L’applicazione della sicurezza informatica a reti e sistemi digitali protegge questi assetti dai crimini effettuati mediante attacchi informatici. Una sua applicazione più estesa e sistematica può arrivare a proteggere e tutelare interi ecosistemi digitali (smart cities, sistemi di smart grid, reti Iot, infrastrutture critiche digitali ecc).
Ma la sua programmazione di lungo termine, in un’ottica lungimirante di politica industriale e imprenditoriale nazionale e territoriale, potrebbe cambiare l’indotto economico e sociale con risvolti importanti sulla sovranità digitale, sul mondo del lavoro e incidere quindi sul nostro futuro.
Per farlo davvero è necessario abbandonare un approccio superficiale e di breve termine alla cyber security, riscoprendo il valore, la qualità e il senso dei progetti per il domani. Perché le progettualità sulla cyber security, riunite e organizzate insieme in una struttura portante, possano costituire una solida base per il futuro di tutti.
Ne abbiamo parlato con il professor Giuseppe Pirlo, direttore del laboratorio nazionale CINI per le competenze digitali, professore ordinario dell’Università degli Studi di Bari “Aldo Moro” e general Co-chair di ITASEC23.
Indice degli argomenti
Gli spunti da ITASEC23
Durante la conferenza ITASEC23 svolta a Bari dal 2 al 5 maggio, il mondo istituzionale, accademico e industriale, si è riunito per una nuova edizione della conferenza nazionale sulla cyber security che dal 2017 si sussegue ogni anno.
L’obiettivo della conferenza organizzata dal cyber security national lab del CINI (Consorzio Interuniversitario Nazionale per l’Informatica) è fare ogni anno un bilancio e fornire una visione prospettica in tema di cyber security e sviluppo digitale.
Durante uno dei panel il professor Giuseppe Pirlo è intervenuto sulla “esigenza di riscoprire la qualità”, il valore e il senso di quello che stiamo facendo, con l’obiettivo di uscire da un approccio superficiale e guardare al significato vero della sicurezza informatica per il nostro futuro”.
Abbiamo voluto approfondire con il professore questo approccio ‘letteralmente edificante’ sulla cyber security, per capire meglio come cambiare dall’attuale approccio “consumeristico”(la consumerizzazione dell’IT è quel fenomeno che vede nel lavoratore (consumer) e nelle sue esperienze tecnologiche il riferimento cui adeguare le tecnologia aziendali n.d.r.) e consumistico della tecnologia per spostare l’attenzione sull’approccio produttivo e sostenibile dell’innovazione in materiale di sicurezza informatica.
Aggiornamenti sulle certificazioni di cyber security: tra schemi e nuovi controlli, ecco cosa cambia
Riscoprire valore qualità e senso della cyber security
L’invito del professor Pirlo è diretto: riscoprire valore, qualità e senso della cyber security.
“Dal mio punto di osservazione – spiega – siamo oggi in un periodo in cui, sotto impulso mediatico e la spinta di finanziamento del PNRR, tutti si sono mossi per attività, e iniziative nel campo della cyber security”.
“Questi progetti presi singolarmente sono validi, ma sfugge l’obiettivo reale e il filo conduttore che dovrebbe essere un obiettivo strategico di lungo periodo: garantirci una sovranità in ambito digitale, ovvero di poter disporre di tecnologie che non arrivano sempre e solo da altri paesi, altrimenti saremo sempre e solo consumatori di innovazione e dipenderemo sempre da altri paesi che sono produttori”.
“Se non si produce tecnologia e non mi riferisco a semplici prodotti, ma a tecnologie di base, innovative e fondanti in ambito digitale, allora perderemo non solo una possibilità economica, ma anche il know how, ovvero quelle conoscenze e competenze specifiche su questi contesti e ci esporremo ad un enorme rischio di impoverimento culturale e immediatamente a seguire di tipo economico e di sovranità digitale. È una sfida reale che richiede una coscienza profonda”.
Il sottile filo rosso della programmazione di lungo termine focalizzata
Per capire meglio a cosa si riferisce, il professor Pirlo cita come esempio il periodo del Covid durante il quale il mondo del lavoro italiano ha potuto proseguire in termini di continuità operativa e con lo smart working solo ed esclusivamente appoggiandosi su piattaforme in cloud non italiane.
“Senza voler fare un discorso che possa sembrare contrario alle big tech – si chiede – cosa sarebbe successo se non avessimo potuto usare queste risorse estere? Credo che un grande paese come l’Italia dovrebbe avere anche strumenti proprietari di questo tipo. Attenzione, non parlo di prodotti commerciali off the shelf, ma di quelli che ricadono in ambiti strategici anche se hanno un valore commerciale relativamente basso singolarmente ma un uso esteso globale. Di questa classe di sistemi, fanno parte i sistemi operativi, che sono praticamente tutti comprati dall’estero e sono l’elemento fondante su cui si poggiano tutti gli altri applicativi digitali di un qualsiasi sistema informativo digitale”.
“Tutto questo per dire che quando si affrontano nuove progettualità è importante un filo conduttore che le colleghi fra loro. Per cambiare si dovrebbero sviluppare progettualità strategiche, altre trasversali ed altre verticali ad alcuni temi, articolarle in un unico disegno prospettico di sviluppo, definendo le propedeuticità fra questi progetti e le interdipendenze“.
“In questo senso il filo conduttore è dato dal ripensamento delle progettualità di cyber security in un’ottica di sistema complessivo. Il PNRR ci offre spunti meravigliosi per farlo, ma ancora oggi alcune entità ed enti hanno seguito logiche e vincoli interni non sincronizzati a livello nazionale”.
“Purtroppo, questo dipende anche dalle condizioni di sistema, che causano una frammentazione delle responsabilità dei singoli interventi. Così si verifica che mentre l’ecosistema digitale è sempre più integrato, le progettualità al contrario si frammentano. Sembra mancare una regia una polarizzazione di intenti. Ma guardare a qualità, valore e senso di quello che vogliamo fare potrebbe aiutarci in questa polarizzazione”.
Obiettivo per il Paese: una agenda per la ricerca e l’innovazione
L’importanza della sovranità tecnologica e dell’indipendenza produttiva è stata commentata durante ITASEC23 dallo stesso direttore dell’Agenzia Nazionale della Cyber Security (ACN) Bruno Frattasi, che ha specificato come si debbano “utilizzare tutti i fondi disponibili per incrementare il tasso di indipendenza produttiva e tecnologica del Paese: una priorità necessaria a rafforzare il perimetro cibernetico dell’Italia, che è un tassello fondamentale della sicurezza europea. Il Prefetto ha anche sottolineato come l’autonoma tecnologica non esisterebbe senza investimenti e questi investimenti e risorse del PNRR vanno spese e spese bene”.
Su questi temi il professor Pirlo sottolinea l’importanza del raccordo operato in tema di ricerca nazionale sulla cyber security fra l’agenzia ACN e la Fondazione SERICS e come sia un’azione cruciale che dovrebbe essere vissuta come punto di inizio e non di arrivo.
Si ricorda che dall’ACN nelle prossime settimane è attesa l’uscita della nuova agenda per la ricerca e innovazione e che la Fondazione è il soggetto attuatore del progetto SERICS (progetto di Partenariato Esteso nell’ambito del PNRR – Missione 4, componente 2 linea 7 “Cyber security, nuove tecnologie e tutela dei diritti” in tema di Ricerca sulla cyber security.
Formazione in cyber security: le buone prassi per sviluppare cultura della sicurezza
Formazione mirata a lavoratori e cittadini
In termini di azioni pratiche un primo passo è nella direzione della cultura al digitale per tutti. Chiarisce Pirlo: “Se la cyber security è nata in contesti tecnici e sebbene siano gli informatici ad operare nel campo della cyber security, questo tema è di fatto uscito dai soli contesti specialistici, assumendo un respiro più ampio, con risvolti giuridici, economici, sociali anche in termini di competenze e di formazione”.
“Essendo un dominio ampio complesso e articolate richiede risposte dello stesso tipo”, osserva. “Oltre il 95% degli attacchi incide e sfrutta i comportamenti erronei delle persone. Quindi curarsi del lato umano è importante”.
E quindi, come si può intervenire in questo senso? “La formazione gioca un ruolo importante” chiarisce Pirlo. “Come direttore del laboratorio nazionale CINI sulle competenze digitali posso dire che abbiamo bisogno di lavorare su due dimensioni diverse: formazioni specialistiche, hard skill e capacità per saper lavorare nella cyber security. Qui sarebbe anche importante fare investimenti per risolvere le questioni di genere e sviluppare inclusione e gestione delle diversità”.
“Il secondo punto è investire e formare cittadini digitali. La tecnologia si avvicina ai cittadini e offre nuove opportunità, a cui si accompagnano rischi di cui non sempre i cittadini sono consapevoli. Questo è vero anche per l’educazione verso i figli. Qualsiasi genitore può indicare ai figli i rischi e pericoli della guida in auto, ma poi non succede lo stesso dopo aver dato ai figli un PC o un telefono cellulare. Invece è necessario usare e conoscere i rischi legati ad un cattivo uso degli strumenti digitali”.
“Le scuole possono molto in questo senso, fin dalle scuole primarie”, aggiunge Pirlo. “Potrebbero aggiornare alcuni programmi curricolari. Ma non possono fare tutto. Il digitale è una dimensione dell’esistenza e bisogna essere educati a questo contesto per sapervi vivere a scuola e in famiglia”.
Vision di lungo termine e azioni locali a breve termine
Tenendo conto di tutti gli elementi fin qui discussi e di come la formazione trasformi lo ‘human factor’ della cyber security, da vittima inconsapevole a potenziale prima linea di consapevolezza, responsabilizzazione sul digitale, con effetti di maggior capacità di tutele a protezione, viene da chiedersi quale possa essere una ulteriore azione concreta per il futuro della cyber security.
“Ritengo – risponde Pirlo – che per cambiare davvero i risultati in ambito digitale e cyber security sia necessario sviluppare una proiezione in cui il digitale e la sua sicurezza siano disegnati e progettati in un lasso temporale medio lungo. La vision deve essere lungimirante anche se le tecnologie cambiano rapidamente e con loro alcuni vincoli”.
“Inoltre – continua – è necessario bilanciare l’esigenza delle aziende di avere ritorni di investimento in tempi brevi. In queste esigenze contrapposte l’università deve continuare a guardare lontano con temi prospettici di ricerca a medio lungo termine e continuare a formare ragazzi e ragazze. Tuttavia, l’università deve potersi confrontare con la società e il mondo produttivo e trovo molto utile il sistema di accordi che permette alle aziende di fare docenze e agli studenti di effettuare stage in azienda. Questo permette al sistema universitario, fatto di docenti e studenti di affrontare problemi reali e concreti di tutti i giorni senza restare nell’iperuranio delle dispense”.
La formazione in cyber security è essenziale per tutti: il kit di sopravvivenza digitale
“Quindi da un lato serve un patto sociale nella relazione fra azienda e università. Dall’altro serve anche una azione dalle istituzioni per creare un ecosistema di innovazione, orchestrarlo e organizzarlo in un ciclo virtuoso di minore tassazione, investimenti mirati e generare condizioni per cui una azienda trovi conveniente investire in aree e distretti digitali anche locali”.
Ma non solo. “È necessario anche smettere di bandire gare a ribasso dalle entità pubbliche, mentre le aziende potrebbero investire in ricerca applicata. L’innovazione non nasce mai da sola. Il rischio di non curarsi di questi aspetti a livello nazionale è che a livello locale, possono anche essere stanziati finanziamenti specifici, ma sono spesi male, perché arrivano aziende major che se li accaparrano, magari anche sottraendo risorse umane locali ad altre PMI e dopo poco vanno via lasciando il territorio impoverito di mezzi, risorse umane e progetti. È necessario invece creare le condizioni perché le aziende possano radicarsi in quei territori locali, possano integrarsi con le piccole realtà del territorio garantendo uno sviluppo sostenibile. La cyber security può essere una leva concreta in questo senso”.