Pubblico e privato, l’unione fa la cybersecurity: è la sfida per l’Europa

La cyber security è ormai chiaramente un tema fondamentale nei programmi di Difesa dei Paesi, nei processi di digitalizzazione della società e dell’economia e nell’interesse e attenzione dell’opinione pubblica. A conferma di ciò alcuni semplici evidenze: alla fine di settembre si è svolta a Roma la prima edizione europea di Cybertech, la principale manifestazione dedicata alla cyber security al di fuori degli USA, cha ha visto quasi 2.000 richieste di partecipazione per un tema che sarebbe stato fino a poco tempo fa considerato specialistico e di nicchia; la Comunità Europea ha dedicato alla cyber security l’intero mese di ottobre, promuovendo iniziative di sensibilizzazione e informazione sul tema; non passa giorno senza che testate di grande tiratura e rilevanza nazionale dedichino intere pagine all’argomento, spaziando dalla politica internazionale, al blocco di attività economiche, dallo spionaggio industriale e politico, alle frodi.

A fronte di questo per certi versi nuovo, ma sicuramente necessario, interesse dobbiamo considerare che il dibattito sulla cyber security non è una novità e ha sinora fatto fatica a trovare una convergenza tra i suoi molteplici punti di vista: legislativi (norme e regolamenti), industriali (ricerca e servizi) e operativi (rischi e protezione di asset).

Quello che è sinora emerso è, infatti, uno scenario disomogeneo tra Nazioni e settori economici diversi: i livelli di maturità della domanda e dell’offerta di cyber security variano notevolmente, e questo dipende dalle differenze dei sistemi normativi e dei processi regolatori, e in numerosi casi anche del disallineamento degli standard.

Diventa quindi particolarmente importante discutere e condividere come le istituzioni, il settore privato e il mondo della ricerca possano selezionare obiettivi chiari a cui dedicare i giusti investimenti e l’opportuna attenzione.

I presupposti sopra discussi mostrano come l’industria della Sicurezza sia di fatto un’area con requisiti in costante e rapidissimo aggiornamento, con volumi in notevole crescita, con rischi resi più rilevanti dalla pervasività e interazione delle soluzioni tecnologiche e dalla globalizzazione: si tratta, peraltro, di una delle poche aree economiche che, nel difficile scenario che contraddistingue questo periodo, mostra spazi di crescita e opportunità di nuovi posti di lavoro altamente specializzati.

A livello europeo è necessario che l’industria compia i passi necessari per aumentare la propria capacità e la propria competitività per crearsi così uno spazio di affermazione a livello non solo continentale ma mondiale, non limitandosi a reagire alle minacce, e predisporre le soluzioni necessarie per la protezione locale, spingendosi verso un percorso di innovazione e di crescita.

Per ottenere questo risultato è fondamentale promuovere la condivisione: l’industria della cyber security ha recentemente confermato il suo impegno in questo senso creando un’associazione europea, la European Cyber Security Organization – ECSO, che ha stretto una “Contractual Public Private Partnership” con la Commissione Europea, impegnandosi a supportare le istituzioni nella definizioni delle priorità e nell’indirizzare la ricerca sulla cyber security verso aree ad alto interesse e potenziale di crescita. Questa iniziativa, di cui Leonardo-Finmeccanica è tra i fondatori, va supportata ed estesa attraverso altre forme di collaborazione tra pubblico e privato, ed è quindi necessario che a livello nazionale, continentale e internazionale, nei vari settori, aumentino gli sforzi riguardo alla cyber security per condividere obiettivi, prospettive, standard e risorse.

Per quanto riguarda gli obiettivi, in Europa è necessario dare concretezza alle discussioni in questo momento attive sul tema della difesa comune: la cyber security rappresenta al tempo stesso una nuova esigenza e una possibile soluzione in vista di una maggiore integrazione a livello della Difesa, poiché le diverse Nazioni che hanno elaborato strategie specifiche, dotandosi di proprie strutture di governance e sviluppando diverse capacità difensive, hanno già iniziato, anche se in modo limitato, a collaborare. Questo grazie anche alla spinta di altre organizzazioni, quali la NATO, che su condivisione e collaborazione hanno fondato le proprie capacità operative. Bisogna quindi cercare una maggiore coerenza organizzativa e operativa e coinvolgere l’industria della Difesa nella definizione delle future capacità.

Circa le prospettive, ci troviamo ormai nella quarta rivoluzione industriale. Il programma “Industria 4.0”, recentemente promosso dal Ministero dello Sviluppo Economico, si propone di lanciare anche in Italia il processo di modernizzazione del settore manifatturiero e dovrà quindi affrontare le questioni legate alla sicurezza dei processi di automazione e alla resilienza delle tecnologie coinvolte in termini non solo di capacità operativa, ma anche di cyber security e di cyber resilience.

Infatti la trasformazione dei settori industriali, in particolare di quello manifatturiero attraverso l’integrazione dei sistemi di automazione con quelli IT, segnerà un profondo cambiamento che richiederà innovazioni nelle infrastrutture e nelle applicazioni, richiedendo nuove attrezzature e applicazioni. L’investimento necessario alla loro creazione sarà in parte accelerato dalle nuove norme sul cosiddetto “iperammortamento” e dall’estensione del “superammortamento”, ma le norme sugli incentivi tengono per ora solo parzialmente conto del fatto che la nuova economia si nutre non solo di beni, ma anche di servizi e che per implementare un’integrazione di impresa o di filiera in ottica Industria 4.0 sono quindi necessari non solo beni, ma anche molti e svariati servizi, dalle TLC al Cloud, alla cyber security e alla cyber resilience. Creare nuovi e avanzati sistemi industriali interoperabili e connessi senza proteggerli opportunamente rischia infatti di creare danni considerevoli oltre che significative opportunità.

La convergenza tra mondi fisici e virtuali trova altre manifestazioni oltre il manifatturiero avanzato. Ci sono diversi settori che stanno predisponendo infrastrutture di cyber security adeguate:

• quello energetico, che ha avviato una profonda trasformazione tecnologica
• quello dei trasporti, che si appresta a modificare decisamente le architetture e i sistemi di controllo del traffico (esempio paradigmatico i veicoli a guida autonoma)
• quello sanitario, particolarmente attivo nell’adottare nuovi strumenti digitali e nel combinarli con le innovazioni nei campi delle biotecnologie, della robotica e della genetica.
• quello istituzionale, dove la trasformazione digitale della Pubblica Amministrazione, sottesa dai programmi delle Agende Digitali nazionali, e la creazione di identità e servizi digitali per i cittadini richiedono nuove, innovative e complete forme di protezione dei dati sensibili che si vengono così a creare.

Ci stiamo avviando verso un mondo sempre più connesso e proprio la regione europea guiderà questo percorso, perché i livelli di crescita annuale potrebbero, secondo stime di analisti di primo piano, essere i maggiori a livello mondiale. Il mercato digitale, il Digital Single market, è il meccanismo attraverso cui la Commissione prevede di creare valore in Europa, ma una crescita dei dispositivi connessi e delle applicazioni IoT, unitamente alla confluenza di diverse tecnologie e alla loro integrazione, non si potrà effettuare senza dare la giusta attenzione a interoperabilità, sicurezza e affidabilità, anche attraverso un riordino degli standard esistenti e la nascita di nuovi requisiti vincolanti e magari sottesi da un marchio europeo di cyber security.

Parlando di creazione di valore non si può poi tralasciare un ultimo tema, relativo alla disponibilità e titolarità delle risorse finanziarie necessarie a proteggere in modo adeguato e appropriato le infrastrutture critiche, che impiegano tecnologie sempre più complesse, integrate e interoperabili. Per assicurare ai diversi settori il giusto livello di cyber security, sarà anche necessario considerare nuove forme di cooperazione e ripartizione dei costi.

Il mondo virtuale non è isolato da quello reale, di fatto lo completa in quanto ne è diventato una nuova componente. Dimenticare che le azioni del mondo virtuale possono avere un peso concreto, che le identità del mondo virtuale corrispondono a persone reali che vivono accanto a noi ogni giorno, che la stessa sicurezza che siamo abituati a considerare garantita dalle istituzioni nel mondo fisico deve accompagnare tutti noi anche nelle esperienze virtuali, sarebbe un grave errore che sia le istituzioni che l’industria della Sicurezza non devono compiere.

La cooperazione tra pubblico e privato per accrescere la sicurezza del Paese, dei suoi cittadini e delle sue organizzazioni è un imperativo a cui tutti dobbiamo rispondere al meglio delle nostre capacità e l’industria è sicuramente in prima linea per affiancare le istituzioni e i cittadini su questo percorso.