Lo smart working: una questione (anche) di Sicurezza Nazionale

In un mondo non troppo lontano dal nostro una Intelligenza Artificiale che volesse, in maniera graduale, assumere il controllo del Pianeta dovrebbe, innanzitutto, confinare il più possibile le attività umane, spingendole verso il cyberspazio. Più attività saranno confinate in tale dimensione, più l’uomo ne sarà dipendente e più l’Intelligenza Artificiale potrà gestire questo immenso flusso di dati e influenzare, senza quasi farsi scoprire, il corso della vita quotidiana e, in generale, il rapporto fra le Nazioni sovrane.

La pandemia causata dal Covid-19 ha imposto un cambiamento improvviso e brusco al nostro stile di vita, soprattutto in àmbito lavorativo. L’isolamento vissuto dalla gran parte dei lavoratori ha incrementato in maniera quasi prepotente l’utilizzo su larga scala del “lavoro agile” o smart working. Introdotto e disciplinato dalla legge 22 maggio 2017, n.81, quest’ultimo non deve essere confuso con il telelavoro che, sebbene non implichi necessariamente il lavoro “da casa”, ha carattere di maggiore rigidità, già per il semplice fatto che prevede una sede di lavoro ben precisa e degli orari prestabiliti. Lo smart working è, invece, più flessibile, non individua una specifica sede di lavoro e gli orari sono autogestiti dal lavoratore, in quanto l’approccio è “per obiettivi” e di rispetto delle varie scadenze.

Secondo lo studio condotto da Eurofound e dall’Organizzazione Internazionale del Lavoro, nel periodo precedente all’entrata in vigore della legge 22 maggio 2017, n.81, l’Italia era ultima in Unione europea per percentuale di adozione dello smart working e del telelavoro (pari al 7% rispetto ad una media europea del 17%, che raggiungeva picchi del 37% nei Paesi scandinavi). Dopo la citata novella, la quota di dipendenti italiani in smart working è cresciuta, ma sempre con numeri relativamente contenuti rispetto alla media europea.
Si tenga presente che, secondo alcune stime, in Italia i lavoratori dipendenti potenzialmente occupabili nello smart working sono 8 milioni e 359mila; nel Rapporto 2019 dell’Osservatorio Smart Working della School of management del Politecnico di Milano si legge che, nel periodo immediatamente precedente alla quarantena, hanno fruito del lavoro agile circa 570mila lavoratori (pari al 6,8% del totale potenziale), in crescita del 20% rispetto a quelli del 2018. Sempre secondo il Rapporto del Politecnico, sono stati avviati progetti strutturati di smart working dal 58% delle grandi imprese (in lieve crescita rispetto al 56% del 2018), dal 12% delle PMI (in crescita rispetto all’8% del 2018) e dal 16 % delle Pubbliche amministrazioni (raddoppiati rispetto all’8% del 2018). Nonostante il dato sia risultato in crescita in quest’ultimo settore, 4 PA su 10 non hanno progetti di smart working, mentre le restanti coinvolgono, in media, solo il 12% del personale dipendente in tali progetti.

Per far fronte all’emergenza da Coronavirus, la Pubblica amministrazione ha voluto incentivare – complice la costrizione derivante dai vincoli di distanziamento sociale – l’adozione dello smart working: è stata, quindi, emanata una circolare ad hoc che ha fornito ulteriori strumenti organizzativi per favorire il “lavoro agile”.
Gli effetti sono stati rilevanti in termini numerici: già dal mese di marzo, secondo un’indagine statistica della Doxa, il 73% delle aziende ha fatto ricorso massivo allo smart working. A fine aprile, invece, i nuovi dati elaborati dal Ministero del Lavoro e delle Politiche Sociali hanno evidenziato, complessivamente, 1.827.792 lavoratori attivi in tale modalità balzando, quindi, dal 6,8% di inizio pandemia al 22% circa.
In taluni casi le percentuali sono state molto più elevate: ad esempio, i dati provenienti dalle Regioni italiane hanno indicato una media di personale in smart working e telelavoro pari al 73,8%.

Tutto ciò ha inevitabilmente condotto, al di là dell’enorme cambio di paradigma nella gestione organizzativa, ad un vero problema generalizzato di sicurezza delle informazioni e, di conseguenza, anche di Sicurezza Nazionale, in particolare per il settore della Pubblica amministrazione. Innanzitutto, né le aziende né le Istituzioni avevano previsto tale modalità produttiva con carichi e volumi così grandi e, quindi, non avevano predisposto veri piani operativi per fronteggiarla. Peraltro, in molti casi più che di smart working si è trattato di lavoro casalingo.
A causa dell’assenza di piani operativi, si è assistito alla tendenza a confondere e mescolare ambienti personali e professionali. Molti dipendenti pubblici hanno utilizzato promiscuamente dispositivi privati per lavorare o, peggio, per connettersi alla Rete aziendale. Nella succitata circolare del 4 marzo, infatti, si legge che «si evidenzia l’importanza […] del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della Rete secondo le esigenze e le modalità definite dalle singole Pubbliche amministrazioni».

Principale conseguenza di ciò è che tutti questi nuovi dispositivi sono entrati a far parte della superficie di attacco della relativa organizzazione di appartenenza, incrementando a dismisura tale superficie e diventando, essi stessi, potenziali vettori di attacco e di diffusione di malware. La minaccia proviene da entità statali o gruppi state-sponsored (per motivi di spionaggio) e da cyber criminali (per motivi di guadagni economici). Molte aziende o Istituzioni, per arginare il problema, sono riuscite comunque a configurare VPN (virtual private network) in tempi molto rapidi. I dati raccolti mostrano che, dall’inizio dei lockdown nazionali, l’utilizzo delle VPN è aumentato del 165% a livello globale [10] sebbene, in tale statistica, l’Italia sia risultata in controtendenza, avendo registrato il tasso di incremento più basso nell’uso delle VPN di circa il 10%. Tuttavia, le VPN proteggono solo il canale di comunicazione tra il dispositivo e la Rete aziendale, mentre non offrono protezione da attività malevole originate dal (e nel) dispositivo stesso. Inevitabilmente, si ripresenta il problema di cui sopra: la connessione alla Rete aziendale tramite dispositivi esterni, privati, poco protetti, promiscui nel loro utilizzo costituisce una gravissima minaccia alla sicurezza, una grande vulnerabilità molto difficile da monitorare e controllare. Se, ad esempio, un dispositivo domestico venisse violato e venissero, quindi, rubate le credenziali VPN, il potenziale danno per l’organizzazione sarebbe immenso.

Altri obiettivi degli attaccanti sono i tool di lavoro a distanza, che in queste settimane hanno visto un incremento enorme del numero di utenti (Google Meet, Microsoft Teams, Zoom, Cisco Webex). Ad esempio, Checkpoint, società di ricerca sulla cybersecurity, in un Report pubblicato nel gennaio 2020, aveva segnalato vulnerabilità di sicurezza relative alla piattaforma di videoconferenza Zoom. Tali vulnerabilità avrebbero permesso ad un potenziale hacker di unirsi ad un video meeting e ascoltare le conversazioni, accedendo anche ad eventuali file condivisi nel corso della riunione. Durante l’emergenza sanitaria sono stati, inoltre, creati falsi siti Web che imitano e ricordano molto i siti “ufficiali”; dall’inizio dell’anno, ad esempio, sono stati creati circa duemila domini simili alla piattaforma Zoom. Sono stati scoperti anche falsi files eseguibili di installazione, chiamati con nomi simili a quelli utilizzati da Zoom e Microsoft Teams, che diffondevano malware sui computer degli utenti più ingenui e installando applicazioni fake.

Infine, le tattiche di ingegneria sociale mirate a indurre l’installazione dei malware sono molto efficaci se le vittime sono distratte e indebolite a causa di un diffuso clima di paura e incertezza, come accaduto proprio a causa della crisi da Covid-19. Lo scenario appena descritto ci porterà ad assistere, inevitabilmente, ad un aumento del numero di data breach – per coloro i quali saranno capaci di accorgersi di averli subìti – nei prossimi mesi.
Le piccole e medie imprese saranno le più colpite, considerata la già scarsa allocazione di fondi per la sicurezza: ad oggi gli investimenti nel settore rischiano di essere ancor più contenuti in ragione dello scenario di crisi economica da fronteggiare, in cui l’obiettivo principale a breve-medio termine sarà – o rischierà di essere – quello della semplice sopravvivenza aziendale. Tuttavia, anche le organizzazioni più grandi e che si avvalgono di team di sicurezza più sofisticati probabilmente ne risentiranno, in maniera indiretta, attraverso le relative catene di approvvigionamento, le quali sono costituite appunto dalle PMI, che in Italia rappresentano circa il 90% delle realtà aziendali.

Nella ricerca di una soluzione, le aziende e le Istituzioni dovrebbero, innanzitutto, investire in sistemi avanzati di gestione delle identità e degli accessi; inoltre, bisognerebbe implementare una segmentazione della Rete e adottare forti misure di autenticazione con sistemi automatizzati di controllo. Da questo punto di vista, lo smart working potrebbe offrire anche opportunità da cogliere: tra queste, l’estensione di nuovi modelli di lavoro virtuosi e sicuri – al fine di ridurre i costi operativi, le spese per i dipendenti e, al contempo, rispettare qualsiasi condizione di distanziamento sociale che potrà, eventualmente, essere imposta o consigliata dal Governo o dal datore di lavoro – potrebbe addirittura aumentare la produttività. Tali nuovi modelli richiedono un maggiore affidamento all’utilizzo di tecnologie remote, sicure basate sui servizi cloud e all’utilizzo della crittografia per proteggere i dati.
Infine, a prescindere dai menzionati aspetti tecnici ed infrastrutturali, si dovranno adottare dei veri piani operativi per ogni circostanza o evenienza, i quali, dopo essere stati valutati e codificati, dovranno essere soggetti ad un miglioramento e ad una verifica continua perseguibile, esclusivamente, tramite esercitazioni reali in simulazione di situazioni di crisi, che consentano di correggere i piani già adottati.

Ricercando un paragone con una realtà virtuosa già esistente da molti anni, codificata in àmbito militare, si può fare riferimento al cosiddetto Tirnav della Marina Militare. Qualsiasi marinaio sa – perché lo ha probabilmente sperimentato una o più volte nella sua carriera – cosa sia il Tirnav (per esteso Tirocinio Navale): periodicamente, ogni equipaggio delle Unità Navali viene sottoposto ad un programma (fino a due mesi) di continue esercitazioni condotte e supervisionate del Centro di Addestramento Aeronavale di Taranto. Un equipaggio “parallelo”, composto da esperti di ogni singolo settore si imbarca, quotidianamente, per simulare esercitazioni e attività operative reali, a difficoltà crescente, simulando assetti sempre più degradati. Al termine del Tirocinio Navale, ogni membro dell’equipaggio diventa parte integrante di un sistema che funziona ed è efficiente, capace di reagire in maniera consapevole e strutturata ad ogni situazione operativa o di crisi.

Sarebbe interessante valutare l’adozione del “modello Tirnav” in tutte le amministrazioni pubbliche (oltre che nelle aziende private), opportunamente calibrato rispetto alle specifiche esigenze di ogni realtà. Ad esempio, potrebbero essere simulati scenari di crisi in cui mettere in pratica tutti i vari protocolli di sicurezza di smart working e affini: simili esercitazioni permetterebbero di elevare le varie organizzazioni al raggiungimento di standard di efficienza molto più alti di quelli attuali, rafforzando e consolidando lo spirito di gruppo dei vari dipendenti e, in definitiva, rafforzando il Sistema Paese e la sua Sicurezza Nazionale.

Prof. Roberto De Vita, Presidente dell’Osservatorio Cybersecurity Eurispes –
Dott. Ing. Biagio Tampanella, esperto componente dell’Osservatorio Cybersecurity Eurispes

Ultime notizie
blockchain e mercati dei crypto-asset
Tecnologia

Tecnologia blockchain e mercati dei crypto-asset: le opportunità

Blockchain e mercati dei crypto-asset: quali le opportunità di questa tecnologia e il rapporto con il diritto dell'Unione Europea.
di Irene Tagliamonte*
blockchain e mercati dei crypto-asset
smart working
Lavoro

L’incidenza dello smart working in pandemia e oltre

La crisi del Covid-19 ha creato un’improvvisa necessità per le aziende e i loro dipendenti di iniziare o aumentare lo smart working....
di redazione
smart working
Territorio

Calabria: a new narrative and strategic thinking are needed. Interview with President of the Rubbettino publishing house

Guest of the column "Il punto a Mezzogiorno", Florindo Rubbettino, President of the publishing group of the same name founded in 1972...
di redazione
Il punto a Mezzogiorno

Calabria: servono una nuova narrazione e un pensiero strategico. Intervista al Presidente del gruppo editoriale Rubbettino

Intervista a Florindo Rubbettino, Presidente dell’omonimo gruppo editoriale fondato nel 1972 da suo padre in Calabria.
di Maurizio Lovecchio
capodanno estivo
Società

Questo Capodanno estivo segnerà il primo anno del “new normal”

Viviamo un Capodanno estivo in cui ci iniziamo a preparare all’incontro, al riallacciare, con il nuovo anno, quella consuetudine quotidiana dell’altro, non mediata dallo schermo come in pandemia, entro la quale ci immergeremo diversi da come ne siamo usciti.
di Alberto Mattiacci*
capodanno estivo
mezzogiorno
Infrastrutture

I collegamenti tra le regioni del Sud e del Nord, punto chiave nel rilancio del Mezzogiorno

La vera prospettiva di crescita del Mezzogiorno è condizionata dagli investimenti in opere infrastrutturali che sono strategiche per lo sviluppo economico. L’adeguamento dei porti italiani alle grandi navi portacontainers, e la creazione di hub nel Mediterraneo, in particolare a Gioia Tauro e in Sicilia, sono condizioni in grado di trainare lo sviluppo anche dei territori interni oltre che delle realtà portuali coinvolte.
di Giampaolo Basoli*
mezzogiorno
nuraghi sardegna
Cultura

Nuraghi di Sardegna, una risorsa non solo culturale

I nuraghi, che con la loro massiccia diffusione puntellano la Sardegna, sono identificativi del luogo al quale appartengono, hanno una lunga e misteriosa storia alle spalle e sono l’espressione di un passato che silenziosamente sembra voler interloquire con il mito. I nuraghi hanno i requisiti per essere a buon diritto patrimonio dell'Unesco.
di Giuseppe Pulina
nuraghi sardegna
moda fashion
Economia

L’industria della moda tra fast fashion e moda etica

Nei primi nove mesi del 2020 le maggiori aziende del fashion hanno subìto una significativa contrazione. Le stime indicano che la ripresa inizierà nel corso del 2021, ma l’assestamento del volume d’affari sulle cifre precedenti alla crisi si avrà soltanto nel 2023. Intanto, l’industria della moda è in bilico tra il fast fashion usa-e-getta e nuovi modelli produttivi ecosostenibili.
di redazione
moda fashion
oceani plastica
Ambiente

Riuso e riciclo possono salvare gli oceani dalla plastica

È possibile prevenire quasi la metà della plastica presente negli oceani in un anno riutilizzando il 10% dei nostri rifiuti in plastica. Questo, e molto altro, è presente nel report "The Future of Reusable Consumption Models" del World Economic Forum in collaborazione con Kearney.
di redazione
oceani plastica
trasporto ferroviario
Europa

Green Deal, fondamentale una strategia comune sul trasporto ferroviario

Il trasporto ferroviario è un punto fondamentale per la transizione ecologica e il raggiungimento degli obiettivi del Green deal europeo. Basti pensare che il settore trasporti genera un quarto delle emissioni di gas serra nell'Ue. Per questo il 2021 è l'Anno Europeo delle Ferrovie, e l'Italia ha destinato all'ammodernamento della rete ferroviaria 28,30 miliardi euro di risorse del PNRR.
di Giampaolo Basoli*
trasporto ferroviario