LA CONVERGENZA DEGLI INVESTIMENTI ASSICURA LO SVILUPPO DELLA DIGITAL ECONOMY
Intervista VIP a Gabriele Faggioli
“Ritengo che siamo ormai entrati in un circolo vizioso su cui occorre ragionare molto attentamente. La digitalizzazione non è una gara che prima o poi finisce. Non ci sarà mai un punto di arrivo. È interesse dei vendor continuare a mettere sul mercato tecnologie, è interesse dei clienti essere competitivi e quindi dotarsene. È nella natura dell’uomo evolvere. Il problema è che la tecnologia costa e costa ancora di più difenderla. Ci dobbiamo chiedere se il modello di informatica distribuita dove ogni azienda e pubblica amministrazione fanno sostanzialmente quello che vogliono sia sostenibile o meno. Secondo me non è così. Pensare che le aziende siano in grado di avere competenze, tecnologie, capacità di investimento è semplicemente miope, direi addirittura impossibile. Soprattutto pensando alle PMI e alle piccole e medie pubbliche amministrazioni”. Gabriele Faggioli, come ci ha già dimostrato nelle altre occasioni in cui CST lo ha sollecitato ha le idee molto chiare, sulla rete dei fenomeni che sta caratterizzando lo sviluppo tecnologico.
Prof, la digitalizzazione è un percorso ad ostacoli che sta comunque avanzando. Il rischio nella dimensione della complessità caratterizzato dal continuo divenire di reti , strumenti e sistemi ha assunto un profilo dinamico. Che cosa comporta tutto questo in concreto per aziende, cittadini e istituzioni?
Da 25 anni che nei convegni sento sempre le stesse frasi: “la sicurezza non è un costo e un investimento”, “la sicurezza non è un prodotto o un servizio ma un processo”, “l’anello debole è il fattore umano”, “l’anello debole sono i fornitori”, “l’anello debole sono le PMI, “non è un problema se, ma di quando ti attaccheranno” e potrei andare avanti. Evidentemente qualcosa è andato male visto che non solo non si vede un rallentamento del fenomeno ma addirittura stanno esplodendo. Se si continua a pensare allo stesso modo, avremo sempre gli stessi risultati. L’unica via è quella di concentrare le tecnologie, fare economie di scala, in un certo senso togliere le tecnologie alle imprese e alle pubbliche amministrazioni in una logica di convergenza che permetta investimenti congiunti. Ogni paragone con la sicurezza sul lavoro, che sento fare spesso, è fuorviante e profondamente sbagliato. Nel campo della sicurezza sul lavoro noi difendiamo noi stessi e i lavoratori da incidenti che possono capitare per i rischi intrinsechi e per comportamenti errati. Nella cyber ci difendiamo da continue minacce esterne. Nella sicurezza fisica non c’è qualcuno che spara sui lavoratori o che ci lancia bombe incendiarie o che cerca di entrare negli uffici per portare via i server. Se continuiamo a pensare che ogni azienda grande o piccola che sia debba avere un suo esercito, non ne usciremo mai.
Come si stanno evolvendo le minacce e cosa devono maggiormente temere le organizzazioni produttive sempre più bersaglio di attacchi cyber che si presentano molto strutturati ed evoluti?
Dai dati che abbiamo la minaccia più evidente e incombente continua a essere il ransomware. La doppia estorsione è ancora la strategia più perseguita ed è naturale visti i pochi rischi che comporta e i grandi guadagni che permette di fare. I dati che raccogliamo come Clusit raccontano una situazione sconfortante in Italia, dove gli attacchi gravi riusciti sono aumentati di oltre il 160% fra il 2021 e il 2022 ma, d’altronde, perché non dovrebbe essere così visto che spendiamo in sicurezza informatica lo 0,1% del PIL dove la percentuale è fra un terzo e un mezzo rispetto ai paesi a noi confrontabili? E se parliamo di percentuale, figuriamoci in valore assoluto visto che loro hanno PIL molto più grandi del nostro. Se mettiamo insieme i dati dell’indice DESI dove l’Italia è agli ultimi posti per competenze digitali con i dati degli investimenti, abbiamo chiara la situazione.
La catena del valore digitalizzata crea un contagio delle vulnerabilità. Parafrasando Pier Lévy dovremmo parlare di responsabilità collettiva NKN solo di intelligenza collettiva. Entrano in gioco le terze parti in questa dinamica. Quali strategie vanno seguite per innalzare il livello di sicurezza?
Le terze parti sono un elemento chiave. Penso che le normative dovrebbero insistere molto di più sulla loro responsabilizzazione. Insisto sulla necessità di comprendere il senso di fondo, quando la mia azienda mi manda in treno o in aereo non deve studiare se i sistemi frenanti o i sistemi di volo sono sicuri o meno. Diamo per scontato che lo siano e non è richiesto di analizzarlo. E allora perché dovremmo tutti studiare se un cloud provider, un fornitore di servizi di outsourcing, un soggetto a cui esternalizzo un processo o un servizio è sicuro o meno? Si tratta di replicare all’infinito le stesse analisi per poi arrivare (quasi) tutti a dire che quel gestore di posta elettronica in cloud è sicuro. Certo, non ci sono anche i grandi fornitori mondiali ma andiamo alla sostanza: è sostenibile questo modello di catena unita alla evoluzione rapidissima digitale e all’impostazione normativa attuale? No credo e i fatti lo dimostrano. Penso da tempo che servono azioni anche legislative che mirino a spostare il baricentro della responsabilità dai clienti ai fornitori perché li stanno le competenze e le tecnologie.
Quali sono le filiere maggiormente esposte al rischio cyber?
In Italia sicuramente il manifatturiero. Ma penso sia normale considerando come è fatto il mercato, tanti piccoli imprenditori che fanno tanti micro investimenti che danno che risultato tanta grande insicurezza. Anche il settore sanitario è perennemente sotto pressione ma, comunque, dai dati emerge in tutta evidenza che siccome il ransomware non ha preferenze, alla fine se sono poco protetto sarò attaccato qualunque sia il mio settore di mercato.
Il Garante della Privacy ha ricordato recentemente i 5 anni dalla approvazione del GDPR. Quale deve essere il giusto bilanciamento tra tecnica è libertà?
A me piace pensare che l’unico limite dovrebbe essere quello di non far danno ingiusto agli altri. Ma ovviamente è principio troppo generico per poterlo applicare. È molto difficile pensare a una impostazione normativa, per ovvi motivi, rigida, che possa accompagnare l’evoluzione tecnologica. Preferirei un approccio basato su normative che diano indicazioni di principio e generali, rispetto a tantissimi obblighi e divieti puntuali. Di sicuro il rischio di una contrapposizione esiste ma il nostro Garante ha dimostrato una grande sensibilità e la vicenda ChatGpt lo dimostra. È possibile evolvere senza venire meno ai principi chiave fissati in Europa.
In occasione della due giorni alla Sapienza organizzata da CRS 4 è emersa la carenza di figure professionali adeguate in un mercato come quello della cyber security che ha assunto un valore strategico nella società dell’informazione. Qual è la sua opinione in merito?
Non ci sono dubbi. L’indice DESI della Commissione Europea racconta di una Italia gravemente in ritardo nelle competenze digitali, non solo di sicurezza informatica. Ritengo che sia una vergogna nazionale e che bisognerebbe intervenire immediatamente fin dalle scuole primarie. Da un altro punto di vista è una grandissima occasione per chi invece sta investendo in questo settore e, comunque, vuol dire che nei prossimi anni le giovani e i giovani avranno una grandissima opportunità lavorativa. Cerchiamo di vedere, dove possibile, il bicchiere mezzo pieno.
Il grande sviluppo dell’intelligenza generativa come ha cambiato, se le ha cambiate, le “carte” in tavola per chi si occupa di cyber security?
Sicuramente la capacità di analisi, predittiva e reattiva ha già avuto e sempre più avrà dei grandi vantaggi dall’IA. Il problema secondo me sarà capire chi si avvantaggerà di più fra attaccanti e difensori. Consideriamo che gli attaccanti possono giocare senza regole e a budget potenzialmente illimitato, contrariamente a quello che possono fare i difensori che da una parte devono rispettare le normative e dall’altra hanno molti limiti rispetto a una potenziale reazione e contrattacco. Quindi ci troviamo di fronte a un campo da gioco che non è piano e regolare, nel quale una squadra gioca senza arbitro e può fare tutti i falli che vuole. In conclusione la mia risposta è sì. L’IA può cambiare le carte in tavola ma bisogna vedere chi dopo avrà le carte migliori da giocare.
Autore: Massimiliano Cannata