Negli ultimi 50 anni di sviluppo elettronico abbiamo assistito a grandi progressi relativi al costruire strumenti più piccoli e più potenti, senza però un corrispondente sforzo per aumentarne anche la sicurezza. Al convegno ‘Cybersecurity: last call’, nel Campus scientifico di Ca’ Foscari, si sono riuniti professori ed esperti appartenenti ad aree di studio diverse, dall’ingegneria alla giurisprudenza, per affrontare un tema tanto importante quanto ampio ed interdisciplinare: la protezione dei sistemi informatici, e la sicurezza di imprese, istituzioni e governi.
“La necessità di studiare ed intervenire nell’ambito della cybersecurity sta diventando sempre più urgente”, ha affermato il Rettore Michele Bugliesi, “e per questo la ricerca, la sperimentazione, e le partnership accademiche ed industriali portate avanti da Ca’ Foscari rappresentano rilevanti innovazioni ed opportunità per il futuro”.
L’attuale incapacità nazionale di reagire a minacce relative alla cybersicurezza, da quanto emerso, esporrà l’Italia a pericoli da qui ad almeno 20 anni. L'ing. Raffaele Boccardo, presidente e amministratore delegato BV-TECH, ha evidenziato come gli strumenti di cybersecurity che il nostro Paese usa attualmente sono spesso realizzati da Stati terzi, esponendoci a un grande pericolo in caso di conflitto. Le guerre cibernetiche, che prevedono intercettazioni, alterazioni e distruzione dei sistemi di comunicazione nemici, hanno dei costi ridottissimi e possono avere effetti devastanti, poiché il cyberspazio ha legami con infrastrutture fisiche come ferrovie, fabbriche, e perfino centrali nucleari. Per queste ragioni il cyberspazio sta acquistando sempre più importanza anche dal punto di vista istituzionale: gli Stati più sviluppati infatti, oltre ad avere reparti pronti ad affrontare conflitti di mare, terra, aria e spazio, stanno acquisendo dei contingenti bellici relativi al cyberspazio, che viene di conseguenza definito come quinto dominio di conflittualità.
Anche sul piano economico il rischio legato alla sicurezza informatica è molto alto: tra il 2014 e il 2016 in Italia le aziende hanno registrato una perdita totale di 9 miliardi di euro a causa di falle nei sistemi informatici e non esistono attualmente settori invulnerabili. Non stiamo parlando solo di grandi industrie dell’energia, dei trasporti e di banche, ma anche di piccole e medie imprese. In qualche modo, quindi, siamo tutti esposti.
Insomma, i rischi sono reali e non possono essere ignorati: in America da anni il bilancio federale comprende 15 miliardi di dollari stanziati per combattere queste minacce e il “department of security” possiede 133 team coordinati pronti ad agire in questo campo. Anche l’Unione Europea possiede direttive specifiche, ma le agenzie private, protagonisti importanti, ne sono state fin’ora escluse, e i vari agenti di sicurezza cibernetica non sono coordinati tra Paese e Paese; l’Italia in particolare è molto vulnerabile per quanto riguarda i sistemi di controllo industriale accessibili da internet. Per questo lo Stato, le istituzioni e le imprese devono insieme farsi carico di aumentare formazione e competenze, e allo stesso tempo promuovere una presa di coscienza di quanto importante sia questo nuovo campo, che rappresenta anche un mercato in espansione.
Molti sistemi informatici sono coinvolti nel funzionamento di infrastrutture di rilevante importanza, il cui malfunzionamento potrebbe portare a grandi problemi a livello regionale: sono i cosiddetti sistemi IOT, o cyberfisici; come ha spiegato il professor Stefano Zanero, docente al Politecnico di Milano, negli ultimi anni sta venendo lentamente eliminata la componente umana dal reparto della sicurezza di questi sistemi, aumentando l’automatizzazione ma allo stesso tempo esponendoci a rischi maggiori.
I problemi relativi a questi sistemi sono molteplici: molte macchine moderne, ad esempio, hanno la possibilità di accendere il motore da una centralina accessibile, caratteristica che aumenta esponenzialmente il rischio di furto dell’auto.
Eppure i furti più dannosi non riguardano oggetti fisici, ma i dati e le informazioni che immettiamo quotidianamente in vari sistemi: i nostri cellulari sono il più evidente e comune punto di raccolta di informazioni rilevanti, come, ad esempio, la nostra posizione in tempo reale.
Sia le nostre informazioni che la sicurezza di sistemi cyberfisici di grande importanza sono protetti in modo assolutamente inefficiente, ed è facile capire come questo ci esponga a dei rischi davvero considerevoli.
Proprio per questo la Direttiva 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione ( Direttiva NIS) è un traguardo molto importante, come spiegato dall’avvocato Stefano Mele: la direttiva, valida in tutta l’Unione Europea, riguarda sia gli Stati membri sia le aziende private che si occupano di gestire servizi essenziali come trasporti, fornitura di acqua, energia ecc. Entro Novembre 2018 ogni Nazione dovrà identificare per ciascun settore e sottosettore gli operatori di servizi essenziali sul territorio, la cui lista sarà aggiornata ogni due anni. Le varie aziende dovranno fornire tutte le informazioni ritenute necessarie alla relativa autorità politica, che potrà di conseguenza valutare la sicurezza delle imprese e ordinare cambiamenti e modifiche ai sistemi di cybersecurity; inoltre sarà obbligatorio notificare qualsiasi tipo di incidente all’autorità nazionale, che valuterà il danno e nominerà nuove commissioni responsabili del trattamento e della sicurezza dei dati; la direttiva NIS pone infatti grande enfasi sulla protezione dei dati dei clienti e dei dipendenti delle aziende, introducendo il diritto all’oblio e il diritto alla portabilità (la possibilità di trasferire i propri dati liberamente su diverse piattaforme).
L’altra grande innovazione introdotta con la direttiva è l’attenzione alla cooperazione a livello internazionale, per trasformare la strategia dell’Unione Europea da una corsa al risolvere le minacce più in fretta possibile, ad un più complesso, efficace e razionale metodo di prevenzione.
Ma che ruolo può avere l’università in questo frangente? Senza dubbio informare studenti e cittadini sulle problematiche relative al cyberspazio e sviluppare la ricerca in questo ambito. Ca’ Foscari possiede un team di ricerca che si occupa proprio di “IT security”, SecGroupUnive, presso il Dipartimento di Scienze Ambientali, Informatica e Statistica. Il professor Riccardo Focardi, coordinatore del gruppo, ha evidenziato quanto sia importante formare nuove figure professionali che possano intervenire nell’ambito della cybersecurity, riuscendo a conciliare la parte scientifica e tecnologica con le questioni giuridiche, economiche e aziendali che inevitabilmente vi si collegano.
Proprio per stimolare gli studenti ad esplorare questo mondo, l’Ateneo ha portato avanti negli ultimi anni progetti di hacking etico e cyberchallenges (“cyberchallenge.it” e “capture the flags”): questi percorsi non solo rappresentano una forma di didattica alternativa ed innovativa, basata sul “learn by doing”, ma sono il primo passo per sviluppare un dialogo con le imprese ed il territorio, e creare nuove opportunità e posti di lavoro.
A cura di Teresa Trallori
