo di analisi del rischio si ottengono le informazioni necessarie per selezionare adeguate contromisure e decidere in merito agli investimenti economici. Il mantenimento del livello ottimale di contromisure è un compito del risk management che risulta di fondamentale importanza per pianificare un continuo miglioramento dei sistemi di sicurezza per gli aeroporti e gli aeromobili. La proprietà di un sistema di sicurezza aeroportuale di adattarsi rapidamente alle nuove minacce emergenti mediante l impiego degli strumenti di analisi del rischio è sicuramente il miglior indicatore della capacità del sistema di assicurare adeguata protezione al settore dell aviazione civile. ENAC XXI Convegno 3ASI Roma 22/23 Novembre

33 Grazie per l attenzione. ENAC XXI Convegno 3ASI Roma 22/23 Novembre