FOOD DEFENSE E UTILITIES
L’approvvigionamento idrico
La Food Defense è un aspetto di vitale importanza nell’attuale mercato commerciale mondiale. Lo sappiamo tutti e soprattutto le aziende che operano sul mercato USA o che sono certificate secondo gli schemi del GSFI come BRCGGS, IFS e FSSC22000.
La Food Defense rappresenta oggi un protocollo di fondamentale importanza e anche se molti lo ignorano vi sono sostanziali differenze fra l’approccio “volontario” voluto dagli schemi GSFI e l’approccio “cogente” richiesto dalla normativa FDA che risulta applicabile alle aziende che esportano i prodotti verso gli USA a prescindere che siano certificate o meno GSFI.
Un altro aspetto importante è la formazione del personale che opera nella valutazione della vulnerabilità (VA) e che di concerto pone le basi per le procedure di mitigazione e limitazione del rischio, anche su questo vi è differenza fra FDA e approccio volontario.

Cosa sappiamo della Food defense
La risposta a questa domanda è molto ampia ma spesso la Food Defense viene identificata nella gestione degli ingressi (personale e visitatori), punti o processi esposti ad atti di contaminazione o danneggiamento volontario. Tutti aspetti legittimi ma c’è molto molto altro da considerare.
Oggi vi presentiamo un breve focus su uno degli aspetti che spesso sono ignorati dalle aziende sia alimentari che di food packaging soprattutto ovvero le utilities e, nello specifico, l’approvvigionamento idrico.
Il caso riguarda una cittadina della Florida (USA) dove un hacker informatico è riuscito ad introdursi nei software del sistema idrico con l’intenzione di immettere nella rete una sostanza chimica in quantità “pericolosa”. Vi ricordate il film “Batman Beginning” (2005) dove una rete terroristica voleva inquinare la rete idrica di Ghotam City?..Ecco un caso similare ma reale.
Il sabotatore ha tentato di manomettere a livello informatico la quantità di idrossido di sodio (liscivia) erogato nel sistema di trattamento dell’acqua. Normalmente l’idrossido di sodio viene utilizzato come controllo dell’acidità delle acque ed è normalmente utilizzato nei sistemi di approvvigionamento idrico, tuttavia le sue dosi sono limitate e controllate rigorosamente, a livello software appunto in quanto è un componente fortemente corrosivo e dannoso per la salute e l’ambiente. La sua ingestione può provocare danni alla bocca, alla gola e allo stomaco e provocare vomito, nausea e diarrea.
Il personale operativo della centrale ha però captato l’anomalia anche se inizialmente aveva creduto che fosse stato un accesso effettuato da un supervisore, tuttavia ha inoltrato una richiesta al superiore appunto, attestando che si stava trattando invece di un problema e riuscendo prontamente ad invertire l’azione di sabotaggio condotta dall’hacker informatico. L’azione non è stata rivendicata e la provenienza non è ancora stata accerta e nemmeno è noto se l’atto di sabotaggio sia stato effettuato all’interno o all’esterno degli Stati Uniti.
Un secondo tentativo è stato condotto a distanza di poche ore e sempre al medesimo sito di trattamento delle acque ma questa volta l’hacker ha acceduto al software di trattamento e ha aumentato il contenuto di idrossido di sodio da 100 parti per milione a 11.100 ppm. Ancora una volta il personale operativo della centrale ha immediatamente ridotto il livello alla normalità.
Non è la prima volta
Nel 2016, un rapporto sulla sicurezza di Verizon ha dettagliato un attacco simile a un altro impianto idrico statunitense [senza nome]. E ancora nel 2020 ci sono stati diversi attacchi falliti alle forniture idriche nello stato di Israele. Si noti come gli attacchi non sono indirizzati alle aziende bensì alla comunità, quindi è presumibile che l0obiettivo sia la destabilizzazione politica o commerciale a livello nazionale.
Acqua, elettricità, impianti nucleari e trasporti sono continuamente sottoposti a controllo verso attivi di sabotaggio per individuare punti deboli (la così detta Vulnerability Assessment – VA).
L’analisi del caso
Ci sono due aspetti fondamentali e che possono spingerci a riflessioni sul concetto di Food Defense applicato alle aziende alimentari e dei materiali a contatto alimentare:
- SISTEMA INFORMATICO: oggi è molto più facile entrare in un sistema informatico (magari obsoleto) e creare un danno molto elevato ed esteso per altro con un “investimento” molto limitato (una o poche persone, una rete informatica e strumenti tecnologici)
- FORMAZIONE: Il caso descritto è stato sventato non un sistema informatico ma da un operatore ben addestrato sulle procedure
- GEOLOCALIZZAZIONE: gli atti di sabotaggio del genere possono essere effettuati da migliaia di km dio distanza…telecamere perimetrali e “registro ingresso visitatori” in questi casi sono totalmente inefficaci
- VULNERABILITY ASSESSMENT: deve essere effettuata a 360° e non solo sugli aspetti canonici

MV CONSULTING Srl è una società di consulenza specializzata nel settore alimentare e dei materiali a contatto alimentare a livello internazionale. L’esperienza e la competenza dei suoi consulenti, maturata in contesti industriali, può aiutarti ad affrontare in modo professionale ogni progetto.
MV CONSULTING Srl è già la scelta di importanti realtà industriali del mondo produttivo e distributivo alimentare e di materiali a contatto alimentare. Confrontati con un nostro consulente e scopri il nostro valore.
Fonti e riferimenti per gli aggiornamenti:
Informazioni sull’autore: Marco Valerio Francone
© MV CONSULTING srl – Diritti Riservati