La crescita, la sicurezza e la qualità della vita in un Paese dipendono direttamente dal funzionamento continuo, coordinato e controllato di una serie di infrastrutture che per il loro carattere strategico sono definite ‘critiche’.
E sulla protezione e l’implementazione di queste infrastrutture critiche si basa la stesa crescita economica di ogni Stato. L’evento, che si è tenuto stamattina a Roma, “SELTA Challenge 2017. Le Infrastrutture Critiche per lo Sviluppo”, promosso da Selta, organizzato da Supercom, in collaborazione con Privacy Italia e Cybersecurity Italia, si è occupato proprio di questi temi, con l’obiettivo di sviscerare gli elementi chiave su cui ragionare da qui in poi in termini di sicurezza informatica, di tecnologie abilitanti e di quadri regolatori.
Energia, trasporti, acqua, telefonia, dati (dalla sanità all’agricoltura ed ai servizi finanziari): ci si è interrogati sul rapporto tra infrastrutture critiche e crescita economica di un Paese, sul come tali reti si integrano nelle strategie di un Governo, sull’impatto potenziale delle nuove reti 5G e delle smart grid ad esempio per quanto riguarda le infrastrutture di telecomunicazioni ed energetiche.
Ci si è interrogati soprattutto sul come difenderle al meglio dai crescenti attacchi informatici di questi ultimi anni.
Un’agenda fitta di tematiche e interrogativi su cui rappresentanti delle istituzioni, della politica, delle aziende, delle università ed esperti europei hanno provato a tracciare un percorso, più percorsi possibili, sul futuro delle reti in Italia.
Di queste infrastrutture critiche e dei servizi sensibili distribuiti grazie ad esse si occupa da almeno 20 anni Selta. L’amministratore delegato dell’azienda, Gianluca Attura, nel suo saluto di benvenuto non ha voluto dare delle soluzioni semplici al problema di come migliorare tali infrastrutture critiche, ma ha indicato alcune criticità su cui poi i partecipanti all’evento si sono misurati: tra cui la cyber sicurezza, l’efficienza delle stesse, l’innovazione tecnologica.
“Un’azienda italiana prima di tutto”, ha precisato Raffaele Barberio, Direttore Supercom, che si occupa di un’area fondamentale per la crescita: le infrastrutture. “L’energia è l’asset principale, a cui negli ultimi anni Se n’è aggiunto un altro: i dati”, veri e propri pilastri della nostra economia, nazionale ed europea, che dipendono totalmente dall’affidabilità delle infrastrutture.
Dopo un breve messaggio istituzionale di Riccardo Nencini, Viceministro, Ministero delle Infrastrutture e dei Trasporti del Governo Gentiloni, è stata chiamata ad intervenire Luisa Franchina, Presidente, AIIC-Associazione Italiana Esperti in Infrastrutture Critiche.
“Le infrastrutture critiche servono a tenere in piedi il Paese. La sicurezza è fondamentale e l’information sharing è uno dei punti chiave da affrontare, il prima possibile, per favorire la trasformazione digitale e la crescita di competitività”, ha detto la presidente AIIC.
“Le nuove tecnologie dell’Internet delle cose, la blockchain, i nuovi metodi di criptazione, sono tutte soluzioni da sperimentare e su cui scommettere. Ma per cavalcare l’onda dell’innovazione si deve rendere sicuro tutto questo. A livello di governance serve una cabina di coordinamento al vertice, da affiancare al Governo per individuare e portare avanti un percorso di crescita”.
“Nel settore delle infrastrutture immateriali siamo sul piano della disruption tecnologica, in corsa verso la gigabyte society”, ha affermato Franco Bassanini, Presidente Open Fiber.
“5g e fibra ottica sono i fattori chiave per realizzarla. Per le auto a guida automatica ad esempio servono infrastrutture di questo genere. Per anni ci si è chiesto se c’era domanda di tali servizi, classificandoli come troppo costosi e di dubbia urgenza. Oggi si è superata tale impostazione e ovunque si parla di fibra ottica. Stanotte è stato approvato il decreto fiscale dove è stata inserita la disposizione all’Agcom tesa a garantire la trasparenza dell’effettiva offerta. Oggi tutti offrono fibra, perché il futuro sarà l’ultrabroadband. In buona parte il backhaul coinciderà con la struttura fisica costruita per le connessioni fisse. Purtroppo l’investimento è alto e richiederà 15 miliardi di risorse per l’intero territorio e le applicazioni del futuro hanno bisogno di una copertura massima, altrimenti l’IOT e l’M2M non si avranno.
Questo cambia il modello di business. Nel fisso c’era l’incumbent, nel mobile la concorrenza tra privati per la competizione infrastrutturale. Oggi si richiedono investimenti cospicui. Il modello di business odierno richiede investitori di lungo termine attendendosi ritorni certi (sempre sul lungo termine). La presidenza argentina del G20 ha messo in agenda un’assett class delle infrastrutture e il mandato di una ricalibrazione delle regole dei mercati finanziari adattata alle specifiche esigenze dell’investimento a lungo termine sull’infrastruttura.
C’è una legacy che pesa sulle spalle delle infrastrutture fisse, cioè sull’incumbet: un elevato debito e la necessità di difendere l’asset stesso delle infrastrutture in rame a rischio svalutazione.
In Italia è particolarmente vero. La competizione infrastrutturale qui non c’è stata. Anni fa è stato stabilito che le reti via cavo possono trasportare solo un canale tv e quindi nessuno ha investito. Non abbiamo le reti cavo, ma in altri Paesi invece ci sono e l’offerta di banda è tra le maggiori, fino a 10GB simmetrici a livello sperimentale. Produzione di contenuti digitali e distribuzione degli stessi sono il modello ad integrazione verticale e per l’allungamento della filiera del nostro incumbent, che si va confrontando con Openfiber, quindi col modello wholesale only.
Questa competizione infrastrutturale, nel momento in cui c’è da investire grosse cifre, è sostenibile nel tempo? Non si rischia la duplicazione inutile degli investimenti sull’infrastruttura? Siamo più vicini al modello delle mobile telecomunication o delle reti ferroviarie o aeroportuali? Chi si accollerà costi duplicati?”.
“Le autorità e i regolatori hanno uno spazio su cui lavorare, ma servono strumenti nuovi per affrontare la sfida della disruption odierna. In questo mondo di connessioni da costruire sopra network con legacy particolare (sicurezza e qualità), dobbiamo avere la certezza che su questi network ci siano reti affidabili”, ha dichiarato Antonio Nicita, Commissario dell’Autorità per le garanzie nelle comunicazioni (Agcom).
“C’è da stabilire i confini regolatori. L’Agcom potrebbe fissare regole per servizi che però invadono settori diversi, come tlc e banche ad esempio, o energia e automotive. Le nuove reti sono oggi sufficienti per garantire sicurezza e capacità? Integrazione verticale di servizi e reti aperte a tutti, lo sviluppo del 5G, il moltiplicarsi delle connessioni broadband attive, sono temi che l’Agcom deve affrontare per individuare i rimedi regolatori più efficaci.
Ci sarà una gara quest’anno per il 5G con elementi nuovi: i soggetti che acquisteranno la titolarità d’uso della rete dovranno farlo pensando alla totalità delle applicazioni che ne derivano, il meccanismo delle slicing delle frequenze, dobbiamo immaginare una nuova forma di regolamentazione delle frequenze, più leggera, finalizzata a garantire certezze ai soggetti che vogliono investire”.
“Ricordiamoci che tutte queste reti servono per far transitare dati, ma abbiamo bisogno di massima sicurezza. Le infrastrutture critiche sono anche quelle delle banche, delle grandi imprese e delle industrie. Per favorire maggiori investimenti necessitiamo di più sicurezza informatica per l’intero sistema economico nazionale”, ha sostenuto Alberto Tripi, Presidente Almaviva e Responsabile Cybersecurity Confindustria.
“Per la cybersecurity è stato creato un centro competenza finalizzato a dare supporto alle aziende di Confindustria. Il Governo si è subito mosso, con l’obiettivo di creare una fondazione tra pubblico e privato per sviluppare sistemi di cybersicurezza da far applicare alle aziende pubbliche e da offrire al sistema industriale. La fondazione è anche uno strumento valido per promuovere un prodotto made in italy all’estero, aiutando le imprese a competere sui mercati internazionali. In tal modo avremo una piattaforma di proprietà che sfrutta tecnologie nazionali e straniere per crescere e sviluppare modelli di business avanzati”.
Per quanto riguarda il panel dedicato a energia ed infrastrutture critiche, Stefano Liotta, Responsabile Ingegneria, Sviluppo e Smart Grid di Acea, ha ricordato che “Dalla distribuzione elettrica alla resilienza, alle azioni di prevenzione e contrasto, solo mettendo assieme le infrastrutture che concorrono alla definizione del rischio globale si ha un quadro generale su cui ragionare in termini di investimenti”.
“Si tratta di infrastrutture interdipendenti, quindi anche la protezione dovrà essere più ampia possibile”, ha spiegato Vittorio Rosato, Responsabile Laboratorio Analisi e Protezione Infrastrutture Critiche dell’ENEA. “C’è il sistema CIP Cast che offre una valutazione operativa in un’area che tiene conto di tutti i fattori in campo. Un enorme database che registra stati informativi di varia natura, fornendo un quadro di quello che può accadere, quali asset potrebbero venir danneggiati in caso di evento avverso (eventi naturali o antropici). L’Ue sta chiedendo di aiutare lo sviluppo di sistemi di protezione utili agli operatori di servizi.
“In Europa si sta lavorando in tal senso. E’ stata recentemente creata una Associazione internazionale, la 2E!SAC, che ha il compito di promuovere negli Stati Membri Centri di Competenza nazionali, denominati EISAC (European Infrastructure Simulation and Analysis Centre) che potranno fornire ad Operatori e Pubblica Amministrazioni supporto per la gestione delle ret, anche durante le emergenze, fornendo ad esempio “dashboard cittadine” per una analisi delle possibili perturbazioni sofferte da tutte le infrastrutture. I Centri nazionali EISAC potranno federarsi per formare una Agenzia Europea per la Protezione delle Infrastrutture Critiche, finalita’ fortemente supportata dalla EU”.
“In questo particolare momento storico, il settore energetico è chiamato a rispondere 3 grande sfide”, ha spiegato Marco Margheri, Vice Presidente Esecutivo Edison.
“Assicurare la continuità delle forniture energetiche dovrà rispondere a criteri di sostenibilità, competitività e resilienza, questa nella duplice dimensione climatica ed informatica. Inoltre, la transizione verso sistemi decentralizzati richiederà al contempo una maggiore attenzione al trattamento dei dati, specialmente all’affermarsi di un modello di consumo energetico sempre più digitalizzato”.
“Anche l’illuminazione pubblica è un’infrastruttura, se non strategica, comunque centrale nella qualità della vita dei cittadini. Una rete capillare di 200 mila pali a Milano rende accessibile il servizio davvero a tutti. La tecnologia in questione si integra con quelle legate all’IoT, all’emobility, alla videosorveglianza e altre ancora”, ha raccontato Luca Pellizzari, COO, A2A Illuminazione Pubblica.
“In tal modo si passa da fondamentale a critica. In questa rete non ci sono solo servizi, ma anche dati. Tale infrastruttura va pensata meglio, soprattutto in chiave di sicurezza e affidabilità. L’illuminazione pubblica può essere un valore aggiunto in termini di trasformazione digitale del territorio, come nel caso del 5G, per una completa copertura o come hotspot multiservizi ragionato, senza affollamento, per la città del futuro”.
Tema strategico della rete è l’operatività quotidiana, ha invece affermato Andrea Bonora, Direttore Generale di Illumia: “La frammentazione degli operatori e dei loro sistemi crea modalità diverse di gestione, con possibili inefficienze. Un singolo distributore ha dati relativi a milioni di cittadini utenti. Ne consegue un maggiore attenzione dell’Autorità, perché tali dati possono essere violati a seguito di un errore o di un’azione illecita, sempre possibile dall’esterno come dall’interno”.
A chiusura della prima parte dell’evento c’è stato l’intervento di Guido Pier Paolo Bortoni, Presidente dell’Autorità per l’Energia Elettrica, il Gas e il Sistema Idrico: “C’è un’infrastruttura immateriale sotto gli occhi di tutti: la regolazione. Anch’essa è ossatura del Paese, dei servizi di pubblica utilità. È qualificata tale perché la parola infrastruttura porta il pensiero a qualcosa di connettivo nel tessuto, che mette in relazione diverse elementi sul tavolo tra loro non per forza in collegamento, e la regolazione fa proprio questo: collegare i soggetti in base a delle regole, a dei diritti e doveri. Come tutte le infrastrutture fisiche, questa meta-infrastruttura immateriale è critica e fondamentale. La regolazione è costruttrice degli strumenti necessari per i regolatori per offrire i servizi di pubblico interesse. Il solo gioco del mercato non è in grado di portare l’intera società a raggiungere gli interessi generali come approvvigionamenti, qualità, continuità, sicurezza. La regolamentazione è attuatrice delle politiche pubbliche nei diversi settori ed è anche a tutela dei consumatori e degli utenti finali.
È critica invece perché va messa al riparo da minacce di vario tipo, che ne possano mettere a repentaglio il funzionamento.
Ambiente e ICT, le infrastrutture da regolare per l’energia devono sempre più integrarsi con le strutture mentali e gli schemi che servono per queste due aree di applicazione. Un insieme di settori e tecnologie che prevede una regolamentazione nuova: aumentata selettività per avere infrastrutture utili al sistema e obbligazioni di risultato, perchè mi interessano i parametri di performance e qualità che sono messi sul territorio.
La regolamentazione è il tentativo di disciplinare un mondo complesso. Come possiamo immaginare di semplificare tale mondo fino a farlo comprendere a tutti? Non è possibile. La semplificazione non è mai banalità o generalizzazione. Una regolamentazione inoltre non può essere considerata ‘robusta’, perché serve resilienza per affrontare la frammentarietà del sistema e la sua dinamicità. La vera difficoltà è tenere una regolazione resiliente e future proof quanto basta”.
In apertura della seconda parte dell’incontro, è intervenuto di nuovo l’ad Attura, che fa un’ampia panoramica delle soluzioni Selta oggi disponibili: “Le nostre società sono dipendenti dalle infrastrutture critiche. E per questo siamo costantemente esposti a delle minacce. Cybersecurity è solo una parte di una strategia più grande e complessa. Oggi le infrastrutture critiche sono sempre più gestibili attraverso il mondo dell’IoT e si devono tener conto di alcuni livelli, tra cui: applicazioni, software, communication e hardware. Un ulteriore livello è quello della security.
Mettere in sicurezza una rete è solo il primo passo da fare, ancora prima della gestione. Il numero di attacchi alle infrastrutture critiche sta aumentando. Più è alto il numero dei livelli da gestire maggiore la probabilità che una vulnerabilità sia sfruttata dagli attaccanti. Una delle soluzioni da noi sviluppate per risolvere il problema è l’Unified Communication of Everything di “Bravo”, piattaforma che supporta la virtualizzazione delle architetture combinando i benefici di UCC e IoT con importanti vantaggi, come la riduzione dei costi di investimento e di gestione, una maggiore scalabilità con una crescita pianificata, una maggiore disponibilità grazie a un piano di recupero più robusto, un’amministrazione e gestione centralizzate”.
Il 5g abiliterà i nuovi servizi del futuro, per la connettività degli utenti e degli oggetti, ha sottolineato Andrea Lasagna, Head of Network Engineering di Fastweb: “La gara indetta dal Ministero dello Sviluppo ha anticipato i tempi previsti dall’Unione europea, ponendo l’Italia all’avanguardia per il trial. Con tim abbiamo dato vita ad un consorzio con oltre 50 soggetti pubblici e privati per sviluppare un ecosistema 5G aperto e condiviso, che sappia includere e innovare. I progetti saranno sperimentati a Matera e Bari”.
I primi esperimenti con tecnologia 5G partiranno entro giugno 2018, con due anni di anticipo rispetto agli obiettivi delineati dalla Comissione Europea, la copertura di rete raggiungerà il 75% della popolazione entro la fine dello stesso anno. La copertura integrale delle due città è prevista entro il 2019.
“Dobbiamo parlare di sicurezza ed efficacia in termini pragmatici – ha invece chiesto Sandro Moretti, Teleconduction & Telecommunication di Alperia – le reti di processo vanno per quanto possibile isolate e protette e non posiamo ignorare che la sicurezza è anche questione di cultura, nelle aziende come nella PA ed anche a livello domestico”.
“Parlare di esterno e interno alla rete non ha più senso”, ha dichiarato Corrado Giustozzi, Head of Cybersecurity Team di SELTA. “Ogni impresa porta le sue reti e i suoi dati dall’esterno all’interno e viceversa, con gravi problemi di sicurezza. Si deve lavorare sui processi, ragionare sulle analisi interne. Quando tanta gente può accedere a dei dati è altissima la probabilità che qualche finestra rimanga aperta ai cyber criminali”.
“Il crescente numero di device connessi e di punti di accesso ad infrastrutture condivise aumenta la superficie di attacco e la esposizione delle vulnerabilità. ‘Key lever’ per la riduzione del rischio cyber è una strategia di Cyber Security che sia ‘olistica’ (vista integrata sui mondi IT/OT/IoT) e ‘by design’ (incapsulate nelle fasi iniziali della progettazione) e che coinvolga le linee di business aziendali nelle valutazioni di rischio. L’‘infosharing’, a tutti i livelli, fra i diversi attori del panorama nazionale e internazionale è pilastro fondamentale per l’aumento della cyber sicurezza dell’intero ecosistema”, ha invece sostenuto Aniello Gentile, Cyber Security, Global ICT di Enel.
Roberto Mugavero, Presidente dell’Osservatorio Sicurezza e Difesa CBRNe, si è invece chiesto più semplicemente: ma chi è il “cattivo” qu, qual è il suo profilo? Quali sono le sue capacità? Quali gli obiettivi e gli strumenti di attacco prediletti?
“La sfida è comprenderli, studiarli ed anticiparli. Ogni gruppo d’attacco si pone sempre il problema di innovarsi. Anche i cattivi fanno ricerca e sviluppo. Dobbiamo pensare al futuro di queste attività di ricerca e capire in che modo i cyber criminali si muovono e guardano al futuro. Conoscere le loro mosse a partire dall’innovazione che mettono sul campo ci consente di prevenire possibili nuove minacce”.
Anche il mondo della politica dice la sua sulle infrastrutture strategiche e soprattutto sul problema della loro difesa dalle minacce informatiche. Anche Sergio Boccadutri, Responsabile Innovazione del Partito Democratico, ha ricordato che “i danni ad un’infrastruttura possono venire dall’esterno quanto dall’interno”.
“Non serve un attacco classico – ha detto Boccadutri – basta un difetto, un errore umano, un malfunzionamento tecnologico. Con le auto a guida automatica ad esempio può accadere con grande facilità. Ecco perchè la politica ha il compito di regolamentare questi nuovi territori dell’innovazione”.
“Come gestire la complessità del mondo dell’innovazione tecnologica? la politica spesso si ritrae di fronte a tali scenari ed è una cosa da evitare”, ha dichiarato infine Deborah Bergamini, Vice Presidente Commissione trasporti e TLC di Forza Italia.
“Dobbiamo cambiare punto di vista sulle infrastrutture critiche e oggi manca proprio un approccio coordinato alla materia, manca un l’apporto della politica. Quello di fronte a noi è il sistema dei sistemi e serve un modello d’azione unitario. La sfida è proprio questa: affrontare l’innovazione con regole nuove, nuovi strumenti per la crescita, ma soprattutto per la sicurezza. Rafforzare la protezione delle infrastrutture critiche è una delle più grandi sfide che ci attendono. Quando parliamo di infrastrutture critiche parliamo di sicurezza nazionale, ecco perché è importante lavorare assieme e ottimizzare strumenti e risorse disponibili”.
