10 minute read
Security, sicurezza delle informazioni e privacy
Garantire la massima sicurezza delle stazioni e dei treni, per tutelare i viaggiatori e il personale in servizio, presidiare e proteggere costantemente i sistemi e le infrastrutture del Gruppo attraverso lo svolgimento di attività di cyber security volte a garantire la continuità
Security
La sicurezza e la tutela del personale, dei viaggiatori/ frequentatori delle stazioni, dei beni e del know-how rappresentano per il Gruppo un valore essenziale.
Il Gruppo investe costantemente al fine di garantire e monitorare la sicurezza del viaggio e dei luoghi in cui opera dei propri servizi, nonché la riservatezza, l’integrità e la disponibilità delle informazioni proprie e di clienti, stakeholder e partner di riferimento rappresentano una priorità per il Gruppo.
Nel corso del 2022 sono stati registrati:
• 1.800 furti a danno dei viaggiatori a bordo treno. I dati risultano in netta diminuzione rispetto al 2019 (2.692 furti), anno che, come noto, non è stato influenzato dalla riduzione dell’offerta commerciale;
• 879 furti a danno dei viaggiatori in stazione, in aumento del 46,2% rispetto allo scorso anno, dovuto al fatto che le restrizioni disposte a causa dell’emergenza pandemica hanno comportato un rilevante decremento nella frequentazione delle stazioni da parte dei viaggiatori. I dati, se paragonati all’anno 2019 periodo precedente all’emergenza pandemica, confermano la tendenza positiva degli ultimi anni con una riduzione su scala nazionale pari al 17% nel numero di eventi registrati.
(infrastrutture e stazioni). Per il monitoraggio degli indicatori di sicurezza, il Gruppo ha consolidato una collaborazione con la Polizia Ferroviaria (organo istituzionalmente responsabile della prevenzione e repressione dei reati in ambito ferroviario).
Gestione Emergenza Sanitaria
Nel corso del 2022, in considerazione del prolungarsi dell’emergenza sanitaria acclarata con la dichiarazione dello stato di emergenza del 31 gennaio 2020 e successivi Decreti del Presidente del Consiglio dei Ministri, la Protezione Aziendale ha predisposto una serie di misure atte a contrastare il diffondersi del virus. Si segnala che le misure hanno subito nel tempo le dovute rimodulazioni in accordo con le disposizioni di volta in volta emanate dalle Autorità Competenti. Tra le principali misure adottate si rilevano:
• attività di rilevazione della temperatura dei viaggiatori mediante sistemi termografici installati nelle stazioni di partenza dei treni AV ed IC e gestione dei sospetti casi di contagio in ottemperanza alla Nota del Ministero delle Infrastrutture e dei Trasporti del 2 giugno 2020
• adozione di nuove modalità di gestione dei flussi di passeggeri atte a garantire il rispetto del distanziamento interpersonale (ad esempio, apposizione di segnaletica orizzontale ad alta visibilità, allestimento di percorsi di transito dedicati mediante nastri tendiflex), in ottemperanza al Decreto-legge n.6 del 23 febbraio 2020 ed ai successivi DPCM attuativi;
• emanazione di disposizioni specifiche per il personale frontline di stazione (mantenimento della distanza di sicurezza interpersonale, utilizzo di Dispositivi di Protezione Individuale, procedure per la gestione dei casi sospetti di contagio);
• gestione operativa nel caso di eventuali sovraffollamenti, attività di assistenza e comunicazione ai viaggiatori in merito alle norme vigenti in stazione;
• approvvigionamento DPI per il personale del Gruppo;
• monitoraggio statistico/analitico dei transiti di passeggeri presso i Grandi hub ove è attivo il Progetto Gate (Firenze Santa Maria Novella, Milano Centrale, Napoli Centrale, Roma Termini), finalizzato a fornire al Management un quadro esaustivo sull’evoluzione della situazione in essere, sul monitoraggio dell’efficacia delle misure adottate per indirizzare le istruzioni organizzative ed operative al personale operante sul territorio.
L’impegno del Gruppo è ovviamente anche rivolto alla sicurezza del personale di bordo e, nel corso del 2022, si è proceduto a:
• effettuare ulteriori sviluppi informatici dell’app Board Support per regolamentare l’accesso delle Forze di Polizia, a bordo dei treni regionali, che intendano usufruire delle gratuità/agevolazioni previste nei contratti di servizio con le Regioni. L’utilizzo dell’app consente, in caso di attivazione dell’apposito pulsante di allarme, il contatto tra il capotreno e il personale delle Forze di Polizia eventualmente presenti;
• proseguire nell’installazione di Sistemi di Videosorveglianza avanzati di nuova generazione, con visualizzazione “live” delle immagini sui monitor di bordo, telecamere frontali per il monitoraggio della linea e integrazione con la piattaforma MUVI, che consente la remotizzazione delle immagini;
• a installare un nuovo sistema di ripresa frontale e videosorveglianza su due ETR 500;
• a installare un nuovo sistema di videosorveglianza per emettitrici automatiche (Self-Service).
Il modello di Travel Security istituito dal Gruppo garantisce, un’attività di monitoraggio h24 dei Paesi in cui si trovino i colleghi del Gruppo FS e di assistenza ai datori di lavoro e al personale all’estero in caso di emergenza.
Il Gruppo FS ha inoltre proseguito nell’attività di prevenzione antimafia che consente, tramite l’adozione di misure ulteriori rispetto a quelle previste per legge e la costante e strutturata collaborazione con le competenti Autorità, di conseguire efficaci risultati in merito a tentativi di infiltrazione della criminalità organizzata negli affidamenti e sub-affidamenti inter-societari.
La digitalizzazione del trasporto e della mobilità ha avviato un processo di trasformazione umana e industriale dell’intero settore. L’adozione di nuove tecnologie, quali blockchain, Intelligenza Artificiale e IoT sta dotando l’industria nel suo complesso di capacità “cognitive” inimmaginabili fino a pochi anni fa. Questa nuova dimensione digitale, però, oltre ad essere il terreno su cui si svilupperà l’offerta di servizi più efficienti per la mobilità, sarà anche il contesto in cui i cyber criminali cercheranno di agire per sferrare attacchi informatici che hanno come obiettivo il furto di informazioni riservate o il blocco dell’erogazione di servizi essenziali, anche con finalità terroristiche.
Gli asset ferroviari, treni, autobus, stazioni, binari, dispositivi dei dipendenti, sistemi informatici dei fornitori, saranno sempre più interconnessi tra loro, e il rischio che la compromissione di uno solo di questi asset possa scatenare un effetto a catena tale da creare disservizi sulla circolazione e impatti sulla clientela non può essere escluso, né tantomeno accettato.
Le minacce Cyber sono una inevitabile conseguenza della digitalizzazione, che non solo la nostra azienda in qualità di operatore di servizi essenziali, ma anche l’intero sistema-Paese ha l’obbligo di riconoscere e di contenere.
Un intenso lavoro istituzionale ha portato il legislatore a emettere, negli ultimi anni, importanti decreti, con l’obiettivo di individuare gli operatori che erogano servizi essenziali per i cittadini e definire il perimetro dei sistemi tecnologici utilizzati, il cui funzionamento è fondamentale per garantire la continuità dei servizi. La Direttiva UE - NIS (Network and Information Security) in materia di cyber security, recepita in Italia con il decreto n.65 del 18 giugno 2018, prevede per il Gruppo FS Italiane, identificato come Operatore di Servizi Essenziali (OSE), l’adozione di misure tecniche e organizzative idonee a rafforzare la gestione dei rischi cibernetici e la prevenzione degli incidenti informatici nell’ambito di un modello nazionale ed europeo i cui requisiti fondamentali sono la cooperazione e l’integrazione informativa tra gli stati membri.
Inoltre, con il Decreto Legislativo n. 105 del 21 settembre 2019, è stato istituito il “Perimetro di sicurezza nazionale cibernetica”. All’interno di tale Perimetro sono compresi non solo entità pubbliche ma anche soggetti privati che possono configurarsi come attori strategici la cui protezione è essenziale per il funzionamento del sistema-Paese. Tali soggetti sono tenuti ad applicare idonee misure di sicurezza tecniche e organizzative e di notifica in caso di incidenti di sicurezza.
Nel corso del primo semestre del 2022, la struttura di Cyber Security Solutions ha fornito all’Agenzia per la Cybersicurezza Nazionale (ACN) gli elenchi aggiornati dei Beni ICT, firmati e cifrati digitalmente che, a seguito dell’analisi del rischio, e secondo il principio di gradualità, sono stati inclusi nel perimetro di sicurezza nazionale cibernetica per i servizi del settore trasporto ferroviario indicati nella suddetta comunicazione ed erogati dalla scrivente società.
In considerazione degli obblighi normativi, e della rapida evoluzione in cui si manifestano le minacce alla sicurezza, il Gruppo ha deciso di adottare un modello integrato di indirizzo e governo della security in grado di far convergere la gestione della sicurezza fisica e cibernetica in un unico punto di comando e controllo e garantire l’adozione di principi generali e logiche di intervento operative uniformi, con l’obiettivo di individuare nella maniera più tempestiva e affidabile le fonti di minaccia a prescindere da come le stesse si manifestino, se tramite un attacco fisico, cyber o ibrido, e intervenire con la massima rapidità.
È necessario assicurare un’interfaccia univoca verso Istituzioni preposte alla sicurezza, oltre che con le omologhe strutture delle imprese ferroviarie di altri Paesi. Il Gruppo ha adottato un modello organizzativo che prevede nella struttura Security&Risk – Security – Cyber Security Solutions la funzione operativa per l’attuazione e la gestione del modello di sicurezza identificato mediante le opportune linee strategiche e di indirizzo dalla struttura Technology, Innovation & Digital - Cyber Security Strategy, Governance & Architectures.
Sotto il profilo operativo la struttura Security&Risk – Security - Cyber Security Solutions ha completato e reso operativo il nuovo Cyber Security Operation Center, un polo d’eccellenza in cui convergono le risorse umane e tecnologiche più avanzate per identificare, prevenire, rilevare e contrastare gli attacchi informatici. Il Cyber Security Operation Center, assicura la protezione delle decine di migliaia di postazioni di lavoro fisse e mobili del Gruppo distribuite su tutto il territorio, e dei sistemi informativi a supporto dei processi di business e dei servizi di circolazione, attraverso le tecnologie più innovative presenti sul mercato e capaci di sfruttare le potenzialità di analisi dei Big Data e dell’intelligenza artificiale per il riconoscimento e il contrasto degli attacchi cyber.
La rilevazione delle minacce informatiche all’interno della rete e dei sistemi aziendali è assicurata da un servizio di real time security monitoring, effettuato da un presidio h24 e 365 giorni all’anno che opera presso il Cyber Security Operations Center (C-SOC) del Gruppo.
Nel corso del 2022 il team di analisti del security incident ha rilevato, contrastato e neutralizzato oltre 5.000 attacchi informatici.
Grande rilevanza in questo contesto assume il ruolo preventivo del servizio di threat intelligence, una complessa attività preventiva in cui esperti analisti ricercano e individuano continuamente nuovi minacce e percorsi di attacco specifici. Gli analisti dispongono di tecnologie in grado di automatizzare l’acquisizione di informazioni provenienti da canali certificati, principalmente istituzionali, e, attraverso collegamenti sincroni con gli apparati di sicurezza del Gruppo, di aggiornare i sistemi di difesa.
Il servizio di threat intelligence è inoltre supportato da un team interno di malware analysis, composto da specialisti in grado di scomporre il codice dei malware e analizzarne il comportamento con l’obiettivo di individuare minacce non conosciute e produrre internamente bollettini contenenti Indicatori di Compromissione (IoC), ovvero vettori di attacco che potrebbero interessare tutti i settori, e condividerli con le Istituzioni e con gli altri Operatori di Servizi Essenziali.
La struttura di Cyber Security Solutions nell’ottica di prevenire e contrastare tentativi di accesso illecito, frodi o tentativi di frode a danno dei sistemi e delle tecnologie informatiche usate dal Gruppo, in conformità con quanto stabilito nella Convenzione per la Prevenzione dei Crimini Informatici sui sistemi di gestione per le Infrastrutture Critiche, ha dato avvio a un programma formativo congiunto con il C.N.A.I.P.I.C (Centro Nazionale Anticrimine Informatico Per le Infrastrutture Critiche) della Polizia di Stato con particolare riguardo alle questioni di natura tecnica, organizzativa, giuridica, politica, etica e socio-economica per la promozione della sicurezza cibernetica in azienda. Nel 2022 la struttura Cyber Security Solutions, in collaborazione con RFI, ha avviato il progetto di monitoraggio dello stato di sicurezza degli impianti di circolazione. L’attività si è concretizzata con la progettazione e la realizzazione di una soluzione autoconsistente, denominata CyberBox, che, distribuita sui vari impianti, consente di monitorarne lo stato di sicurezza e di inviare gli eventi anomali intercettati al SOC di Gruppo per l’analisi e l’attivazione di eventuali allarmi nel caso di incidenti di sicurezza.
L’esposizione dei servizi di business di Gruppo sulla rete pubblica (Internet) richiede la predisposizione di sistemi di sicurezza avanzati in grado di intercettare e contrastare automaticamente attacchi provenienti dalla rete stessa e volti a compromettere i servizi erogati. A questo scopo, la struttura di Cyber Security Solutions, ha predisposto un servizio di protezione da attacchi DDOS (Distributed Denial of Service) e Applicativi denominato Anti-DDoS e WAF (Web Application Filtering) in tecnologia AKAMAI (Kona e Prolexic).
A seguito della diffusione della modalità di lavoro agile, oltre ai sistemi di business si è reso necessario rendere disponibile da Internet, per il personale di Gruppo che opera da remoto, anche i sistemi di lavoro aziendali (posta elettronica, strumenti di collaborazione, sistemi gestionali, ecc.). Conseguentemente, per consentire al personale in smart working l’accesso in sicurezza alla rete e ai sistemi aziendali, è stato attivato un servizio di accesso cifrato VPN (Virtual Private Network) in tecnologia Akamai EAA, erogata attraverso la Cloud Akamai Intelligent Edge Platform, che a complemento del servizio ADDoS e WAF, contribuisce a ridurre la superficie di esposizione alle minacce Internet del perimetro IT. Durante il 2022, così come previsto anche dal Recovery Plan per l’emergenza pandemica, sono state avviate importanti iniziative per aumentare la protezione dei servizi IT esposti su internet.
Tra queste iniziative, ha rivestito grande importanza l’introduzione del sistema Multi Factor Authentication, che ha consentito, al personale che accede ai servizi aziendali dall’esterno, ad esempio da casa, di utilizzare un ulteriore fattore di autenticazione, oltre all’inserimento della password personale. Tale doppio fattore di autenticazione è attivo attraverso l’utilizzo di diverse modalità, tra cui, la più incoraggiata prevede il consenso tramite un’apposita app installata sul proprio smartphone. Infine, nell’ottica di sviluppare meccanismi di collaborazione e condivisione di informazioni con le altre Infrastrutture Critiche italiane, è stato avviato un processo di accreditamento Trusted Introducer del CERT di FS, già attivo e predisposto per la gestione degli incidenti di sicurezza secondo il quadro normativo di riferimento e le best practice di settore.
Il “Regolamento generale sulla protezione dei dati” (GDPR) e il D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018 (cd. Nuovo Codice Privacy), rafforzano la tutela dei diritti e delle libertà delle persone fisiche in materia di dati personali (Data Protection), in linea con il riconoscimento di tali diritti e libertà come elemento fondamentale per i cittadini dell’UE.
Il Gruppo FS ha definito e attuato un framework organizzativo a protezione dei dati di clienti, dipendenti, fornitori e altri soggetti terzi. Il Framework di Data Protection, articolato su una Disposizione di Gruppo e una Comunicazione Organizzativa di attuazione, definisce i principi chiave per la salvaguardia dei dati personali, i ruoli attuativi con il relativo assetto delle macro responsabilità e i flussi informativi da e verso il CdA, i Vertici aziendali, le strutture che partecipano alla sua realizzazione e quelle coinvolte nel trattamento di dati personali, nonché le persone fisiche interessate dai trattamenti.
A maggior presidio dei processi data protection, si è conclusa l'attuazione del modello di governance distribuito, con la designazione dei DPO societari nelle principali società controllate da FS SpA. Inoltre, il Gruppo sta implementando un sistema gestionale informatico per il governo dei processi afferenti alla protezione dei dati personali.
