Il terzo incontro “Etica e sicurezza informatica nell’era digitale” (Città del Vaticano, 14 giugno 2016) ha affrontato i temi etici che investono i rapporti di scambio che si instaurano in rete. Quando lo scambio investe le informazioni personali entrano in campo non solo la privacy ma anche le tutele del consumatore e della concorrenza: le posizioni dominanti sono particolarmente rilevanti nell’economia della rete.
Andrea Farina, Presidente di Itway Spa che ha promosso l’incontro, ha posto il tema della resilienza, intesa come insieme di caratteristiche del sistema (un’organizzazione o un intero settore) che contribuiscono a ridurre la gravità dei danni inferti dagli attacchi alla sicurezza digitale. Il grado di cyber resilience che una azienda o un’istituzione deve raggiungere è l’obiettivo da raggiungere con le risorse disponibili e misurando i rischi effettivi: per questo è indispensabile ottimizzare la capacità di risposta, facendo leva sulla intelligenza del rischio. La comprensione della natura dell’attacco e la conoscenza della vulnerabilità della vittima richiede competenze specialistiche, aggiornate e allenate che possono offrire solo coloro che delle sicurezza fanno la propria missione. Impegnato in Italia ma anche nel Mediterraneo e nel Medio Oriente, con un ruolo crescente in Turchia, nel Golfo, in Iran, il Gruppo Itway è in grado di accrescere la resilienza non solo della singola organizzazione, ma del sistema che si avvalga sistematicamente della sinergia pubblico-privato.
Farina ha ricordato i dati sui danni prodotti dalla criminalità cyber, sottolineando come occorra più formazione
Valore dei danni dovuti a criminalità cyber 2015 in mld $ | Incremento dei crimini cyber 2015 sull’anno precedente | Numero di credenziali rubate nel 2015 in miliardi | Percentuale di top manager che considerano una priorota investire in sicurezza nella propria azienda |
9 | +30% | 1,17 | 33% |
Clusit 2015 | Clusit 2015 | Hold Security | Clusit 2015 |
e più consapevolezza, perché bisogna accelerare la diffusione e la condivisione delle best practice, se si vuole portare competenze e capacità di risposta alle aziende e alla pubblica amministrazione, riducendo un gap che sta crescendo.
Alessandra Smerilli, suora docente di economia alla PFSE Auxilium, ha affrontato gli aspetti economici della sicurezza e della privacy. Quanto vale per un consumatore americano la cessione del dato sul compleanno: 2 $. E i dati della patente? 3 dollari. In un mercato perfettamente competitivo il benessere sociale può essere raggiunto attraverso il perseguimento degli interessi individuali, ma in assenza di equilibrio nella dotazione di informazioni, ha puntualizzato Smerilli richiamando l’asimmetria informativa che caratterizza il mercato delle alte tecnologie, gli interessi avranno peso diverso e vi sarà uno squilibrio nel potere di mercato dei diversi soggetti. In pratica, gli over the top saranno in grado di “sfruttare” la disponibilità dei singoli a cedere la sovranità relativa alle proprie informazioni personali. Contribuisce a questo squilibrio la percezione distorta del valore delle informazioni da parte degli individui: ricerche di analisi contingente dimostrano infatti che il valore attribuito in astratto è molto più alto di quello su cui si è disposti alla effettiva transazione. Questa è influenzata, infatti, da una percezione “miope” in cui il presente sovrasta il futuro, ossia a sopravvalutare il beneficio immediato e a sottovalutare il danno futuro. La regolazione del mercato è necessaria, per correggere queste distorsioni e tutelare il cittadino-consumatore, secondo una visione del mercato più ispirata ad Antonio Genovesi che ad Adam Smith, ossia ispirata all’economia civile in contrapposizione con l’economia dello scambio strettamente utilitarista.
Paolo Alì (HPE) ha approfondito il ruolo che giocano i consumatori, con l’adozione delle app e con l’attività sui social network: essi sospingono “dal basso” l’innovazione, provocando una rivoluzione nella disponibilità di dati che sono prodotti dai loro stessi comportamenti e dalle loro scelte. HPE si è dotata di un security research team nel quale migliaia di analisti sviluppano la security intelligence, con un portale che condivide le best practice per la gestione del rischio e analisi prospettiche periodiche come il Cyber Risk Report, da cui è tratta la figura che riporta la situazione organizzativa nelle grandi aziende (le piccole presentano una condizione assai più arretrata).
Cinzia Bonfrisco (Senatrice), Rocco Mammoliti (Posteitaliane Spa), Giulio Santagata (Nomisma), Alessandro Zorer (Trentino Network) hanno discusso le questioni posti da Loredana Mancini (Business-e) sulla collaborazione pubblico-privato. Un sistema in grado di rispondere alle sfide alla sicurezza cibernetica e al nuovo quadro regolamentare definito a livello europeo richiede questa sinergia tra istituzioni e competenze tecnologiche. Vi è quindi la necessità di migliorare il coordinamento tra i diversi livelli regionale, nazionale ed europeo. Le competenze regionali che maturano in collaborazione con le aziende e le istituzioni locali hanno esempi di eccellenza nel nostro Paese (Zorer), ma le informazioni derivanti da queste esperienze faticano a farsi sentire e a mettere in condivisione sistemica il proprio know how. Questa difficoltà è massima in sede europea, anche a causa di profili di competenza confusi e di una prassi di cooperazione sovranazionale insufficiente. Eppure è proprio da questa cooperazione delle aziende e degli enti pubblici con gli specialisti, che maturano i servizi avanzati necessari anche a grandi fornitori di servizi di massa, come Posteitaliane (Mammoliti). D’altra parte, nel momento in cui il confine nazionale perde significato, e i servizi, i data base, il cloud sono espressione della dimensione transnazionale del mercato e delle tecnologie cyber, il monopolio statale sulla sicurezza sfuma. La collaborazione multinazionale e tra pubblico e privato divengono un unico terreno di sviluppo di una strategia di difesa che è necessariamente complessa e dinamica (Santagata). Per dotarsi di capacità di risposta adeguate bisogna evitare tagli lineari e interventi che depauperano la capacità del pubblico di investire nella sicurezza: se l’obiettivo è di sviluppare un ambiente socio-economico sicuro, con al centro l’individuo e l’impresa, i servizi della sanità e del welfare vanno tutelati e e resi efficienti con una robusta iniezione di capacità e tecnologie portate “a sistema” dalle imprese (Bonfrisco).
Dopo la tavola rotonda gli interventi hanno insistito sul quadro istituzionale e regolamentare. Vincenzo Consorti ha sottolineato l’importanza del regolamento europeo sulla privacy, appena emesso:
il cittadino è al centro del sistema, viene affermato il diritto alla portabilità dei dati e vien affermato il diritto all’oblio. Ha anche sottolineato la maggiore robustezza di un modello di outsourcing dei servizi attento allo sviluppo delle competenze interne: senza una capacità interna anche l’apporto delle competenze specialistiche dall’esterno, pur necessario, finisce con risultate di scarsa efficacia e non indirizzabile alle esigenze più urgenti, che solo il cliente conosce all’interno della propria realtà di mercato e organizzativa.
Roberto Baldoni (La Sapienza) ha offerto un quadro della trasformazione intervenuta con l’entrata in scena delle tecnologie di rete, che ormai impongono una nuova visione della rete stessa che richiede una nuova visione del sistema economico: economia e cyberspace sono oggi un universo unico, indissolubilmente interconnesso. Big data, IOT etc accelerano la trasformazione e nel campo della sicurezza la sfida è quotidiana: il know how del regista dell’attacco impone un dinamismo analogo a chi deve rispondere preservando la sicurezza. L’Italia è già una piattaforma tecnologica ed un sistema economico integrato, ma deve diventare una piattaforma più sicura ed accogliente se vogliamo essere attrattivi e superare le distanze che ci separano dalle piattaforme più avanzate: distanze da colmare con misure primarie di politica (vedi riquadro).
Baldoni ha esemplificato la perdita di competenze legata alla fuga dei cervelli: gli ingegneri che escono dalle nostre università, spesso con livelli di eccellenza nella preparazione teorica e nella capacità di analisi, vengono reclutati altrove, dove guadagnano multipli di ciò che guadagnano in Italia. Come si fa formazione sulla sicurezza fisica, che coinvolge tutti i professionisti e tutte le aziende, così dobbiamo fare la formazione anche sulla cybersecurity. Infine, mentre Francia, Germania e Inghilterra convergono verso centinaia di data center, in Italia ce ne sono ancora 100 volte tanti. Ma questi data center diffusi non sono difendibili: la superficie d’attacco è troppo ampia.