Dobbiamo porci il problema di un umanesimo della tecnologia: solo con una adeguata formazione degli utenti potremmo gestire in modo efficace i benefici e le problematiche che le nuove tecnologie ci forniranno. L’analisi del professor Roberto Setola, direttore del master Homeland Security presso l’Università Campus Bio-Medico di Roma
Quello che è occorso venerdì, ovvero la paralisi di diversi aeroporti, il blocco di alcuni servizi bancari, l’interruzione dei servizi di telecomunicazioni in molti Paesi, non è stato per nulla un evento inaspettato. Fin dai lavori pioneristici di Rinaldi e Perrow della metà degli anni Novanta, la comunità scientifica ha evidenziato che la società moderna è intrinsecamente fragile. È fragile nella misura in cui è complessa. Complessità intesa come co-presenza di una moltitudine di fattori, elementi, attori che interagiscono fra loro per l’erogazione di servizi e l’esecuzione di attività. Interazioni che creano fenomeni di dipendenza, ovvero dell’impossibilità per un soggetto di erogare i propri servizi (le compagnie aeree o le banche) perché dipende da un fornitore (gestore dei servizi di bigliettazione) che a sua volta dipende dal fornitore del sistema operativo sui cui server girano gli applicativi (Microsoft) che a sua volta utilizza un altro fornitore (Crowdstrike) per proteggersi dai rischi di cyber security. Un bug (ovvero un fault/guasto) in quest’ultimo elemento della catena mette in crisi l’intero sistema (in realtà lo scenario è molto più complesso perché oltre alla catena di dipendenze dirette esistono catene di relazione indirette e fenomeni di interdipendenze che amplificano gli effetti avversi). Effetti indotti da eventi come quello di ieri sono difficilmente prevedibile dai fornitori di servizi aerei/bancari, ma non solo loro, in quanto recenti studi hanno evidenziano come solo 40% delle aziende quotate in Borsa ha visibilità su chi sono i fornitori dei propri fornitori, e solo il 7% ha una mappatura della propria catena di fornitori fino al terzo livello. Ovviamente se non conosco chi sono i fornitori dei tuoi fornitori, non hai alcuna possibilità di valutare quali sono i rischi a cui loro sono esposti e quindi che potrebbero impattarti.
Questi legami di dipendenza possono avvenire sia nel mondo fisico che in quello cyber.
Nel corso degli ultimi anni abbiamo avuto diversi episodi di come un evento che accade a un operatore in una certa area geografica può propagarsi coinvolgendo altre aree e altri settori. Esempi emblematici sono i blackout negli Stati Uniti e in Italia nel 2003 con le conseguenze che hanno avuto su decine di milioni di persone, ma anche più recentemente il blackout occorso a luglio di quest’anno nei Balcani. La sostanziale differenza fra i fenomeni di dipendenza fisica e quelli legati alla dipendenza cyber è stata colta già nel lavoro seminariale di Rinaldi e c. del 2001 “Identifying, understanding, and analyzing critical infrastructure interdependencies”. Rinaldi evidenzia che mentre le dipendenze di natura fisica e geografica sono sostanzialmente relazioni che coinvolgono un numero finito e limitato di attori (solo quelli che sono presenti fisicamente in una determinata area geografica o che usano un determinato bene) quelle di tipo cyber sono intrinsecamene globali, e come tali non enumerabili a priori.
È necessario per poter gestire tale complessità, un cambio radicale di prospettiva. Fino a oggi le aziende hanno quasi sempre adottato un approccio alla business continuity, ovvero quell’insieme di attività tese a garantire la costante erogazione dei servizi ai propri utenti, con una visione che potremmo dire ego-centrica. Ovvero di premunirsi rispetto al possibile default dei propri fornitori introducendo elementi di back-up, ridondanza e disaccoppiamento. Tutte soluzioni ottimali allo stato attuale, che però si scontrano con la crescente complessità, l’incredibile livello di interdipendenza e le necessità di un costante efficientamento dei costi.
Quello che serve è iniziare ad avere una visione maggiormente altruistica, è necessario per le singole aziende prendere coscienza del proprio ruolo sociale. Per attuare questo cambiamento, occorre avere contezza di quelle che potrebbero essere le conseguenze di un proprio fault per mettere in atto azione proporzionate sia in termine di riduzione delle cause indotte dai potenziali fault dei propri fornitori (visione up-stream, ego-centrica) che alla luce delle possibili conseguenze verso i propri clienti, e verso i clienti dei propri clienti (visione down-stream / altruistica). Questa operazione è molto sfidante a causa della complessità dello scenario. Per i fenomeni di dipendenza fisica abbiamo, seppur ancora in forma prototipale, interessanti strumenti come per esempio il sistema CIPCast sviluppato da ENEA e INGV con il supporto di SPEE che consente di analizzare le problematiche di interdipendenza su molteplici dimensioni con riferimento a eventi di natura climatica, idro-geologica e antropica. Per la dimensione cyber siamo, invece ancora alla ricerca delle metodologie per poter modellare il fenomeno dei fault a cascata soprattutto nel momento in cui l’evento cyber genera un evento cinetico che a sua volta si propaga sia nella dimensione fisica che in quella cyber.
Un prerequisito per tutto ciò è la disponibilità da parte dei diversi attori a condividere le informazioni su quelli che sono gli elementi che possono pregiudicare la propria capacità di erogazione dei servizi. Aspetto questo visto da molte aziende come non-fattibile ritendo tali elementi quantità commercialmente sensibili e preferendo risolvere le problematiche di business continuity esclusivamente all’interno della propria realtà industriale. Se penso alla dimensione della security aziendale mi rendo conto che, per quanto possa sembrare utopico, questo cambio di mentalità è possibile. La security aziendale, fino alla fine degli anni Novanta, era basata sul paradigma della “security by obscurity”. Ovvero di una attività di mero costo per le aziende da svolgere nel modo più riservato e chiuso possibile. Oggi la security aziendale opera in cooperazione con le unità di business, trasformandosi in una funzione enabling che si caratterizza per una costante cooperazione oltre che con i diversi dipartimenti aziendali, anche con le omologhe organizzazione delle aziende controparti e con un costante scambio informativo con le autorità pubbliche.
Queste problematiche sono già state in parte colte dalle due recenti direttive NIS2 e CER, che pongono entrambe l’enfasi sull’aspetto della resilienza assumendo, in modo implicito, che la complessità dell’attuale scenario è tale da far ritenere ineluttabile il verificarsi di eventi avversi con conseguente necessità di operare sul versante di migliorare la capacità di risposta e recovery.
La necessità di favorire una migliore condivisione delle informazioni fra i soggetti privati e fra questi e le autorità pubbliche è, per altro, chiara anche al legislatore italiano che ha inserito al punto #35 della strategia nazionale di cyber sicurezza l’istituzione di ISAC settoriali, ovvero di consessi all’interno dei quali si favorisce lo scambio di informazioni su minacce, vulnerabilità incidenti e quasi incidenti (near-miss) relative alla dimensione cyber. In modo analogo nel D.Lgs. di recepimento della direttiva CER è stata prevista la istituzione della conferenza dei soggetti critici per favorire lo scambio di informazioni su minacce di natura climatica e antropica.
Occorre però evidenziare che i processi legislativi operano su tempistiche non compatibili con le velocità di mutamento dello scenario tecnologico e geopolitico. Come ha dovuto ammettere la stessa Commissione europea che dopo quasi tre anni di negoziato per definire la direttiva CER e nell’immediatezza della sua promulgazione ha dovuto emettere una raccomandazione a valle del sabotaggio del gasdotto Nord Stream 2 per invitare gli Stati membri a complementare gli approcci basati sull’analisi del rischio con soluzioni basate su stress test per tener conto anche di eventi HILP (High Impact Low Probability), forse possiamo (e potremmo nell’immediato futuro) cogliere similitudini con quello che abbiamo vissuto ieri.
Se analizzo le risultanze di alcuni studi che ho condotto su come le principali aziende italiane si stanno attrezzando per gestire i rischi legati alla cyber-security della supply chain quello che emerge è che la soluzione a questa problematica non è individuata nella dimensione tecnologica, che è alla base di molte delle problematiche, ma viene ricercata da un punto di vista organizzativo e di formazione del personale. L’aver voluto valorizzare il ruolo dell’operatore umano quale perno attorno al quale strutturare gli approcci di cyber-resilienza è, forse, la spiegazione del perché i disservizi sperimentati in Italia sono stati, se comparati a quelli di altri Paesi, decisamente inferiori e in gran parte conseguenza di problemi accaduti in altri Paesi.
Da diverse parti si parla di umanesimo dell’intelligenza artificiale, e forse dobbiamo porci il problema di un umanesimo della tecnologia, ovvero della presa di coscienza che solo con una adeguata formazione degli utenti potremmo gestire in modo efficace i benefici e le problematiche che le nuove tecnologie ci forniranno.
Le soluzioni plug-and-play sono estremamente comode da usare, ma se non abbiamo le capacità e l’intelligenza di leggere il manuale di istruzione, saremo sempre più esposti a eventi come quello di ieri.
