Lo smart working: una questione (anche) di Sicurezza Nazionale

In un mondo non troppo lontano dal nostro una Intelligenza Artificiale che volesse, in maniera graduale, assumere il controllo del Pianeta dovrebbe, innanzitutto, confinare il più possibile le attività umane, spingendole verso il cyberspazio. Più attività saranno confinate in tale dimensione, più l’uomo ne sarà dipendente e più l’Intelligenza Artificiale potrà gestire questo immenso flusso di dati e influenzare, senza quasi farsi scoprire, il corso della vita quotidiana e, in generale, il rapporto fra le Nazioni sovrane.

La pandemia causata dal Covid-19 ha imposto un cambiamento improvviso e brusco al nostro stile di vita, soprattutto in àmbito lavorativo. L’isolamento vissuto dalla gran parte dei lavoratori ha incrementato in maniera quasi prepotente l’utilizzo su larga scala del “lavoro agile” o smart working. Introdotto e disciplinato dalla legge 22 maggio 2017, n.81, quest’ultimo non deve essere confuso con il telelavoro che, sebbene non implichi necessariamente il lavoro “da casa”, ha carattere di maggiore rigidità, già per il semplice fatto che prevede una sede di lavoro ben precisa e degli orari prestabiliti. Lo smart working è, invece, più flessibile, non individua una specifica sede di lavoro e gli orari sono autogestiti dal lavoratore, in quanto l’approccio è “per obiettivi” e di rispetto delle varie scadenze.

Secondo lo studio condotto da Eurofound e dall’Organizzazione Internazionale del Lavoro, nel periodo precedente all’entrata in vigore della legge 22 maggio 2017, n.81, l’Italia era ultima in Unione europea per percentuale di adozione dello smart working e del telelavoro (pari al 7% rispetto ad una media europea del 17%, che raggiungeva picchi del 37% nei Paesi scandinavi). Dopo la citata novella, la quota di dipendenti italiani in smart working è cresciuta, ma sempre con numeri relativamente contenuti rispetto alla media europea.
Si tenga presente che, secondo alcune stime, in Italia i lavoratori dipendenti potenzialmente occupabili nello smart working sono 8 milioni e 359mila; nel Rapporto 2019 dell’Osservatorio Smart Working della School of management del Politecnico di Milano si legge che, nel periodo immediatamente precedente alla quarantena, hanno fruito del lavoro agile circa 570mila lavoratori (pari al 6,8% del totale potenziale), in crescita del 20% rispetto a quelli del 2018. Sempre secondo il Rapporto del Politecnico, sono stati avviati progetti strutturati di smart working dal 58% delle grandi imprese (in lieve crescita rispetto al 56% del 2018), dal 12% delle PMI (in crescita rispetto all’8% del 2018) e dal 16 % delle Pubbliche amministrazioni (raddoppiati rispetto all’8% del 2018). Nonostante il dato sia risultato in crescita in quest’ultimo settore, 4 PA su 10 non hanno progetti di smart working, mentre le restanti coinvolgono, in media, solo il 12% del personale dipendente in tali progetti.

Per far fronte all’emergenza da Coronavirus, la Pubblica amministrazione ha voluto incentivare – complice la costrizione derivante dai vincoli di distanziamento sociale – l’adozione dello smart working: è stata, quindi, emanata una circolare ad hoc che ha fornito ulteriori strumenti organizzativi per favorire il “lavoro agile”.
Gli effetti sono stati rilevanti in termini numerici: già dal mese di marzo, secondo un’indagine statistica della Doxa, il 73% delle aziende ha fatto ricorso massivo allo smart working. A fine aprile, invece, i nuovi dati elaborati dal Ministero del Lavoro e delle Politiche Sociali hanno evidenziato, complessivamente, 1.827.792 lavoratori attivi in tale modalità balzando, quindi, dal 6,8% di inizio pandemia al 22% circa.
In taluni casi le percentuali sono state molto più elevate: ad esempio, i dati provenienti dalle Regioni italiane hanno indicato una media di personale in smart working e telelavoro pari al 73,8%.

Tutto ciò ha inevitabilmente condotto, al di là dell’enorme cambio di paradigma nella gestione organizzativa, ad un vero problema generalizzato di sicurezza delle informazioni e, di conseguenza, anche di Sicurezza Nazionale, in particolare per il settore della Pubblica amministrazione. Innanzitutto, né le aziende né le Istituzioni avevano previsto tale modalità produttiva con carichi e volumi così grandi e, quindi, non avevano predisposto veri piani operativi per fronteggiarla. Peraltro, in molti casi più che di smart working si è trattato di lavoro casalingo.
A causa dell’assenza di piani operativi, si è assistito alla tendenza a confondere e mescolare ambienti personali e professionali. Molti dipendenti pubblici hanno utilizzato promiscuamente dispositivi privati per lavorare o, peggio, per connettersi alla Rete aziendale. Nella succitata circolare del 4 marzo, infatti, si legge che «si evidenzia l’importanza […] del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della Rete secondo le esigenze e le modalità definite dalle singole Pubbliche amministrazioni».

Principale conseguenza di ciò è che tutti questi nuovi dispositivi sono entrati a far parte della superficie di attacco della relativa organizzazione di appartenenza, incrementando a dismisura tale superficie e diventando, essi stessi, potenziali vettori di attacco e di diffusione di malware. La minaccia proviene da entità statali o gruppi state-sponsored (per motivi di spionaggio) e da cyber criminali (per motivi di guadagni economici). Molte aziende o Istituzioni, per arginare il problema, sono riuscite comunque a configurare VPN (virtual private network) in tempi molto rapidi. I dati raccolti mostrano che, dall’inizio dei lockdown nazionali, l’utilizzo delle VPN è aumentato del 165% a livello globale [10] sebbene, in tale statistica, l’Italia sia risultata in controtendenza, avendo registrato il tasso di incremento più basso nell’uso delle VPN di circa il 10%. Tuttavia, le VPN proteggono solo il canale di comunicazione tra il dispositivo e la Rete aziendale, mentre non offrono protezione da attività malevole originate dal (e nel) dispositivo stesso. Inevitabilmente, si ripresenta il problema di cui sopra: la connessione alla Rete aziendale tramite dispositivi esterni, privati, poco protetti, promiscui nel loro utilizzo costituisce una gravissima minaccia alla sicurezza, una grande vulnerabilità molto difficile da monitorare e controllare. Se, ad esempio, un dispositivo domestico venisse violato e venissero, quindi, rubate le credenziali VPN, il potenziale danno per l’organizzazione sarebbe immenso.

Altri obiettivi degli attaccanti sono i tool di lavoro a distanza, che in queste settimane hanno visto un incremento enorme del numero di utenti (Google Meet, Microsoft Teams, Zoom, Cisco Webex). Ad esempio, Checkpoint, società di ricerca sulla cybersecurity, in un Report pubblicato nel gennaio 2020, aveva segnalato vulnerabilità di sicurezza relative alla piattaforma di videoconferenza Zoom. Tali vulnerabilità avrebbero permesso ad un potenziale hacker di unirsi ad un video meeting e ascoltare le conversazioni, accedendo anche ad eventuali file condivisi nel corso della riunione. Durante l’emergenza sanitaria sono stati, inoltre, creati falsi siti Web che imitano e ricordano molto i siti “ufficiali”; dall’inizio dell’anno, ad esempio, sono stati creati circa duemila domini simili alla piattaforma Zoom. Sono stati scoperti anche falsi files eseguibili di installazione, chiamati con nomi simili a quelli utilizzati da Zoom e Microsoft Teams, che diffondevano malware sui computer degli utenti più ingenui e installando applicazioni fake.

Infine, le tattiche di ingegneria sociale mirate a indurre l’installazione dei malware sono molto efficaci se le vittime sono distratte e indebolite a causa di un diffuso clima di paura e incertezza, come accaduto proprio a causa della crisi da Covid-19. Lo scenario appena descritto ci porterà ad assistere, inevitabilmente, ad un aumento del numero di data breach – per coloro i quali saranno capaci di accorgersi di averli subìti – nei prossimi mesi.
Le piccole e medie imprese saranno le più colpite, considerata la già scarsa allocazione di fondi per la sicurezza: ad oggi gli investimenti nel settore rischiano di essere ancor più contenuti in ragione dello scenario di crisi economica da fronteggiare, in cui l’obiettivo principale a breve-medio termine sarà – o rischierà di essere – quello della semplice sopravvivenza aziendale. Tuttavia, anche le organizzazioni più grandi e che si avvalgono di team di sicurezza più sofisticati probabilmente ne risentiranno, in maniera indiretta, attraverso le relative catene di approvvigionamento, le quali sono costituite appunto dalle PMI, che in Italia rappresentano circa il 90% delle realtà aziendali.

Nella ricerca di una soluzione, le aziende e le Istituzioni dovrebbero, innanzitutto, investire in sistemi avanzati di gestione delle identità e degli accessi; inoltre, bisognerebbe implementare una segmentazione della Rete e adottare forti misure di autenticazione con sistemi automatizzati di controllo. Da questo punto di vista, lo smart working potrebbe offrire anche opportunità da cogliere: tra queste, l’estensione di nuovi modelli di lavoro virtuosi e sicuri – al fine di ridurre i costi operativi, le spese per i dipendenti e, al contempo, rispettare qualsiasi condizione di distanziamento sociale che potrà, eventualmente, essere imposta o consigliata dal Governo o dal datore di lavoro – potrebbe addirittura aumentare la produttività. Tali nuovi modelli richiedono un maggiore affidamento all’utilizzo di tecnologie remote, sicure basate sui servizi cloud e all’utilizzo della crittografia per proteggere i dati.
Infine, a prescindere dai menzionati aspetti tecnici ed infrastrutturali, si dovranno adottare dei veri piani operativi per ogni circostanza o evenienza, i quali, dopo essere stati valutati e codificati, dovranno essere soggetti ad un miglioramento e ad una verifica continua perseguibile, esclusivamente, tramite esercitazioni reali in simulazione di situazioni di crisi, che consentano di correggere i piani già adottati.

Ricercando un paragone con una realtà virtuosa già esistente da molti anni, codificata in àmbito militare, si può fare riferimento al cosiddetto Tirnav della Marina Militare. Qualsiasi marinaio sa – perché lo ha probabilmente sperimentato una o più volte nella sua carriera – cosa sia il Tirnav (per esteso Tirocinio Navale): periodicamente, ogni equipaggio delle Unità Navali viene sottoposto ad un programma (fino a due mesi) di continue esercitazioni condotte e supervisionate del Centro di Addestramento Aeronavale di Taranto. Un equipaggio “parallelo”, composto da esperti di ogni singolo settore si imbarca, quotidianamente, per simulare esercitazioni e attività operative reali, a difficoltà crescente, simulando assetti sempre più degradati. Al termine del Tirocinio Navale, ogni membro dell’equipaggio diventa parte integrante di un sistema che funziona ed è efficiente, capace di reagire in maniera consapevole e strutturata ad ogni situazione operativa o di crisi.

Sarebbe interessante valutare l’adozione del “modello Tirnav” in tutte le amministrazioni pubbliche (oltre che nelle aziende private), opportunamente calibrato rispetto alle specifiche esigenze di ogni realtà. Ad esempio, potrebbero essere simulati scenari di crisi in cui mettere in pratica tutti i vari protocolli di sicurezza di smart working e affini: simili esercitazioni permetterebbero di elevare le varie organizzazioni al raggiungimento di standard di efficienza molto più alti di quelli attuali, rafforzando e consolidando lo spirito di gruppo dei vari dipendenti e, in definitiva, rafforzando il Sistema Paese e la sua Sicurezza Nazionale.

Prof. Roberto De Vita, Presidente dell’Osservatorio Cybersecurity Eurispes –
Dott. Ing. Biagio Tampanella, esperto componente dell’Osservatorio Cybersecurity Eurispes

Ultime notizie
Last 20
Diritti umani

Last 20*: sono gli ultimi l’altra faccia del nostro Pianeta

“Last 20, gli Ultimi della Terra”, sono i 20 paesi più poveri al mondo, in contrapposizione a quelli del G20. La distanza tra questi due blocchi è abissale, e cresce di anno in anno, alimentata da crisi internazionali e guerre. Ai Last 20 è dedicato un Comitato e un ciclo di incontri.
di Tonino Perna** e Ugo Melchionda***
Last 20
idrogeno
Italia Domani

Idrogeno verde, alleato della decarbonizzazione dei processi industriali in Ue

In Europa e in Italia, i progetti legati all’idrogeno stanno crescendo in ogni ambito e rappresentano una soluzione per decarbonizzare i processi industriali e i comparti economici in cui la riduzione delle emissioni di carbonio è urgente e allo stesso tempo difficile.
di Claudia Bugno*
idrogeno
scuola paritaria
Scuola

Il contributo della scuola paritaria al sistema nazionale di istruzione: numeri, problemi, possibilità

La scuola paritaria in Italia accoglie 817.413 studenti in 12.096 scuole ogni anno, contribuendo al sistema nazionale di istruzione. Eppure, le scuole paritarie sono ancora escluse da sostanziosi finanziamenti e progetti del Ministero, anche quelli previsti dal PNRR.
di Elena Ugolini
scuola paritaria
pace
Attualità

Tempo di uccidere

Nella nostra cara, felice e ricca Europa, nessuno ci credeva. Ma, insomma, si chiedeva la gran massa delle persone, questi si vogliono davvero...
di Luciano Maria Teodori
pace
Laboratorio Europa
Intervista

Laboratorio Europa, alimentare il confronto su Istituzioni europee e sulla necessità di un’Europa sociale. Intervista al Prof. Umberto Triulzi

Laboratorio Europa dell’Eurispes, gli esperti si riuniscono per il primo incontro del 2023, attualmente coordinato dal Prof. Umberto Triulzi, economista, e docente di Politica economica europea, intervistato rispetto ai temi di discussione: Istituzioni europee, integrazione in ambito internazionale, Europa sociale.
di Silvia Muscas
Laboratorio Europa
complottismo
Attualità

Il dubbio e il burattinaio. Complottismo all’italiana

Cronaca e intrigo: anche per l’arresto di Matteo Messina Denaro, non sono mancati sospetti, dubbi, perplessità oltre l’accertamento dei fatti, con il risultato di offuscare il senso di una vittoria importante dello Stato contro la mafia. Il dovere di dubitare è una pratica essenziale nella società democratica, tuttavia bisogna contrastare il rischio dello scetticismo aprioristico e distruttivo.
di Angelo Perrone*
complottismo
editoria
Cultura

Editoria italiana: ricavi, geografia e nuove prospettive

L’editoria italiana ha registrato un calo del 2,8% nel 2022, ma i dati restano favorevoli rispetto al 2019. Crescono lettori e case editrici al Sud, pur restando al di sotto della media nazionale: lettori e case editrici si concentrano al Nord e al Centro, in Lazio e Lombardia ha sede il 38% delle case editrici italiane.
di Roberta Rega
editoria
bilancio energetico
Italia

Bilancio Energetico Nazionale, differenze regionali e potenzialità inespresse

Bilancio energetico nazionale, l’Italia ha un grande potenziale confermato da una quota del 20% di energie rinnovabili sul totale registrato nel 2020. A frenare la transizione ecologica però ci sono burocrazia e regionalismi che rischiano di allungare i tempi di decarbonizzazione dell’economia.
di Ludovico Semerari
bilancio energetico
prezzi della benzina
Fisco

Possibili profili speculativi sull’aumento dei prezzi della benzina e la marginalità delle cause fiscali

L’aumento del prezzo della benzina, di cui si parla molto ultimamente, è determinato da una serie di fattori che non limitano il dibattito alle semplici accise. A incidere è soprattutto la quotazione Platts, che viene decisa dalle compagnie in base al valore effettivo dei prodotti raffinati in un determinato momento.
di Giovambattista Palumbo*
prezzi della benzina
città
Futuro

La città nell’orizzonte della rivoluzione digitale

Le città raccontano chi siamo e che futuro vogliamo costruire: la rigenerazione urbana può essere la chiave per riconquistare gli spazi sottratti dalla pandemia, e costruire un universale urbano aperto al libero attraversamento di popoli ed etnie per una società sempre più fatta di migrazioni.
di Massimiliano Cannata
città