In un mondo non troppo lontano dal nostro una Intelligenza Artificiale che volesse, in maniera graduale, assumere il controllo del Pianeta dovrebbe, innanzitutto, confinare il più possibile le attività umane, spingendole verso il cyberspazio. Più attività saranno confinate in tale dimensione, più l’uomo ne sarà dipendente e più l’Intelligenza Artificiale potrà gestire questo immenso flusso di dati e influenzare, senza quasi farsi scoprire, il corso della vita quotidiana e, in generale, il rapporto fra le Nazioni sovrane.
La pandemia causata dal Covid-19 ha imposto un cambiamento improvviso e brusco al nostro stile di vita, soprattutto in àmbito lavorativo. L’isolamento vissuto dalla gran parte dei lavoratori ha incrementato in maniera quasi prepotente l’utilizzo su larga scala del “lavoro agile” o smart working. Introdotto e disciplinato dalla legge 22 maggio 2017, n.81, quest’ultimo non deve essere confuso con il telelavoro che, sebbene non implichi necessariamente il lavoro “da casa”, ha carattere di maggiore rigidità, già per il semplice fatto che prevede una sede di lavoro ben precisa e degli orari prestabiliti. Lo smart working è, invece, più flessibile, non individua una specifica sede di lavoro e gli orari sono autogestiti dal lavoratore, in quanto l’approccio è “per obiettivi” e di rispetto delle varie scadenze.
Secondo lo studio condotto da Eurofound e dall’Organizzazione Internazionale del Lavoro, nel periodo precedente all’entrata in vigore della legge 22 maggio 2017, n.81, l’Italia era ultima in Unione europea per percentuale di adozione dello smart working e del telelavoro (pari al 7% rispetto ad una media europea del 17%, che raggiungeva picchi del 37% nei Paesi scandinavi). Dopo la citata novella, la quota di dipendenti italiani in smart working è cresciuta, ma sempre con numeri relativamente contenuti rispetto alla media europea.
Si tenga presente che, secondo alcune stime, in Italia i lavoratori dipendenti potenzialmente occupabili nello smart working sono 8 milioni e 359mila; nel Rapporto 2019 dell’Osservatorio Smart Working della School of management del Politecnico di Milano si legge che, nel periodo immediatamente precedente alla quarantena, hanno fruito del lavoro agile circa 570mila lavoratori (pari al 6,8% del totale potenziale), in crescita del 20% rispetto a quelli del 2018. Sempre secondo il Rapporto del Politecnico, sono stati avviati progetti strutturati di smart working dal 58% delle grandi imprese (in lieve crescita rispetto al 56% del 2018), dal 12% delle PMI (in crescita rispetto all’8% del 2018) e dal 16 % delle Pubbliche amministrazioni (raddoppiati rispetto all’8% del 2018). Nonostante il dato sia risultato in crescita in quest’ultimo settore, 4 PA su 10 non hanno progetti di smart working, mentre le restanti coinvolgono, in media, solo il 12% del personale dipendente in tali progetti.
Per far fronte all’emergenza da Coronavirus, la Pubblica amministrazione ha voluto incentivare – complice la costrizione derivante dai vincoli di distanziamento sociale – l’adozione dello smart working: è stata, quindi, emanata una circolare ad hoc che ha fornito ulteriori strumenti organizzativi per favorire il “lavoro agile”.
Gli effetti sono stati rilevanti in termini numerici: già dal mese di marzo, secondo un’indagine statistica della Doxa, il 73% delle aziende ha fatto ricorso massivo allo smart working. A fine aprile, invece, i nuovi dati elaborati dal Ministero del Lavoro e delle Politiche Sociali hanno evidenziato, complessivamente, 1.827.792 lavoratori attivi in tale modalità balzando, quindi, dal 6,8% di inizio pandemia al 22% circa.
In taluni casi le percentuali sono state molto più elevate: ad esempio, i dati provenienti dalle Regioni italiane hanno indicato una media di personale in smart working e telelavoro pari al 73,8%.
Tutto ciò ha inevitabilmente condotto, al di là dell’enorme cambio di paradigma nella gestione organizzativa, ad un vero problema generalizzato di sicurezza delle informazioni e, di conseguenza, anche di Sicurezza Nazionale, in particolare per il settore della Pubblica amministrazione. Innanzitutto, né le aziende né le Istituzioni avevano previsto tale modalità produttiva con carichi e volumi così grandi e, quindi, non avevano predisposto veri piani operativi per fronteggiarla. Peraltro, in molti casi più che di smart working si è trattato di lavoro casalingo.
A causa dell’assenza di piani operativi, si è assistito alla tendenza a confondere e mescolare ambienti personali e professionali. Molti dipendenti pubblici hanno utilizzato promiscuamente dispositivi privati per lavorare o, peggio, per connettersi alla Rete aziendale. Nella succitata circolare del 4 marzo, infatti, si legge che «si evidenzia l’importanza […] del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della Rete secondo le esigenze e le modalità definite dalle singole Pubbliche amministrazioni».
Principale conseguenza di ciò è che tutti questi nuovi dispositivi sono entrati a far parte della superficie di attacco della relativa organizzazione di appartenenza, incrementando a dismisura tale superficie e diventando, essi stessi, potenziali vettori di attacco e di diffusione di malware. La minaccia proviene da entità statali o gruppi state-sponsored (per motivi di spionaggio) e da cyber criminali (per motivi di guadagni economici). Molte aziende o Istituzioni, per arginare il problema, sono riuscite comunque a configurare VPN (virtual private network) in tempi molto rapidi. I dati raccolti mostrano che, dall’inizio dei lockdown nazionali, l’utilizzo delle VPN è aumentato del 165% a livello globale [10] sebbene, in tale statistica, l’Italia sia risultata in controtendenza, avendo registrato il tasso di incremento più basso nell’uso delle VPN di circa il 10%. Tuttavia, le VPN proteggono solo il canale di comunicazione tra il dispositivo e la Rete aziendale, mentre non offrono protezione da attività malevole originate dal (e nel) dispositivo stesso. Inevitabilmente, si ripresenta il problema di cui sopra: la connessione alla Rete aziendale tramite dispositivi esterni, privati, poco protetti, promiscui nel loro utilizzo costituisce una gravissima minaccia alla sicurezza, una grande vulnerabilità molto difficile da monitorare e controllare. Se, ad esempio, un dispositivo domestico venisse violato e venissero, quindi, rubate le credenziali VPN, il potenziale danno per l’organizzazione sarebbe immenso.
Altri obiettivi degli attaccanti sono i tool di lavoro a distanza, che in queste settimane hanno visto un incremento enorme del numero di utenti (Google Meet, Microsoft Teams, Zoom, Cisco Webex). Ad esempio, Checkpoint, società di ricerca sulla cybersecurity, in un Report pubblicato nel gennaio 2020, aveva segnalato vulnerabilità di sicurezza relative alla piattaforma di videoconferenza Zoom. Tali vulnerabilità avrebbero permesso ad un potenziale hacker di unirsi ad un video meeting e ascoltare le conversazioni, accedendo anche ad eventuali file condivisi nel corso della riunione. Durante l’emergenza sanitaria sono stati, inoltre, creati falsi siti Web che imitano e ricordano molto i siti “ufficiali”; dall’inizio dell’anno, ad esempio, sono stati creati circa duemila domini simili alla piattaforma Zoom. Sono stati scoperti anche falsi files eseguibili di installazione, chiamati con nomi simili a quelli utilizzati da Zoom e Microsoft Teams, che diffondevano malware sui computer degli utenti più ingenui e installando applicazioni fake.
Infine, le tattiche di ingegneria sociale mirate a indurre l’installazione dei malware sono molto efficaci se le vittime sono distratte e indebolite a causa di un diffuso clima di paura e incertezza, come accaduto proprio a causa della crisi da Covid-19. Lo scenario appena descritto ci porterà ad assistere, inevitabilmente, ad un aumento del numero di data breach – per coloro i quali saranno capaci di accorgersi di averli subìti – nei prossimi mesi.
Le piccole e medie imprese saranno le più colpite, considerata la già scarsa allocazione di fondi per la sicurezza: ad oggi gli investimenti nel settore rischiano di essere ancor più contenuti in ragione dello scenario di crisi economica da fronteggiare, in cui l’obiettivo principale a breve-medio termine sarà – o rischierà di essere – quello della semplice sopravvivenza aziendale. Tuttavia, anche le organizzazioni più grandi e che si avvalgono di team di sicurezza più sofisticati probabilmente ne risentiranno, in maniera indiretta, attraverso le relative catene di approvvigionamento, le quali sono costituite appunto dalle PMI, che in Italia rappresentano circa il 90% delle realtà aziendali.
Nella ricerca di una soluzione, le aziende e le Istituzioni dovrebbero, innanzitutto, investire in sistemi avanzati di gestione delle identità e degli accessi; inoltre, bisognerebbe implementare una segmentazione della Rete e adottare forti misure di autenticazione con sistemi automatizzati di controllo. Da questo punto di vista, lo smart working potrebbe offrire anche opportunità da cogliere: tra queste, l’estensione di nuovi modelli di lavoro virtuosi e sicuri – al fine di ridurre i costi operativi, le spese per i dipendenti e, al contempo, rispettare qualsiasi condizione di distanziamento sociale che potrà, eventualmente, essere imposta o consigliata dal Governo o dal datore di lavoro – potrebbe addirittura aumentare la produttività. Tali nuovi modelli richiedono un maggiore affidamento all’utilizzo di tecnologie remote, sicure basate sui servizi cloud e all’utilizzo della crittografia per proteggere i dati.
Infine, a prescindere dai menzionati aspetti tecnici ed infrastrutturali, si dovranno adottare dei veri piani operativi per ogni circostanza o evenienza, i quali, dopo essere stati valutati e codificati, dovranno essere soggetti ad un miglioramento e ad una verifica continua perseguibile, esclusivamente, tramite esercitazioni reali in simulazione di situazioni di crisi, che consentano di correggere i piani già adottati.
Ricercando un paragone con una realtà virtuosa già esistente da molti anni, codificata in àmbito militare, si può fare riferimento al cosiddetto Tirnav della Marina Militare. Qualsiasi marinaio sa – perché lo ha probabilmente sperimentato una o più volte nella sua carriera – cosa sia il Tirnav (per esteso Tirocinio Navale): periodicamente, ogni equipaggio delle Unità Navali viene sottoposto ad un programma (fino a due mesi) di continue esercitazioni condotte e supervisionate del Centro di Addestramento Aeronavale di Taranto. Un equipaggio “parallelo”, composto da esperti di ogni singolo settore si imbarca, quotidianamente, per simulare esercitazioni e attività operative reali, a difficoltà crescente, simulando assetti sempre più degradati. Al termine del Tirocinio Navale, ogni membro dell’equipaggio diventa parte integrante di un sistema che funziona ed è efficiente, capace di reagire in maniera consapevole e strutturata ad ogni situazione operativa o di crisi.
Sarebbe interessante valutare l’adozione del “modello Tirnav” in tutte le amministrazioni pubbliche (oltre che nelle aziende private), opportunamente calibrato rispetto alle specifiche esigenze di ogni realtà. Ad esempio, potrebbero essere simulati scenari di crisi in cui mettere in pratica tutti i vari protocolli di sicurezza di smart working e affini: simili esercitazioni permetterebbero di elevare le varie organizzazioni al raggiungimento di standard di efficienza molto più alti di quelli attuali, rafforzando e consolidando lo spirito di gruppo dei vari dipendenti e, in definitiva, rafforzando il Sistema Paese e la sua Sicurezza Nazionale.
Prof. Roberto De Vita, Presidente dell’Osservatorio Cybersecurity Eurispes –
Dott. Ing. Biagio Tampanella, esperto componente dell’Osservatorio Cybersecurity Eurispes