La sfida della digitalizzazione è anche una sfida di cyber-security, da cogliere con investimenti (anche tramite il Recovery fund), una nuova attenzione culturale e rinnovate collaborazioni tra industria e ricerca. Parola di Daniele Alì, vice presidente per la cyber-security di Fincanteri, audito questa mattina dalla Commissione Difesa del Senato, presieduta da Roberta Pinotti, nell’ambito dell’affare assegnato “sui profili della sicurezza cibernetica attinenti alla difesa nazionale” (la scorsa settimana era stata la volta di Tommaso Profeta per Leonardo).
DIFFONDERE LA CULTURA DELLA SICUREZZA
In qualità di “system integrator”, Fincantieri si gioca la partita più importante in termini di sicurezza informatica sulla filiera, un insieme di aziende che “vale l’1% del Pil”, ha ricordato Alì. Per questo, il Gruppo guidato da Giuseppe Bono è impegnato a diffondere “consapevolezza” della sfida cyber tra tutti i fornitori e partner, una sorta di “scolarizzazione del mercato di riferimento” che si integra con l’attenzione alla “sicurezza interna”. Agli incontri con aziende e fornitori, ha spiegato, si aggiungono “importanti operazioni societarie che ci hanno portato nuove competenze strategiche che non avevamo”, come l’acquisizione lo scorso anno della genovese Insis, specializzata nei settori dell’informatica e dell’elettronica.
LE SFIDE
L’attenzione è d’altra parte in crescita come le sfide da affrontare, incrementate ai tempi dello smart working al di fuori delle mura protettive dell’ufficio. “Assistiamo sempre più spesso a processi di devastazione informatica: una piaga che sta colpendo anche la struttura delle Pmi attraverso software complessi in grado di devastare sistemi informativi chiedendo in cambio riscatti a cui spesso aziende che non hanno una adeguata strutturazione informatica sono costrette a cedere”, ha spiegato Alì. D’altra parte, ha aggiunto, “i dati rappresentano asset strategici che spesso sono oggetto delle mire di aggressori”. A complicare il quadro c’è l’assenza di confini nello spazio cibernetico. Il risultato, ha notato il manager, è la diffusione di “guerre sempre più efferate, finalizzate essenzialmente a rubare know how o a destabilizzare asset strategici attraverso la devastazione informatica”.
SECURITY BY DESIGN
Il problema principale è nel “principio di asimmetria” tra attacco e difesa. Con sistemi a basso costo si possono produrre danni enormi; in più, l’impostazione tradizionale della difesa informatica si basa sull’evoluzione della protezione a seconda dell’esperienza sugli attacchi subiti. Da qui, ha spiegato Alì, l’esigenza di rivedere il concetto di “rischio cyber-security”, divenuto a tutto gli effetti “rischio operativo”. Si somma all’introduzione del principio della “security by design”, inserendo il rischio sin dalla fase di progettazione. “Quando si progetto un’infrastruttura complessa è difficile pensare di poterla mettere in sicurezza dopo la consegna”, ha chiosato il manager. Un’infrastruttura complessa, ha aggiunto, “può presentare scoperture sin da subito, poiché che si basa su sistemi per cui vengono trovare vulnerabilità con cadenza quasi giornaliera”. Per ciò, “riteniamo sia fondamentale un portafoglio di servizi post-vendita in grado di garantire protezione e misurazioni continuative del livello di sicurezza”.
L’AZIONE DI FINCANTIERI
Anche perché la rivoluzione digitale prevede infrastrutture sempre più intelligenti, connesse e automatizzate. Ciò riguarda anche le unità navali. “Tornare all’analogico – ha spiegato Alì – sarebbe non solo estremamente difficile, ma anche rischioso dal momento che potrebbe diminuire le capacità di oggetti navali complessi che nell’espletamento delle loro missioni hanno bisogno di piattaforme informatiche che ne amplifichino la capacità operativa”. La digitalizzazione è d’altra parte tra i primi obiettivi del Recovery fund, che si presenta dunque come “un’occasione per iniziare a introdurre segmenti di infrastrutture digitali e rafforzare la sicurezza tecnologica delle grandi aziende, che spesso fanno da collante in filiere importanti”. L’invito in ogni caso è a investire di più nel settore della difesa e sicurezza informatica, anche oltre i meccanismi sanzionatori previsti dalla nuove normative, come il Perimetro nazionale di sicurezza cibernetica. “Bisognerebbe introdurre dei meccanismi premianti per le aziende che decidono di investire in queste tecnologie anche oltre quanto viene imposto dalle normative”, ha notato Alì.
LA COLLABORAZIONE TRA INDUSTRIA E ACCADEMIA
Infine, a fronte di una minaccia senza confini, occorre davvero “fare-sistema”, partendo dalla collaborazione tra industria e mondo della ricerca. Alì ha per questo proposto la promozione di “percorsi professionali tra accademia e privato, che mettano a terra competenze critiche sul piano tecnologico e tecnico”. Un suggerimento, ha concluso, “è quello di favorire a livello istituzionale un connubio tra competenze professionali e accademiche, in modo da accorciare il lasso di tempo necessario a formare e rendere operativa una persona”.