Vale in ogni Paese ma, soprattutto in Europa, e nello specifico in Italia, il tema della sicurezza di infrastrutture, informazioni e decisioni governative è ancora più attuale.
Circa un anno fa è entrato in vigore il decreto legislativo 65/2018 che recepisce la Direttiva europea Nis (2016/1148), e all’inizio dell’estate è diventato esecutivo il Cybersecurity Act.
Sono segnali importanti del fatto che oggi, senza sicurezza IT, non è possibile immaginare la sicurezza tout court. Allo stesso tempo – e proprio per questi motivi – il settore governativo, nel suo insieme, partecipa alla partita in un doppio ruolo, quello dell’autorità di regolamentazione ed allo stesso tempo quello di cliente.
Non solo, quando servizi, anche critici, legati per esempio alla Rete, prevedono l’utilizzo di fornitori in outsourcing, la pubblica amministrazione si affida “quasi del tutto” a operatori privati specializzati.
E’ un dato di fatto quindi che le autorità governative dipendano in larga misura anche da attori privati esterni, in un quadro complesso considerata l’attività regolamentativa e il bisogno di protezione delle informazioni dei cittadini, così ben espressi dal Gdpr.
Sollevando lo sguardo e in un respiro più ampio i teatri di guerra (silenziosa ma nemmeno poi troppo, e sempre più reale) animati dal cybercrime internazionale innalzano la soglia di attenzione e le responsabilità governative, per non parlare dello spionaggio, anche a livello industriale, e quindi al relativo bisogno di salvaguardare le imprese.
Dietro ai governi ci sono i cittadini e, a voler semplificare al massimo, la PA stessa dovrebbe considerarli con la massima attenzione, proprio perché in ultimo le persone sono i suoi clienti più preziosi.
Da questo punto di vista ci sono Paesi con servizi più avanzati rispetto al nostro. Possiamo citare per esempio UK, in cui l’Hmrc ha l’ambizione di divenire una delle amministrazioni fiscali più avanzate, anche grazie al servizio Personal Tax Account (conto fiscale personale) che riunisce in un unico luogo online le informazioni relative a ogni singolo “cliente” e permette l’accesso al servizio da qualsiasi dispositivo digitale, così come il Making Tax Digital.
Subito un’evidenza: i servizi IT (comprendiamo anche quelli delle smart city) servono per soddisfare i bisogni della cittadinanza, ma se non sono sicuri la espongono a minacce impensabili.
Mentre è evidente come il processo di digital transformation degli enti pubblici e governativi si realizza a macchia di leopardo e a velocità diverse, allo stesso tempo le autorità governative sanno molto di più riguardo ai loro clienti (i cittadini) di quanto si possa sognare mai qualsiasi azienda sul mercato.
Per questo la protezione dei dati è cruciale per salvaguardare il patrimonio stesso di un Paese. Eppure il 70% delle istituzioni ritiene, in relazione alle proprie competenze digitali, “di manifestare evidenti ritardi rispetto al settore privato” (fonte: Deloitte), e nei Paesi in via di sviluppo i ritardi sono ancora più allarmanti.
Possiamo individuare sette trend tecnologici chiave e relativi rischi e sfide per gli enti pubblici e governativi: digital transformation, realtà virtuale, blockchain, smart city e IoT, automazione (AI/ML), pagamenti elettronici e, appunto, le sfide normative.
Le sfide della digital transformation
Per ogni trend proponiamo uno spunto ed evidenziamo in breve opportunità e criticità. Nell’ambito della digital transformation, secondo Gartner, la spesa pubblica per il cloud già supera leggermente quella del settore privato: le amministrazioni locali assegnano in media il 20,6% del loro budget ai servizi cloud, mentre l’analoga quota relativa ai governi nazionali risulta pari al 22%; da parte sua, il settore privato fa registrare un valore del 20,4%.
Si prevede inoltre che la spesa pubblica per il cloud possa crescere del 17,1% di anno in anno. La privacy è inevitabile debba costituire motivo di preoccupazione, così come il tema della sovranità dei dati (per esempio, come garantire che nulla venga archiviato fuori dai confini? Ci sono le competenze e le risorse tecnologiche per poterlo fare?).
Potenzialità e rischi della realtà aumentata
Per quanto riguarda il secondo trend (AR/VR), in questa fase le organizzazioni governative si dimostrano più propense ad adottare la realtà aumentata, anziché quella virtuale perché la prima si basa sulla sovrapposizione grafica di una realtà digitale a immagini del mondo reale, per esempio per la visione di immediate soluzioni riguardo alla riparazione o all’allestimento di opere pubbliche.
Già nel 2015 Siemens è riuscita ad introdurre soluzioni AR per la manutenzione delle ferrovie, anche solo orientando un tablet verso un’area dove è stato riscontrato un problema tecnico, ma è facilmente immaginabile la possibilità di spaziare in vari ambiti tra cui quello militare, le attività culturali, la stessa sanità, l’IoT delle smart city. I rischi arriveranno dalle distorsioni alle applicazioni, per esempio se il cybercrime decidesse di manomettere le “sovrapposizioni” digitali alla realtà osservata per indurre in errore.
Non solo, l’utilizzo dell’AR nell’ambito dell’aviazione militare è ancora agli albori, ma nei report della Carnegie Mellon University intitolato Emerging Technology Domains Risk Survey si è già lanciato l’allarme in relazione al fatto che la criticità di tali sistemi rende qualsiasi genere di compromesso un evento ad alto rischio per le vittime.
Quindi, i rischi vanno oltre l’interferenza diretta con il campo visivo del pilota e comprendono lo spionaggio in tempo reale e potenziali violazioni di natura mission-critical.
Blockchain
Siamo solo agli inizi e la tecnologia blockchain in ambito governativo è considerata ancora a un basso livello di maturità. Gartner, in una survey sui Cio che operano in ambito governativo rivela che il 66% di essi è interessato sì, ma solo il 20% pianifica specifiche attività in proposito, per esempio per l’identificazione dei cittadini, e le operazioni di voto, oppure nelle transazioni per la finanza pubblica.
Tra i Paesi, la Cina è sicuramente un passo avanti, e blockchain viene incoraggiata nelle amministrazioni di Shanghai, Shanxi, Henan, Guangzhou, Guiyang e Hangzhou con il supporto governativo centrale dopo l’ordinanza del Presidente Xi Jinping, pone in primo piano l’utilizzo delle tecnologie blockchain nella creazione di una futuristica smart city, all’interno di un progetto più ampio nella zona economica Xiongan New Area. Dall’esempio facile che sorgano nuove iniziative.
Blockchain, pur disintermediando i controlli centralizzati, non rappresenta un rischio per i governi e potrà eliminare alcuni punti deboli delle amministrazioni periferiche. Il vantaggio di poter avvalersi di registri con permessi richiederà l’implementazione di modelli di consenso rigorosi, saranno da valutare le implicazioni relative al conflitto con la normativa sulla privacy (anche per le caratteristiche di immutabilità della blockchain), e quelle legate al fatto che blockchain è progettata per operare su scala ridotta.
Bisognerà però aspettare il 2021 poi per vedere l’introduzione di una serie di direttive Iso per blockchain e questo sposta in là la data di applicazioni massive. Infine, è interessante il parere di Capgemini che così si esprime: “Considerando l’interoperabilità tra le reti, i problemi di sicurezza di una rete si possono facilmente trasferire su un’altra rete, magari mediante le aggiunte a un contratto smart o attraverso una semplice call. Ciò potrebbe minare la sicurezza dell’intera rete”.
Smart city, ampia superficie di attacco
L’Onu prevede che entro il 2050, il 68% della popolazione mondiale vivrà nelle città, città sempre più smart. Nelle smart city i sensori collocati nei punti chiave delle infrastrutture pubbliche sono supportati dalla relativa potenza di elaborazione cloud based, in un sistema dati integrato, per poter poi effettuare decisioni immediate e strategiche. E’ chiaramente questa un’area di esposizione non indifferente al rischio e molto estesa. Si pensi ai contatori per l’acqua, al controllo dei mezzi pubblici, all’efficienza energetica. Si tratta di uno scenario già attuale (per esempio nel progetto Urbanflow a Helsinki).
Qualsiasi tecnologia che risulta vantaggiosa per gli utenti e le aziende può allo stesso modo essere utilizzata dai criminali. Vale tanto più in questo ambito. E il tallone di Achille per IoT è proprio rappresentato dalla molteplice esposizione delle possibili interfacce di attacco. Rob Kitchin e Martin Dodge (Journal of Urban Technology, 2017) identificano cinque vulnerabilità chiave.
1. Scarsa sicurezza del software e crittografia dei dati non sufficientemente solida;
2. Utilizzo di sistemi legacy non sicuri e scarsa manutenzione;
3. Numerose interdipendenze e superfici di attacco estese e complesse;
4. Potenziali effetti a catena;
5. Errore umano e deliberata malevolenza di (ex-)dipendenti insoddisfatti;
Automazione e analytics con AI e ML
I numeri di Deloitte che correlano ore lavorate nella PA ai costi sono di grande impatto: “Ogni anno si potrebbero risparmiare milioni di ore sui 4,3 miliardi di ore lavorate, semplicemente automatizzando alcune attività. E, solo nel pubblico impiego, l’automazione potrebbe consentire di risparmiare 96,7 milioni di ore per un valore complessivo di 3,3 miliardi di dollari”. E’ possibile sfruttando machine learning (ML) e intelligenza artificiale (AI), in campi di applicazione come l’interazione cittadino/cliente, le risorse umane, il fisco, la prevenzione delle frodi.
Il governo australiano stanzia già 29,9 milioni di dollari (Aud) su questi progetti dal 2018, e ha lanciato un’iniziativa sperimentale per l’utilizzo di telecamere ad alta definizione con lo scopo di identificare i conducenti distratti.
Un solo esempio, tanti i rischi.
Per questo in Europa c’è grande attenzione e si lavora invece a una policy ponderata che favorisca gli investimenti preservando la priorità del bene pubblico nei confronti di qualsiasi tecnologia. In effetti, le tecnologie cognitive possono rivelarsi vulnerabili a una particolare forma di cyberattacco definita falso apprendimento: in sostanza, gli hacker alimentano un sistema utilizzando falsi dati, per far sì che quest’ultimo apprenda informazioni erronee, tali da alterarne la mission più genuina.
Ed è già strato dimostrato come le tecnologie cognitive possano essere di fatto trasformate vere e proprie armi dai cybercriminali, allo scopo di nascondere insidiosi attacchi mirati con la modalità che i ricercatori definiscono AI locksmithing, ovvero una sorta di subdola “forgiatura” dell’intelligenza artificiale.
Firme e pagamenti digitali
Nell’introduzione delle innovazioni assistiamo spesso a moti direzionali di tipo bottom/up: le tecnologie sono già utilizzate dalla base e dal pubblico e poi arrivano nelle aziende e nella PA. In pratica: utilizziamo Paypal da 20 anni ma nella PA praticamente queste forme di pagamento non sono ancora pervasive.
Lo stesso per quanto riguarda la firma digitale, per la quale i passi in avanti risalgono di fatto agli ultimissimi anni. In altri casi invece, per esempio per il voto, sono proprio i cittadini a manifestare per primi forti perplessità. Non c’è bisogno di sottolineare che in tutti questi esempi i fattori di rischio sono decisamente evidenti, così come però i vantaggi.
Basta un esempio su tutti, per quanto riguarda la firma digitale e le applicazioni quindi ad essa correlate. Potrebbero manifestarsi numerosi episodi di furto d’identità, con i cybercriminali intenti ad avvalersi delle firme digitali sottratte per abbattere le barriere esistenti a livello di verifica dell’identità in prima persona.
L’UE a questi rischi ha risposto con il regolamento eIDAS (Electronic ID and Trust Services) proprio relativo all‘identificazione elettronica e ai servizi. E tuttavia proprio a Roma un imprenditore ha scoperto la perdita di quote di azioni della propria azienda trasferite perché i truffatori sono riusciti a rubare la sua firma digitale e agire per suo conto.
Le sfide per la PA, il metodo per affrontarle
Tante tecnologie disponibili, un’enorme compito per chi si deve preoccupare delle normative. Questa è la sintesi di quello che abbiamo visto fino a questo punto, per non parlare delle sfide che arriveranno quando i cittadini saranno chiamati ad interagire con sistemi di servizi transnazionali. Per i governi, non riuscire a stare al passo con le nuove tecnologie è già un rischio oggi, lo sarà di più in futuro.
A questo si aggiunge quello legato alla mancanza di competenze di valore. Quando si tratta di PA, la posta in gioco è ancora più alta: identità dei cittadini, dati altamente sensibili trafugati e manomessi, attacchi alle infrastrutture di assistenza possono mettere in ginocchio non un singolo business, ma un sistema Paese. La scelta della migliore soluzioni di cybersecurity è quindi decisamente complessa.
In questo scenario Kaspersky cerca di indirizzare la riduzione del rischio con diverse soluzioni. Dall’endpoint con Kaspersky Endpoint Security for Business, Kaspersky Cybesecurity for IT Online e i servizi, alla protezione cloud con Kaspersky Hybrid Cloud Security e il tassello per la protezione sullo storage dal malware e dal ransomware, fino alle soluzioni Hybrid Cloud Security Enterprise.
Sulle reti, a protezione degli attacchi mirati via email, come a supporto del rilevamento automatico multilivello alle piattaforme, Kasperski insiste con Secure Mail Gateway e Web Gateway ma anche Kaspersky Anti Targeted Attack Platform con i Cybersecurity Services.
E per gli scenari IoT, Kaspersky Embedded Systems Security con Kaspersky Maintenance Service Agreement.
Kaspersky per la protezione delle smart city propone Smart Technologies and IoT Security Assessment individuano in maniera proattiva le vulnerabilità negli ambienti IoT.
Con Threat Data Feeds sarà possibile avere una panoramica globale delle minacce informatiche e strumenti di assegnazione machine-based delle relative priorità per guidare le azioni di risposta, ma si può scegliere anche di disporre dell’intera knowledge base di Kaspersky sulle minacce per un’analisi ancora più rapida sugli incidenti complessi.
Abbiamo accennato in più punti al problema delle competenze: con l’offerta Security Awareness training la PA può provvedere alla formazione generale per la cybersecurity tra i dipendenti del settore pubblico, sfruttando Kaspersky Automated Security Awareness Platform (Asap). Al di là delle soluzioni di software e di servizio, è importante notare l’ampiezza a 360 gradi per coprire tutti gli scenari reali.
Per l’approfondimento delle soluzioni rimandiamo quindi al whitepaper completo.
Non perdere tutti gli approfondimenti della Securities Room
© RIPRODUZIONE RISERVATA