In queste settimane di emergenza coronavirus ci siamo spesso soffermati sugli attacchi portati
alle realtà della Sanità. Un fenomeno peraltro già noto ben prima della pandemia. E che si allaccia, in parte, con un altro fenomeno altrettanto problematico. Ossia
gli attacchi costanti verso gli enti pubblici. Attacchi che pongono una questione interessante e poco rimandabile: il rapporto tra
Smart City e cyber security.
Che una quota parte importante degli attacchi cyber sia rivolta agli enti pubblici e locali è normale. In parte è fisiologico,
statisticamente inevitabile. In parte è logico che organizzazioni state-sponsored attacchino le realtà pubbliche di altre nazioni. Ma serve anche - è
non è esattamente una novità - una
presa di coscienza generale del problema.
Tutti speriamo in una
veloce digitalizzazione delle nostre città. Una esigenza che in parte è stata acuita dalla pandemia. Abbiamo scoperto in queste settimane che le realtà con un elevato grado di digitalizzazione
se la cavano meglio. In primis le aziende, ma non solo quelle. Vorremmo che questo si concretizzasse anche per i sistemi e i processi delle città in cui viviamo. Ma la digitalizzazione
porta anche nuovi rischi digitali. A partire da quelli di cyber security. Perché una Smart City è potenzialmente un ghiotto boccone per chi è a caccia di informazioni. O magari solo di qualche vittima in più per le sue estorsioni.
La casistica degli attacchi alle realtà pubbliche è già ampia, specialmente Oltreoceano. Mostra una tendenza chiara all'
utilizzo di vettori nemmeno troppo sofisticati, come il ransomware. Partendo probabilmente dal presupposto che, più delle imprese, le realtà pubbliche hanno personale
meno sensibilizzato rispetto ai pericoli cyber. Ovviamente in media, possono poi esserci eccellenze in positivo come in negativo. Ed è un problema si cui comunque si sta lavorando.
Va poi considerato che lo scenario della cyber security in rapporto alle Smart City
non è statisticamente del tutto chiaro. Aumentano gli attacchi alle città e alla PA. Ma questo perché c'è un aumento effettivo degli attacchi mirati? O semplicemente perché aumenta la digitalizzazione degli enti pubblici e locali. E quindi la superficie complessiva di attacco? Probabilmente è un insieme dei due fenomeni.
Proteggere un ecosistema
Altro problema da considerare: una Smart City è per forza di cose
un ecosistema. Un'azienda no, è un organismo centralizzato. Questa distinzione
rende più difficile la protezione delle Smart City. Perché bisogna proteggere molti anelli di più catene - i singoli servizi digitali - che possono essere gestiti da entità distinte. In azienda, quando va bene, c'è un solo dipartimento IT. E al suo interno un Chief Security Officer. O qualcosa del genere.
Prendiamo ad esempio, invece, un servizio smart per la gestione della mobilità urbana. E facciamo anche un esempio ideale. Di
mobilità urbana multimodale e door-to-door, come dicono i tecnici. Un servizio cioè che consenta al cittadino di pianificare e gestire tutti i suoi spostamenti in città. Da quando esce di casa a quando arriva alla sua destinazione. Usando sistemi di trasporto differenti, forniti da operatori diversi.
Questo complesso di spostamenti prevede probabilmente servizi di municipalizzate quanto di privati (il car sharing, per dire). E potenzialmente di più fornitori: il car sharing, il bike sharing, e via dicendo. Un
servizio integrato - che non è fantascienza, esiste in alcune città - trae dati da tutti i sistemi dei provider coinvolti. Li raccoglie magari in un'app. E idealmente copre in maniera integrata il pagamento di ciascun "vettore" degli spostamenti.
Ecco quindi che un singolo servizio in stile Smart City è fatto da
tante IT distinte che collaborano fra loro. E che rappresentano altrettante superfici di attacco. Più una: quella data dalle interazioni fra loro. Perché anche dare per scontata la cyber security di ogni anello della catena
non basta a garantire la sicurezza del tutto. Mai come in questo caso l'intero è maggiore della somma delle sue parti.
Non è affatto banale garantire la cyber security di sistemi così articolati. Che oltretutto possono comporsi e scomporsi anche rapidamente. Al mutare dello
scenario tecnologico e del mercato. Serve che i singoli componenti siano sicuri "by design" e "by default". Cosa della quale
nessun amministratore pubblico può essere assolutamente certo. E serve avere una regia IT che veda i sistemi complessi in maniera integrata. Non a caso chi offre soluzioni di Smart City parla spesso di una
cabina di regia tecnologica di controllo. Ma serve anche una cabina di regia
istituzionale. E non è facile.
La corsa al mondo smart
Eppure la strada verso le Smart City è inarrestabile.
Ed è logico che sia così. Fare in modo che la tecnologia permei sempre più in profondità le città è l'unico modo per consentire loro di
affrontare le sfide che hanno davanti. Abitanti sempre più numerosi. Risorse da tutelare e ottimizzare. Un nuovo rapporto fra spazi urbani ed ambiente.
Con in più il fatto che i cittadini si aspettano,
quasi pretendono, servizi "intelligenti". Almeno allo stesso livello di quelli che si sono abituati ad avere nella loro vita quotidiana digitale. Con l'importante differenza che questi servizi, così apprezzati e diffusi,
non sono pensati per integrarsi fra loro. E il più delle volte nemmeno per essere davvero sicuri. Oppure rispettosi della privacy.
Alle Apple, Amazon, Facebook, Google e compagnia permettiamo, inconsciamente o inconsapevolmente, cose che
non permetteremmo mai a chi gestisce la nostra città. Nemmeno se fosse un paesino, purché digitalizzato.
Giustamente siamo molto più esigenti. Ma dobbiamo anche tenere conto che la sfida delle Smart City cyber sicure è molto più complessa.