L’Italia ha tutte le carte in regola per diventare un punto di riferimento nella ricerca e nello sviluppo per le soluzioni di cybersecurity. Ma perché il Paese non perda anche questo treno dell’Ict (come accadde all’epoca per l’hardware e più avanti per il software), è necessario che l’innovazione sia supportata a 360 gradi finanziando un’indagine scientifica non per forza orientata all’ambito applicativo, dove si richiedono risultati che abbiano ricadute economiche di breve termine sul mercato.
È questo uno dei punti su cui convergono le analisi dei relatori che hanno partecipato alla tavola rotonda “Prospettive per la cyber security in Italia”, uno degli appuntamenti del Critis 2017, evento sotto il Patrocinio della Presidenza del Consiglio dei Ministri e contestualizzato nel mese della sicurezza informatica. Il ciclo di conferenze e workshop di scena questa settimana all’IMT Alti Studi Lucca è stato promosso dalla Divisione Sales Centro di Tim (coordinata da Francesco D’Angelo) e ha visto alternarsi di fronte a una platea internazionale teorici e operatori delle infrastrutture e dei servizi dedicati alla sicurezza informatica. “Anche se è di per sé già un errore chiamarla così”, ha precisato Gregorio D’Agostino dell’Unità tecnica Modellistica Energetica Ambientale (Utmea) di Enea e membro del consiglio direttivo di Netonets. “Viviamo ormai in una realtà non separabile tra parte fisica e parte informatica. La parola d’ordine dovrebbe essere resilienza più che robustezza, visto che le minacce si propagano con le stesse modalità degli attacchi biologici e possono comportare danni su scale enormi, coinvolgendo anche miliardi di individui”. Anche se non fu causato da un attacco informatico, D’Agostino ha citato a titolo d’esempio il grande blackout finora registrato: in India, nel 2012, rimasero senza energia elettrica 700 milioni di persone.
“Abbiamo a che fare con campagne basate su attacchi ben conosciuti rivolti però a computer non aggiornati”, ha spiegato Roberto Baldoni, Direttore del Cis (Centro di Ricerca di Cyber Intelligence and Information Security) della Sapienza. “Il problema è che non tutti i computer si possono aggiornare come facciamo con i nostri smartphone: in alcuni casi l’upgrade porterebbe al blocco del device e quindi al potenziale arresto di servizi essenziali. Per questo dobbiamo far sì che cresca la consapevolezza a tutti i livelli della società, dai cittadini ai board delle grandi imprese, sottolineando che il mancato impegno nella Cyber security rappresenta a tutti gli effetti un rischio finanziario, ed è una responsabilità che non riguarda solo la parte tecnica dell’azienda, ma lo stesso board, che deve adottare politiche di difesa multidimensionali, che tengano conto della tecnica e della tecnologia ma soprattutto del fattore umano, predisponendo tutte le expertise del caso. Ovviamente”, ha continuato Baldoni, “questo richiede un coordinamento molto complesso, ma indispensabile se vogliamo proteggere la ricchezza del Paese. Non difendere le reti significa anche non rendere appetibile l’Italia agli occhi degli investitori internazionali. Dobbiamo agire se vogliamo essere competitivi”.
Per Antonio Scala, ricercatore del CNR e docente all’IMT nell’ambito della fisica applicata ai computer, non c’è alternativa alla creazione di un ecosistema collaborativo, dove pubblico, privato e accademia uniscano le forze. “Nel mio settore abbiamo esperienza di applicazioni pensate per sistemi grandi che interagiscono, che è quello che di fatto si sta costruendo sul fronte della cyber security. Noi italiani siamo all’avanguardia in questo campo, il problema delle risorse destinate alla ricerca sta nella loro integrazione. Soprattutto perché è una guerra di sistema che fa leva proprio sulle vulnerabilità dei singoli. E poi è una questione di linguaggi. Bisogna capire esattamente cosa significa la stessa parola nei vari ambiti prima di poterla condividere. Il passo successivo consiste nel rinforzare il sistema educando le persone”.
C’è poi il punto di vista delle aziende, che devono rispondere qui e ora a una minaccia che riguarda sì il sistema nel complesso, ma che rischia di comportare danni da milioni di euro, affliggendo operatività e immagine del business. Tim ha dovuto affrontare in prima persona questa emergenza, dovendo assicurare continuità di servizio ai propri apparati. Ed è dall’esperienza maturata anche attraverso casi d’uso che hanno fatto scuola a livello internazionale, come l’infrastruttura realizzata per Expo 2015 (prima esposizione universale dell’era digitale e primo evento globale basato interamente su Cloud), che discendono la filosofia e il posizionamento che contraddistinguono l’offerta B2B dell’azienda. Andrea Costa, Responsabile Infrastructure Solutions Business and Top Clients di Tim, ha spiegato durante la tavola rotonda che è in occasione di progetti come l’Expo che si costruiscono meccanismi, piattaforme e competenze che permettono di creare “curve di apprendimento eccezionali. È grazie a progetti di questo respiro che Tim può replicare quanto realizzato allora sul piano non solo enterprise, ma anche rispetto alle esigenze delle PMI e dei liberi professionisti. Grazie a questa impostazione, per esempio, siamo stati in Italia i pionieri nel contrastare le minacce DDoS (Distributed Denial of Service, ndr)”, ha spiegato Costa parlando con CorCom a margine della tavola rotonda. “Con un approccio proattivo oltre che reattivo abbiamo rappresentato la risposta giusta per molte organizzazioni che se avessero dovuto provvedere da sole a queste contromisure sarebbero andate incontro a investimenti estremamente rilevanti”.
Oggi la strategia di Timper il business è fondata su due elementi: la consulenza, che permette di costruire sul parco clienti già acquisito tramite i servizi di connettività (2,5 milioni di imprese) offerte di upselling, e il Digital Store, attraverso il quale i sottoscrittori possono approvvigionarsi autonomamente delle applicazioni che meglio vanno incontro alle specifiche esigenze di business. “Sul piano della consulenza stiamo lavorando molto per aiutare le imprese a indirizzare l’entrata in vigore del Gdpr (General Data Protection Regulation, ndr): la compliance rispetto al regolamento sulla privacy è contigua al mondo della sicurezza”. Costa ha affrontato anche il tema dell’IoT, centrale per le imprese nell’era del 5G. “È una sfida, ma soprattutto per le dimensioni che avrà il fenomeno. I nostri processi interni passano già tutti attraverso un livello di compliance, se non si supera il quale prodotti e servizi non possono nemmeno essere lanciati sul mercato”. Rispetto all’invito alla collaborazione che arriva dal mondo della ricerca, Tim fa leva sul progetto TIM #WCAP il corporate accelerator che costituisce anche un punto d’osservazione sull’innovazione nell’ambito della cyber security. “Anche se per noi è imprescindibile continuare a guardare alle proposte dei grandi vendor, stimoliamo la crescita delle startup sia con finanziamenti sia entrando nel capitale delle aziende più interessanti. Qualcuna si sta distinguendo anche sul piano della sicurezza informatica, ma per il momento non c’è ancora nulla di industrializzato”.