Il divario tra threat intelligence e fisica delle infrastrutture. Le condizioni strutturali che rendono vulnerabili le infrastrutture europee, indipendentemente da qualsiasi specifico attore ostile.
La sicurezza infrastrutturale esistente si concentra sull'individuazione degli attacchi in corso: firme, anomalie, indicatori di compromissione. Questo approccio fallisce quando l'avversario si è già posizionato, quando l'architettura di monitoraggio presenta punti ciechi, o quando il percorso di attacco segue la topologia fisica dell'infrastruttura stessa anziché un perimetro di rete.
Paarker opera nello spazio tra la threat intelligence e la fisica delle infrastrutture. Mappiamo le condizioni strutturali che rendono vulnerabili le infrastrutture e rileviamo quando tali condizioni cambiano in modi coerenti con la preparazione di un avversario. La cascata non è una metafora. È una deformazione misurabile e in espansione tra sistemi accoppiati.
Leggiamo lungo cinque dimensioni della cascata: degrado fisico, stress finanziario, deriva operativa, compromissione cyber e silenzio normativo. Nessuno strumento esistente le legge tutte e cinque. I modelli tradizionali valutano l'evento scatenante in un singolo dominio. La valutazione della cascata richiede la geometria della propagazione tra domini.
La distinzione conta. Il rilevamento basato sulle firme chiede: questo traffico è dannoso? Il rilevamento delle anomalie chiede: questo comportamento è insolito? Noi poniamo una domanda diversa: data la topologia fisica di questa infrastruttura, la sua copertura di monitoraggio e i pattern architetturali con cui è stata costruita, dove si trovano le condizioni strutturali che un avversario sfrutterebbe, e tali condizioni stanno cambiando?
Individua dove termina la copertura di monitoraggio e iniziano i punti ciechi difensivi. Mappa gli spazi tra le giurisdizioni normative nazionali in cui nessuna singola autorità ha una chiara responsabilità di rilevamento. Il divario tra la vigilanza energetica di ARERA e il monitoraggio delle autorità idriche presso gli impianti idroelettrici italiani è un esempio: il lato elettrico ricade in un quadro normativo, mentre il lato di ritenuta idrica ricade in un altro.
Modella come le dipendenze fisiche tra gli asset infrastrutturali creino percorsi di propagazione. Una diga alpina a monte compromessa influisce su ogni impianto a valle nella Pianura Padana nel giro di ore. Una deviazione di frequenza della rete si propaga tra le regioni interconnesse ENTSO-E in pochi secondi. Mappiamo questi percorsi prima che un avversario li utilizzi e tracciamo quali asset connessi alla cascata condividono caratteristiche strutturali.
L'indicatore di minaccia più pericoloso è spesso ciò che manca. Telemetria attesa che smette di arrivare. Pattern di manutenzione ordinaria che cambiano. Cadenze di segnalazione che diventano silenziose. Trattiamo l'assenza dell'informazione attesa come un segnale di rilevamento, non come normalità. Quando un impianto monitorato non segnala nulla, ci chiediamo se quel silenzio indichi sicurezza o una lacuna di monitoraggio.
L'architettura si distribuisce in due modi. La modalità a impatto zero opera da registri aperti, fonti di dati pubbliche e dataset istituzionali europei esistenti. Nessun agente. Nessun sensore. Nessuna modifica degli ambienti di tecnologia operativa. La modalità embedded opera come istanze containerizzate sull'infrastruttura del cliente, per l'accesso diretto alla telemetria proprietaria dove questo rafforza il rilevamento.
Non esiste una configurazione di pace. Ogni deployment presuppone che un avversario stia osservando. Le scelte architetturali sono valutate rispetto a un modello avversariale, non cooperativo.
Il sistema applica l'intelligenza geometrica ai dati infrastrutturali, leggendo pattern strutturali anziché eventi discreti. Fa emergere la forma (com'è fatta l'infrastruttura, cosa è cambiato, cosa manca) senza attribuire intenzione o identità. Conforme al GDPR per progettazione: impronte topologiche geometriche, non dati personali grezzi.
I quadri normativi europei (NIS2, DORA, il Cyber Resilience Act) richiedono prove dimostrabili della capacità di rilevamento, non il solo rilevamento. ClaimSeal è il livello delle evidenze. Cattura, classifica e sigilla crittograficamente le evidenze di conformità al momento della loro generazione, creando una prova verificabile che il rilevamento era operativo, che le condizioni sono state valutate e che la valutazione non è stata manomessa.
ClaimSeal mappa un singolo evento operativo rispetto a più quadri normativi in un'unica elaborazione, utilizzando il formato di interscambio aperto ADTR (Auditable Data Transport Record). Raccoglie da operatori umani, pipeline automatizzate, sistemi OT e strumenti assistiti dall'AI attraverso un unico schema. L'output è una prova crittografica, non fogli di calcolo autodichiarati, che un revisore può verificare in modo indipendente.
ClaimSeal è un'opera originale di Paarker SRL, tutelata da copyright sul software registrato in Italia. Patent pending.
Due livelli di vulnerabilità strutturale si sommano nelle infrastrutture critiche europee. La topologia fisica della cascata e i punti ciechi del monitoraggio.
Leggi l'analisi