Descrizione del metodo API 780

L’American Petroleum Institute (API) ha sviluppato questa metodologia di Security Risk Assessment (SRA) come approccio universale per la valutazione dei rischi di sicurezza alle industrie chimiche del settore petrolchimico e del petrolio. Le linee guida sono state redatte in collaborazione con il governo americano e alcune indu- strie del settore, con lo scopo di aiutare le societ`a del settore Oil& Gas (raffinerie di petrolio, i gestori di gasdotti, produttori petrolchimici) e altri segmenti dell’indu- stria del petrolio o di altre industrie simili a mantenere e rafforzare la loro sicurezza aziendale attraverso una metodologia di valutazione dei rischi per la sicurezza strut- turata e standardizzata [3].

Le linee guida sono state realizzate da un comitato di esperti, variegato in modo da ricreare la differenza di skills dei componenti del team di analisi, che ha dato luogo ad una metodologia flessibile e adattabile alle esigenze dell’utente finale dal momento che risulta efficace per un ampio spettro di problemi di sicurezza: da furti di insider ad atti di sabotaggio al terrorismo.

La metodologia API SRA risulta essere dunque un approccio standardizzato team- based che combina le molteplici competenze e conoscenze dei vari partecipanti per

fornire una pi`u completa valutazione del rischio per la sicurezza della struttura. A

seconda del tipo e delle dimensioni dell’impianto, la squadra SRA pu`o includere gli individui con le seguenti conoscenze:

- struttura del sistema di sicurezza informatica; - struttura e design e le operazioni di processo;

- sicurezza, logistica e modalit`a di risposta alle emergenze; - principi gestionali aziendali [3].

Per poter stare al passo con le necessit`a nascenti delle aziende, la metodologia API viene rivista ed eventualmente revisionata almeno ogni 5 anni.

La scelta di applicare tale metodologia nasce dal fatto che si tratta di un metodo molto versatile, che pu`o essere applicato a una vasta gamma di attivit`a ed opera- zioni, oltre alle tipiche strutture operative del settore per cui nasce. Questo include altre attivit`a che contengono materiali pericolosi dell’industria chimica, ma anche le operazioni di trasporto su strada, ferrovia e per mare.

Inoltre l’API 780 risulta conforme agli standard del DHS Chemical Facility Anti- Terrorism Standards (CFACTS).

Le linee guida dall’API 780 definiscono 5 step per la valutazione dei rischi di security, il cui schema logico `e riportato in Figura 5.8.

1.) Caratterizzazione: consiste nel caratterizzare la struttura o il funzionamen- to di un’apparecchiatura, in modo da individuare gli asset critici, determinare la loro importanza, le loro dipendenze reciproca e/o dalle infrastrutture;

5.2. VALUTAZIONE PER ANALISI DI SICUREZZA DA ATTACCHI ESTERNI (SECURITY) 2.) Valutazione della minaccia: identificazione e caratterizzazione delle mi- nacce contro tali attivit`a e valutazione delle attivit`a in termini di attrattivit`a dell’asset per la minaccia in questione, con annessa determinazione delle con- seguenze che si avrebbero nel caso in cui venissero danneggiati, compromessi o rubati;

3.) Valutazione della vulnerabilit`a: identificazione delle potenziali vulnera-

bilit`a in termini di sicurezza, che aumentano la probabilit`a che la minaccia compir`a con successo l’atto;

4.) Valutazione del rischio: determinare il rischio rappresentato da questi even- ti, sulla base della probabilit`a di successo stimata per l’evento e le sue conse- guenze massime credibili nel caso in cui dovesse verificarsi. Successivamente il rischio viene classificato, se si rivela superiore ad una stabilit`a soglia di ac- cettabilit`a, vengono generate una serie di raccomandazioni per la mitigazione del rischio esistente;

5.) Riduzione del rischio: identificazione e valutazione delle opzioni di mitiga- zione del rischio e nuova valutazione del rischio, sulla base della messa in atto delle contromisure proposte. [3]

Figura 5.8: Diagramma logico degli step della metodologia API 780

La metodologia API SRA non prescrive un unico criterio di accettazione del rischio o formula per definire il rischio utilizzando queste variabili, in modo da lasciare

al gestore la possibilit`a di decidere quali sono i fattori aziendali pi`u adeguati da prendere in considerazione per il quadro di valutazione del rischio. Ci`o si traduce nel fato che ogni team di analisi stabilisce i propri criteri per la tollerabilit`a dei ri- schi, in accordo con le esigenze del Risk Management del sito preso in considerazione. Il Rischio di Security secondo la metodologia API `e definito come un’espressine della probabilit`a (L) che una data minaccia (T) trovi un determinato asset attrat- tivo (A) e riesca a commettere con successo un atto contro questo, approfittando della sua vulnerabilit`a (V), per causare un dato insieme di conseguenze (C) [3].

R = f (V, T, C)

Il significato dei singoli termini pu`o essere approfondito in dettaglio. ˆ Probabilit`a (L)

Per probabilit`a (L) si intende una stima della probabilit`a o frequenza di un determinato atto, che comporter`a una data conseguenza [3].

`

E funzione di vari fattori tra cui il grado della minaccia (T), che viene deter- minato analizzando vari aspetti che la caratterizzano (la storia della minaccia, le capacit`a, la motivazione, e l’intenzione). Risulta essere inoltre dipendente dalla possibilit`a di essere bersagliati per un atto e la probabilit`a condizionale di riuscita dell’attacco, data la minaccia presa in considerazione e date le mi- sure di sicurezza esistenti per impedirlo [3].

Infine risulta essere funzione della vulnerabilit`a dell’asset considerato, che `e strettamente collegata alle aspettative di successo dell’azione considerata. In definitiva, la probabilit`a pu`o essere divisa in due sottoclassi:

- Probabilit`a dell’attacco (L1): `e definita come la capacit`a potenziale

di una minaccia di indirizzare e tentare di eseguire un evento di security contro un asset [3]. Ovviamente dipende dal tipo di minaccia e dalla conseguente attrattivit`a di un asset per la minaccia in questione ed `e data da:

L1 = A · T

Di seguito un focus sui parametri A e T.

- Probabilit`a di successo dell’attacco (L2): sta ad indicare la proba-

bilit`a che una minaccia possa causare le conseguenze stimate, derivanti dal compimento dell’atto, e aggirando le contromisure.

Essenzialmente si tratta di una stima della probabilit`a che le contromi- sure di sicurezza siano in grado di resistere o meno al tentativo di attac- co; per questo motivo pu`o essere considerato un diretto surrogato della vulnerabilit`a dell’asset.

L2 = V

Di seguito un focus sul parametro V. ˆ Minaccia (T)

5.2. VALUTAZIONE PER ANALISI DI SICUREZZA DA ATTACCHI ESTERNI (SECURITY) evento potenzialmente in grado di causare la perdita o il danneggiamento di un bene [3].

Nel caso del Security Risk Assessment pu`o essere definito, in maniera pi`u

appropriata, come l’intenzione e la capacit`a di una minaccia di intraprendere azioni che risulterebbero dannose per le attivit`a analizzate.

Si distinguono i seguenti tipi di minacce: - criminali;

- attivisti; - terroristi;

- personale scontento.

Il termine T nello specifico pu`o essere espresso come la frequenza di un’azio- ne, nel caso di azioni storicamente gi`a riscontrate nel sito specifico, oppure della probabilit`a che un atto possa verificarsi nel tempo. Questo termine va attribuito considerando: la credibilit`a della minaccia, in relazione alla location dell’asset; informazioni storiche sulla minaccia; intenzione e/o motivazione del- la minaccia e la sua capacit`a potenziale di compiere l’atto.

Inoltre va tenuto conto, nel computo delle conseguenze, che la minaccia pu`o avere intento violento o non violento e tali conseguenze non devono necessaria- mente essere immediate. Una classificazione preliminare `e proposta dall’API 780 ed `e reperibile in Figura 5.9

Figura 5.9: Possibili minacce (T) discriminate in base alle operazioni considerate [3]

ˆ Attrattattivit`a (A)

lo specifico asset preso in esame e, per una sua corretta valutazione, `e fon- damentale tenere in considerazione il valore dell’obiettivo realmente percepito della minaccia.

ˆ Vulnerabilit`a (V)

La vulnerabilit`a `e definita come qualsiasi debolezza che pu`o essere sfruttata da una minaccia al fine di ottenere l’accesso ad un bene e/o per avere successo in un atto malevolo contro il sito in questione [3].

Viene determinata valutando l’impossibilit`a del sito, sulla base delle misure di sicurezza esistenti, di rispondere e resistere ad un eventuale attacco. Come gi`a accennato, la vulnerabilit`a si esprime inoltre come surrogato della probabilit`a di successo attesa per uno scenario.

ˆ Conseguenze (C)

La gravit`a delle conseguenze di un dato evento viene espressa in base al grado di lesioni alle persone, di danni alle strutture e/o costi per l’azienda dovuti all’interruzione delle attivit`a.

Alcune tra le principali dati utili a stimare correttamente conseguenze attese in termini di security sono:

- numero di vittime;

- entit`a dei danni ambientali;

- costi per la riorganizzazione delle attivit`a; - danni alla reputazione dell’azienda.

I fattori A, T, V e C sono definiti andando ad attribuire un valore che va da 1 a 5, associato ad una determinata probabilit`a di accadimento, come riportato in Figura 5.10, dove per livello si intende riferito a: attrattivit`a, credibilit`a della minaccia, vulnerabilit`a e gravit`a delle conseguenze attese.

5.2. VALUTAZIONE PER ANALISI DI SICUREZZA DA ATTACCHI ESTERNI (SECURITY) Conseguentemente `e calcolata la probabilit`a associata allo specifico scenario e, sulla base della gravit`a delle conseguenze che si potrebbero generare, viene determi- nato il livello di rischio tramite la Matrice del Rischio di Figura 5.11.

Figura 5.11: Matrice del Rischio, proposta dalla metodologia API 780 [3]

Una volta determinato il livello di rischio atteso per lo scenario considerato, vengono analizzate le contromisure, con lo scopo di identificare gli eventuali gaps esistenti tra il profilo di security esistente e quello invece desiderabile per quella installazione soggetta a quei determinati profili di rischio.

Una delle azioni che possono essere intraprese a tal proposito consiste nella riduzione delle severit`a delle conseguenze attraverso il miglioramento dell’efficacia e dell’affi- dabilit`a dei dispositivi di protezione attiva e passiva, insieme a tante altre anche di carattere gestionale.

Assumendo poi che siano implementate le contromisure identificate e ritenute ne-

cessarie, viene eseguita sia una seconda valutazione di vulnerabilit`a (V2) che una

seconda stima della gravit`a delle conseguenze (C2); sulla base di queste nuove in-

dicazioni viene stimato il livello di Rischio Residuo (R2) e viene svolto un ultimo

esame del livello di riduzione del rischio, dovuto all’adozione delle nuove misure di security.