L’utilizzo dei Big Data nelle Scienze della Vita e la crescente interdipendenza tra dominio cyber e biologia comportano una serie di rischi per la Bioeconomia italiana ancora inesplorati. Una delle cause è la mancanza di una disciplina specifica per lo studio delle cyberbio minacce. Per questo serve che l’Italia adotti una strategia specifica a difesa del settore di cui rappresenta un’eccellenza europea.
Molti servizi e attività economiche dipendono ormai da sistemi IT e cloud-computing (transazioni finanziarie, sanità, servizi di pubblica amministrazione, difesa, bioeconomia, etc..). Gli attacchi informatici rappresentano perciò la minaccia più importante e potenzialmente più pericolosa al giorno d’oggi. Una delle cause è la centralizzazione di sistemi e servizi, che espone al rischio di ingenti danni economici e sociali. La mancanza di consapevolezza degli utenti riguardo la sicurezza di dispositivi, dati, servizi online e cloud è un problema costante.
Secondo Hugh Thompson e Steve Trilling, attacchi informatici contro grandi aziende e siti Web saranno inevitabilmente parte dello scenario cyber globale del 2019. Organizzazioni e aziende ben note a livello mondiale hanno subito gravi violazioni nel 2018 e si prevede che questo trend proseguirà (e forse aumenterà) nei prossimi anni.
Per esempio, il grave data breach, di cui Exactis è stato vittima, ha esposto circa 340 milioni di dati personali. Ogni azienda non può ritenersi totalmente al sicuro da violazioni, accessi non autorizzati o furto di dati. Le società di consulenza e vendita di prodotti per la cybersecurity certamente aiutano a ridurre e contenere i rischi, ma il rischio zero non esiste.
Tra cybersecurity e biosecurity: una nuova frontiera
Esiste un settore (in crescita dal punto di vista economico) che è fortemente a rischio, ma di cui né la cybersecurity né la biosecurity, come discipline, si occupano adeguatamente e sono in grado di fronteggiarne le minacce: la bioeconomia (intesa come industria delle biotecnologie, biomedica, agricola, biofarmaceutica, della bioenergia, bioinformatica). Questo settore vale 2 trilioni di euro in Europa, di cui ben 260 miliardi solo in Italia. E’ un settore esposto a rischi emergenti ancora da definire, ma certamente in grado di riportare danni critici.
In primo luogo ciò deriva dal contesto: la Quarta Rivoluzione Industriale e l’era dei Big Data nella quale viviamo e la crescente dipendenza dai sistemi IT e cloud-computing espone la bioeconomia a minacce poco conosciute alla frontiera tra cyber e biosecurity. A dicembre 2017, l’American Association for the Advancement of Science, il Federal Bureau of Investigation e lo United Nations Interregional Crime and Justice Research Institute hanno richiamato l’attenzione del governo americano e presentato un report in cui si spiega la necessità di analizzare e approfondire le implicazioni che l’uso dei Big Data nelle Scienze della Vita comporta per la sicurezza nazionale e transnazionale.
Alcuni esempi sono i rischi per le aziende che usano laboratori per il trattamento di materiale biologico a scopo scientifico e/o business. Tali laboratori utilizzano sistemi IT, cloud e altri sistemi per la conservazione e il trattamento dei dati, nonché per le attività di ricerca. Ciò li espone a furti, sottrazione e accesso non autorizzato a dati da parte di aziende competitor, cyber criminali, Paesi esteri, a scopo di ricatto piuttosto che estorsivo o addirittura a rischi di compromissione del loro funzionamento e necessità di lock-down delle strutture. Inoltre, le aziende di questo tipo e in particolare quelle italiane, spesso all’avanguardia a livello mondiale, vivono di ricerca, innovazione e scoperte molto importanti e uniche.
Per questo vi sono esempi di rischi non solo riguardanti il furto e la sottrazione di dati, ma anche legati a ricerca e innovazione. Ad esempio, scoperte sulle modifiche al genoma umano, intelligenza artificiale, automation, DNA-synthesis.
Le innovazioni nei campi biotecnologia, biologia, genetica, biomedicina, agricoltura permettono di ottenere nuove capacità e prodotti per migliorare la vita e l’ambiente.
Ma tali capacità sono così sviluppate che, nel 2017, ricercatori dell’Università di Washington hanno reso noto di essere riusciti a infettare un computer utilizzando un malware incorporato in una molecola genetica. Questa scoperta, seppur non ancora sul mercato e difficilmente riproducibile (considerando i costi), inserita in un contesto più ampio di ricerca e innovazione scientifica dual-use pone dei seri rischi (ancora da analizzare) oltre a quelli conosciuti e affrontati dalla cybersecurity e dalla biosecurity. La scoperta del malware biologico è solo un esempio della caratteristica duale che la ricerca in vari campi della bioeconomia possiede.
Perché serve un Piano italiano per la cyberbiosecurity
Vi è quindi un gap che ricercatori della Virginia Polytechnic and State University stanno cercando di colmare, avendo creato una nuova disciplina chiamata cyberbiosecurity e definita come formal new enterprise which encompasses cybersecurity, cyber-physical security and biosecurity as applied to biological and biomedical-based systems.
Questa disciplina studia proprio le minacce alla bioeconomia derivanti dall’utilizzo dei sistemi IT e dei Big Data affinché il settore possa adottare appropriate strategie di contrasto e sviluppare capacità di resilienza. Mentre vi sono certamente delle vulnerabilità identificabili e dei rischi affrontabili esclusivamente dalla cybersecurity, la maggior parte non lo sono. In alcune circostanze non esistono soluzioni al momento. La cyberbiosecurity cerca quindi di affrontare questi problemi, tramite un system of systems approach.
Essendo la bioeconomia italiana leader in Europa e nel mondo, salvaguardare il settore promuovendo iniziative a livello nazionale e europeo è cruciale. Il governo statunitense, già dal 2017, è attento ai rischi di cyberbiosecurity e ha deciso di investire tramite il Dipartimento della Difesa e lo US Strategic Command (USSCSTRATCOM).
In Italia l’attenzione è principalmente su come mettere a sistema e strutturare il settore tramite il Piano Nazionale per la Bioeconomia e anche in Europa l’attenzione sulla cyberbiosecurity è limitata. Manca ancora una particolare attenzione a strategie per la tutela dai rischi emergenti dall’interdipendenza dominio cyber-biologia.
Come evidenziato dai ricercatori della Virginia Polytechnic and State University, è importante formare i dipendenti di aziende nel campo bioeconomico e renderli consapevoli dei nuovi rischi (mano a mano che vengono scoperti) che la dipendenza delle Scienze della Vita e della Biotecnologia dal dominio cyber comportano. Tecnici di laboratorio, managers e vertici delle aziende dovrebbero essere formati, in modo da creare protocolli adeguati a prevenire e (nel caso) fronteggiare le cyberbiosecurity threats.
Sistemi IT e bioeconomy
Analisti di intelligence dovrebbero essere assunti dalle aziende e integrati in team multidisciplinari per comprendere l’evoluzione dei rischi associati alla cyberbiosecurity a livello globale e per capire quali sono presenti sul territorio nazionale e europeo.
E’ necessario investire per sviluppare questa disciplina, così da comprendere e essere in grado di fronteggiare le nuove minacce. A livello aziendale, far comprendere al personale (soprattutto di laboratorio) i vari steps di un attacco dal Day 0 (una volta che l’azienda è stata colpita) per valutare impatto, danni e identificare misure per prevenire la diffusione del danno e proteggere i sistemi è importante. Questo perché le minacce di cyberbiosecurity diventeranno sempre più sofisticate con la crescente dipendenza della bioeconomia dai sistemi IT e rischia di esporre dati e informazioni a personale non autorizzato e di essere vittima di attacchi più gravi.
A livello strategico-istituzionale, la cyberbiosecurity dovrebbe essere di interesse per le agenzie di intelligence e difesa e magari essere integrata nell’architettura di sicurezza nazionale. Sarebbe necessario promuovere un partenariato pubblico-privato e cooperazione tra aziende nel campo della bioeconomia e governo (Ministero dell’Agricoltura, Sviluppo Economico, Salute, Difesa), al fine di approfondire i rischi a cui la cyberbiosecurity cerca di rispondere.
Ciò aiuterebbe a creare un sistema di protezione e resilienza per l’intero settore e non solo per gli assets di alcune aziende. In futuro, come per la cybersecurity, sarebbe utile avere un’architettura nazionale di cyberbiosecurity per assicurare il giusto sostegno alle aziende e alle loro esigenze complessive di internazionalizzazione, che comportano esposizione a rischi potenziali.
Come ha affermato Eleonora Pauwels nel 2017, l’interconnettività dei bio-laboratori e, più in generale, l’interdipendenza della bioeconomia dal dominio cyber comportano una serie di rischi ancora oggi poco compresi e analizzati. La riduzione di quelle barriere morali nel lungo-termine, che influenzano la ricerca nella biologia sintetica (es: CRISPR) e nell’ingegneria genetica espongono la nostra società a scoperte molto innovative. La recente nascita di una disciplina in grado di coniugare biologia, informatica e security studies all’interno di una comunità multidisciplinare dimostra, però, che tali scoperte possono essere dei rischi e rappresentare significative minacce alla sicurezza nazionale e internazionale, da cui l‘infrastruttura cyber è in grado di proteggerci solo in parte.
In Italia, dove il settore della bioeconomia cresce anno dopo anno, è leader in Europa e tra i migliori al mondo, vi è la necessità di proteggere il settore, sviluppando cyberbiosecurity capabilities sia a livello interno aziendale sia tramite una partnership pubblico-privato per la realizzazione, in prospettiva, di un’architettura nazionale di cyberbiosecurity, in grado di creare strategie di prevenzione, rispondere in tempi celeri agli attacchi e aiutare le aziende a dotarsi di appropriate capacità di resilienza.
