Il termine cyber security (o sicurezza informatica per i meno anglofoni) non viene mai citato dal Presidente del Consiglio, Mario Draghi, nelle sue comunicazioni sulle dichiarazioni programmatiche del Governo.
Una mancanza che stride, in un documento che nel 2021 prova a delineare le linee di sviluppo del paese nei prossimi decenni.
Si parla, nel documento, di investimenti per la manutenzione delle infrastrutture e quindi della loro messa in sicurezza, ma non si parla di investimenti per la messa in sicurezza delle infrastrutture digitali che in maniera altrettanto strategica costituiscono la base su cui fondare il rilancio del paese e alla pari delle infrastrutture fisiche necessitano di pesanti interventi di “ristrutturazione” sia fisica che logica.
Una dimenticanza? Non lo sappiamo. Crediamo, piuttosto di trovarci di fronte all’ennesimo esempio di sottovalutazione del ruolo strategico della cyber security che purtroppo avviene proprio ai massimi livelli decisionali.
Il discorso programmatico del Presidente Draghi
Ha suscitato un grande interesse il discorso programmatico pronunciato dal nuovo Presidente del Consiglio in cui ha delineato, tra le altre cose, le direttrici su cui si muoveranno i principali investimenti nel nostro paese nel prossimo decennio. Li richiamiamo rapidamente:
- Particolare attenzione va posta agli investimenti in manutenzione delle opere e nella tutela del territorio, incoraggiando l’utilizzo di tecniche predittive basate sui più recenti sviluppi in tema di Intelligenza artificiale e tecnologie digitali.
- Nelle prossime settimane rafforzeremo la dimensione strategica del Programma, in particolare con riguardo agli obiettivi riguardanti la produzione di energia da fonti rinnovabili, l’inquinamento dell’aria e delle acque, la rete ferroviaria veloce, le reti di distribuzione dell’energia per i veicoli a propulsione elettrica, la produzione e distribuzione di idrogeno, la digitalizzazione, la banda larga e le reti di comunicazione 5G.
- Nella sanità dovremo usare questi progetti per porre le basi, come indicato sopra, per rafforzare la medicina territoriale e la telemedicina.
I settori di investimento citati nel discorso programmatico sembrano viaggiare su binari paralleli ma in realtà condividono un filo comune: il massiccio uso di tecnologie IT e OT. Non esiste oggi, infatti, settore dell’attività umana in cui non sia contemplato il ricorso alle tecnologie digitali per svolgere una qualche funzione fondamentale, e con lo sviluppo del paradigma di comunicazione M2M (machine to machine) saranno sempre di più gli ambiti applicativi in cui la componente digitale giocherà un ruolo fondamentale. È un dato di fatto universalmente riconosciuto che l’intera umanità diventerà sempre più dipendente dalle tecnologie digitali, che “lentamente” permeeranno e influenzeranno ogni campo dell’attività umana.
I rischi cyber legati alle tecnologie IT e OT
Queste tecnologie però ci hanno dimostrato di possedere qualche limite. In particolare, ogni tanto possono sbagliare o essere indotte da “forze esterne” a compiere azioni in aperto contrasto con quello che è il loro scopo principale. Ecco che allora un sistema cibernetico preposto per il controllo dell’erogazione di acqua potabile si trasforma in un sistema che può avvelenare (se non uccidere) miglia di persone, oppure il processo di approvazione di un vaccino, come quello contro il COVID-19, rischia di essere messo a repentaglio.
Al di là di questi eventi puntuali e circostanziati non va poi dimenticato che sul medio/lungo termine, una scarsa attenzione alla cybersecurity può comportare una rilevante instabilità sociale. Non a caso infatti il Global Risks Report 2021 del World Economic Forum, annovera l’incapacità degli stati ad adeguare i livelli di protezione delle proprie infrastrutture digitali uno dei rischio più significativi che incombe sul nostro pianeta, individuando effetti decisamente preoccupanti (ripotiamo integralmente): “Business, government and household cybersecurity infrastructure and/or measures are outstripped or rendered obsolete by increasingly sophisticated and frequent cybercrimes, resulting in economic disruption, financial loss, geopolitical tensions and/ or social instability”.
Cyber governance: rischi economici e geopolitici dell’innovazione digitale
Le necessarie misure di contenimento
Tutto ciò non si può evitare, ma si può cercare di contenerlo favorendo politiche per lo sviluppo di attività di ricerca e per l’adozione di opportune misure di protezione generalmente accorpate sotto il termine di cybersecurity.
Storicamente l’Europa ha vissuto il rischio cibernetico di riflesso rispetto a quanto avveniva dall’altra parte dell’oceano anche perché con un certo ritardo il nostro continente ha colto la strategicità del digitale, e l’approccio che si è imposto nella gestione di questo tipo di problemi è stato di tipo reattivo, non si fa niente sino a che non ci si trova nei guai, anche se a rigor del vero negli ultimi anni, l’approccio sta lentamente cambiando.
Un esempio da manuale in questo senso è quanto riportato dagli organi di stampa la scorsa settimana rispetto alla Francia. A seguito di diversi attacchi alle strutture sanitarie avvenuti a cavallo tra il 2020 e il 2021 il governo francese ha deciso di stanziare un miliardo di euro per rafforzare le difese cibernetiche del paese. Si noti bene, a seguito non al fine di evitare. In Europa siamo ancora purtroppo in questa fase in cui si preferisce “curare” invece di “prevenire”.
Governo Draghi, cybersecurity cercasi: le urgenze da non dimenticare
Cyber security di attacco e di difesa
Un’ultima considerazione: ci è anche venuto il dubbio che la cyber security non sia stata citata nel documento programmatico perché ritenuta materia di competenza dei servizi di intelligence. Ci sia consentito chiarire la declinazione in cui noi abbiamo usato questo termine. La cyber security può essere divisa in due branche: attacco e difesa.
Alla prima appartengono le tecniche di attacco, gli zero day, i malware, il mondo underground (insomma tutto quanto fa notizia e piace ai giornalisti e per questo viene spesso confuso con l’intero settore).
Alla seconda appartengono: le metodologie, le politiche di sicurezza, i sistemi antintrusione, gli end point protection, ecc. Sono due mondi diversi come attitudini, approcci e competenze.
La cybersecurity a cui ci siamo riferiti è quella che consente di proteggere i cittadini, imprese, istituzioni, enti pubblici dalle diverse forme di vandalismo digitale che in questi anni si sono via via affermate e che quindi deve necessariamente privilegiare l’approccio difensivo. I servizi per finalità istituzionali devono perseguire altri obiettivi che fanno supporre una loro maggiore predisposizione all’offesa, come peraltro testimoniato dagli attacchi più significativi rilevati in questi ultimi anni sulla rete. È quindi fondamentale mantenere questi due mondi separati, nel rispetto delle loro competenze, favorendo al contempo un’opportuna condivisione di informazioni. Per contro, non crediamo sia un caso se dall’altra parte dell’oceano il responsabile per l’attuazione della “National Cyber Strategy” sia il DHS (Department of Homeland Security).
Conclusioni
Vogliamo chiudere con una nota positiva. C’è una frase pronunciata dal nostro Presidente del Consiglio che ci fa ben sperare. Nel capitolo dedicato al NextGenerationEU leggiamo: “Dovremo imparare a prevenire piuttosto che a riparare, non solo dispiegando tutte le tecnologie a nostra disposizione ma anche investendo sulla consapevolezza delle nuove generazioni che “ogni azione ha una conseguenza”.
Ecco, se istanziata nel contesto della cyber security, questa frase potrebbe rappresentare il presupposto per l’avvio di una nuova stagione nel nostro paese. Il passo concettuale è fatto, si tratta solo di passare dalla grammatica alla pratica
