“Per seguire i nuovi filoni di innovazione digitale, come quello della cybersecurity, servono nativi digitali. E’ un principio che teniamo ben presente anche nelle acquisizioni, dove siamo molto attenti alle startup e alle iniziative dei giovani che si interessano del cyberspace. In più sono attive collaborazioni con atenei di primo piano, come la Sapienza di Roma, il Politecnico di Milano e le università di Genova e Firenze. L’obiettivo, da qui in avanti, è però non soltanto di collaborare con loro nell’R&D, ma anche di selezionare i migliori dottorandi e ricercatori e di portarli in azienda, per farli diventare i protagonisti del processo di cambiamento in corso nel nostro Paese e in tutta Europa”. Lo dice in un’intervista a CorCom Andrea Biraghi, managing director della divisione Security & Information Systems di Leonardo, facendo un quadro della situazione italiana nel campo della cybersecurity e introducendo i temi principali che saranno al centro di Cybertech Europe 2017. La manifestazione si svolgerà il 26 e 27 settembre a Roma, nel nuovo centro congressi dell’Eur – la Nuvola – firmato dall’architetto Massimiliano Fuksas.
Ingegner Biraghi, la cybersecurity è sempre meno una questione nazionale e sempre più un tema europeo. Qual è – e come può svilupparsi in prospettiva – il ruolo di Leonardo in questo scenario?
Lo scorso anno Leonardo è stata tra i membri fondatori di Ecso (European cyber security organization), la contractual private-public partnership tra la Commissione europea e le aziende che intendono dare un contributo su questi temi. Da first director di Ecso diamo il nostro contributo nella definizione della strategia di ricerca e innovazione in ambito cyber security e nella consultazione con la Commissione europea. Lavoriamo anche proattivamente con Enisa, l’agenzia europea per la sicurezza delle reti e dell’informazione, che il vicepresidente Ansip ha recentemente annunciato di voler potenziare, affidandole un ruolo centrale nell’attuazione delle direttive e nella definizione dei framework di certificazione cui dovranno essere allineati i livelli di sicurezza dei prodotti, dei sistemi e dei servizi, con particolare riferimento a quelli critici. In più dal punto di vista commerciale e industriale investiamo per essere leader nel settore non soltanto in Italia, ma in Europa, proponendoci come partner di grandi clienti europei che non sono soltanto i governi, ma anche imprese e gestori di infrastrutture critiche. Così supportiamo le organizzazioni nel recepimento della direttiva Nis (Network and Information Security) e della Gdpr (General data protection regulation), le due linee guida che devono essere implementate nei prossimi mesi. La consapevolezza, per fortuna, sta aumentando: se pensiamo soltanto a 5 anni fa, era rarissimo che le aziende condividessero il fatto di essere state attaccate: ora è cambiato il livello di attenzione ed è cambiata la consapevolezza: l’attacco non è più un punto di demerito, perché tutti possono esserne vittime: condividendo le informazioni si contribuisce a rendere sé stessi e tutto l’ecosistema più sicuro.
Nei prossimi giorni sarete tra i protagonisti di Cybertech Europe 2017: Qual è il senso di questa manifestazione?
Sarà il momento perfetto per fare il punto sulla strategia europea e dei singoli paesi aderenti. Partendo però dalla scala sovranazionale, a livello europeo in senso geografico, includendo quindi anche il Regno Unito, che è storicamente un Paese pioniere nell’adozione delle direttive e nostro secondo mercato strategico. Sarà un momento di confronto ideale tra istituzioni e industria sulle necessità emergenti, sui trend e sulle soluzioni più innovative che il mercato è in grado di offrire. Si parlerà di innovazione tecnologica e di formazione, perché la cybersecurity è un tema in cui le persone e i loro comportamenti, quindi la loro consapevolezza, contano tantissimo. Tutto questo nella prospettiva del Digital single market, per dare vita a una capacità europea di sviluppo di soluzioni, prodotti e servizi che consentano la nascita di player europei.
In Italia tra aziende, pubblica amministrazione e privati, qual è in generale il livello di consapevolezza sui rischi e quale l’impegno dispiegato per difendersi? E’ avvenuto il cambio culturale di cui si sentiva il bisogno?
Viviamo ancora un forte sbilanciamento tra soggetti grandi e piccoli. Evidentemente la cybersecurity in una grande azienda, come una pubblica amministrazione centrale, è percepita già a livello di board come una priorità, per la privacy e la protezione delle informazioni. Nelle Pmi, come nelle PA locali, rimane invece ancora in secondo piano, con una capacità di investimento più bassa. Questione che per l’Italia è particolarmente preoccupante, se pensiamo che il nostro sistema produttivo è composto in gran parte da piccole e medie imprese, che contribuiscono in maniera determinante al PIL nazionale.
Di certo in prospettiva la filiera della supply chain determinerà la compliance. Ne è un esempio la stessa Leonardo: se affidiamo all’esterno uno sviluppo software dobbiamo garantirne la sicurezza, e per questo richiediamo ai nostri fornitori gli stessi requisiti di sicurezza che applichiamo al nostro interno. Ma ormai c’è più informazione e anche il passaparola sta facendo la sua parte. Ogni volta che un soggetto viene attaccato si crea un allarme che porta molti suoi competitor o partner ad attrezzarsi. Un grande lavoro andrà fatto sulla PA locale, anche grazie agli strumenti Consip: spesso Comuni, Regioni, ASL gestiscono dati strategici, come quelli sanitari, ed è prioritario che vengano protetti con attenzione. Grazie alla strategia nazionale e all’organizzazione rispetto al decreto di maggio siamo a buon punto: ora si deve passare alla fase di execution e di finanziamento.
Quali sono oggi i settori più a rischio e in cui sono più urgenti interventi per la messa in sicurezza di reti e sistemi?
Oggi per i cittadini i rischi più alti possono venire dalla compromissione delle infrastrutture critiche, perché davvero potrebbero cambiare la vita delle persone. Parliamo delle reti elettriche, idriche, ma più in generale anche del mondo della sanità: anche gli ospedali possono essere considerati infrastrutture critiche, se un attacco informatico dovesse bloccarne l’attività, o riuscisse a carpire o bloccare i dati che quotidianamente gestiscono.
Uno dei temi del 2017, almeno per l’Italia, è Industry 4.0. Il governo ha varato un piano di incentivi per le imprese che sta funzionando: quali rischi si corrono a “digitalizzare” i sistemi di produzione, e come è possibile ridurli al minimo?
Intanto vorrei sottolineare il mio apprezzamento per il piano del governo su Industria 4.0, aggiungendo però che potrebbe essere sensibilmente migliorato estendendo gli incentivi: non soltanto con il superammortamento attuale, ma includendo i servizi che spesso si rivelano fondamentali nel campo della cybersecurity. Questo potrebbe dare una spinta importante per la messa in sicurezza dei sistemi informatici. Industry 4.0 è una forma spinta di digitalizzazione nella filiera industriale: ogni componente, fase, macchina, ci dà informazioni che consentono di avere feedback e grazie a questi migliorare e rendere più efficiente ed economica la produzione. Entro il 2020 avremo tra i 25 e i 30 miliardi di oggetti interconnessi, e quindi potenzialmente esposti a diventare vettori di un attacco informatico. Per non aumentare l’insicurezza del sistema è fondamentale che Industria 4.0 venga realizzata col principio della security by design.