Se è vero – come sostiene una recente indagine firmata Ponemon Institute – che il 71% delle applicazioni mobile e addirittura l’80% di quelle IoT in circolazione non sono testate sul piano delle vulnerabilità, allora abbiamo un grosso problema. Specialmente se il 55% degli intervistati (oltre 16 mila professionisti di IT Security applicata all’Internet delle cose) dichiara di non essere certo che la propria azienda stia prendendo le adeguate contromisure per prevenire attacchi mirati. È innanzitutto una questione di budget, sottolineano gli esperti della società di ricerca, visto che solo nel 30% dei casi ci sono risorse sufficienti per organizzare vere e proprie strategie di difesa. Lo stimolo ad aumentare gli investimenti, nota il report, arriverebbe soltanto dopo aver subito un grave attacco.
Questa però è solo una porzione della verità, o meglio rappresenta una componente di un dilemma che non è solo economico, ma anche organizzativo e soprattutto di condivisione di conoscenze e competenze: è infatti impossibile riuscire ad affrontare le sfide che l’Internet of Things nei suoi vari ambiti applicativi sta già ponendo sul piano della cybersecurity contando solo sulle proprie forze. Standard, tecnologie, applicazioni ma anche ampiezza del fenomeno comportano un approccio di sistema. Da dove cominciare? Cisco ha elaborato una strategia di inclusione che poggia su tre pilastri: l’industria, naturalmente, l’accademia e la pubblica amministrazione. Un triumvirato che unendo le forze in una spinta armonica generi un circolo virtuoso, mettendo a fattor comune skill, contatti e prospettive per dare vita a un framework all’interno del quale ciascun attore possa poi muoversi agevolmente, continuando però a fare gioco di sponda.
Nella Penisola il progetto si inserisce nel più vasto programma Digitaliani, basato su un investimento da 100 milioni di dollari in tre anni e declinato sia sulle necessità del Paese in quanto Istituzione sia secondo le specifiche esigenze del territorio. In questo senso, lo scorso anno Cisco ha siglato una serie di protocolli di intesa con la Regione Friuli Venezia Giulia, con il Comune di Palermo e con quello di Perugia, con attività rivolte alla formazione e al rafforzamento delle infrastrutture tecnologiche: a Palermo, in particolare, dove si sta realizzando una rete Wi-Fi nel centro storico, e a Perugia, città dotata di una infrastruttura di nuova generazione, uno dei temi su cui si impernieranno i progetti è proprio quello della sicurezza digitale. A livello macro, invece, Cisco ha lanciato il progetto Filierasicura, che come suggerisce il nome ha come obiettivo la creazione di una cornice per l’individuazione e lo sviluppo di competenze, tecniche e strumenti (a cavallo di hardware e software) per proteggere dagli attacchi informatici, oltre alle infrastrutture nazionali, anche le supply chain delle aziende italiane. A completare il fronte aziendale del triumvirato in questo caso c’è Leonardo, che insieme a Cisco sosterrà il Laboratorio Nazionale di Cybersecurity del Cini (Consorzio Interuniversitario Nazionale per l’Informatica) e otto tra università e centri di ricerca.
Indice degli argomenti
Imprese, Accademia e PA
«Siamo convinti che, se si vuole lavorare in un contesto in continua accelerazione e sempre più sfidante, non ci siano alternative alla partnership tra Impresa, Accademia e Pubblica Amministrazione», conferma . Jeffs ha tenuto una relazione sul tema in occasione dell’edizione 2017 di Itasec, la conferenza italiana dedicata alla cybersecurity. «È impossibile che una sola delle tre realtà riesca ad affrontare questo cambiamento in totale autonomia, deve essere un sforzo congiunto anche se inevitabilmente più complesso». Cisco per esempio sta puntando sui sistemi sui servizi Cloud, sull’Internet of Everything (come lo chiamano in California) e sulle applicazioni di Artificial Intelligence soprattutto nell’ottica dell’affermazione di modelli di intelligenza distribuita presso le aree periferiche e i punti d’accesso dei network. «Ma è necessario creare un ecosistema che accolga questi strumenti e che ne promuova lo sviluppo con regole e standard certi perché risultino realmente efficaci», puntualizza Jeffs, «in particolare se parliamo di soluzioni predittive, capaci cioè di modificare i parametri di privacy e sicurezza dei sistemi in funzione dei comportamenti riscontrati».
Secondo il responsabile di Cisco la collaborazione con il versante accademico e con quello governativo funge da stimolo per ciascuno degli attori coinvolti: «Sostenere la ricerca negli atenei permette di sviluppare prototipi, modelli e proiezioni che possono poi essere utilizzati per coinvolgere le istituzioni, renderle consapevoli rispetto allo scenario applicativo e ispirarne le scelte in ambito normativo. Una volta ottenuta una visione più chiara del contesto regolatorio in cui sono chiamate ad agire, anche le imprese avranno un accesso più agevole al mercato».
Il ruolo delle normative europee
Il problema è che mentre negli Stati Uniti la situazione è già piuttosto delineata, con standard e criteri che valgono non solo all’interno della federazione, ma anche in una ventina di altri Paesi che gravitano attorno a Washington, in Europa la faccenda è complicata dall’alternanza tra direttive comunitarie e iniziative nazionali, oltre che, a seconda del Paese, dai diversi format adottati per la promozione dell’Industria 4.0 e dello Smart Manufacturing. «Bisogna costruire pure in Europa una lingua comune su questi temi, e la scelta, la certificazione e la protezione dei protocolli passano ancora una volta, a mio avviso, dal mondo accademico», precisa Jeffs, «che diventa poi la leva per comunicare con le istituzioni e, laddove occorra, educarle. In questo modo si riesce anche a lenire la lentezza che spesso contraddistingue l’azione legislativa in merito alle nuove tecnologie».
Il coinvolgimento della Pubblica Amministrazione anche nella prospettiva della PA 4.0 non riguarda però solo l’ambito disciplinare. Tra le finalità del progetto Filierasicura c’è come anticipato anche la creazione di una piattaforma che permetta alla PA di valutare l’affidabilità dei propri fornitori, migliorando i processi e riducendo il rischio di frodi nelle attività di procurement. «Quando si guarda a settori delicati come la finanza, l‘healthcare, le utilities e la sicurezza nazionale la complessità non fa che aumentare, e il supporto dei partner nell’identificazione di protocolli e tecnologie si fa imprescindibile», continua Jeffs.
«Il progetto ha una durata di 36 mesi, ma sono convinto che le collaborazioni che allacceremo nel frattempo dureranno anche dopo il roll out del framework a cui stiamo dando vita. Le PA sono consapevoli dell’enormità del lavoro che resta da fare, non hanno risorse umane ed economiche a sufficienza per far fronte alle sfide che le attendono. E del resto non le ha nemmeno l’Industria, che non può far altro che affidarsi all’innovazione condivisa, ai casi concreti, incoraggiando la creatività all’interno di progettualità open source».
Quanto può però un’azienda come Cisco aprire al mercato e ai partner (che in molti casi sono anche competitor su altri fronti) senza rischiare di tradire il segreto industriale? «Per noi è essenziale condividere tutto ciò che abbiamo imparato finora. Essendo attivi sull’intero mercato, dobbiamo conoscerne approfonditamente i trend, sviluppare le giuste tecnologie e quindi anticipare il futuro. Tutto questo è impossibile se prima non creiamo prima un contesto in cui il ROI sarà determinato dalla vendita di servizi e prodotti adatti a soddisfare le esigenze del nuovo scenario».
Cisco
Digitaliani
