Lo smart working: una questione (anche) di Sicurezza Nazionale

In un mondo non troppo lontano dal nostro una Intelligenza Artificiale che volesse, in maniera graduale, assumere il controllo del Pianeta dovrebbe, innanzitutto, confinare il più possibile le attività umane, spingendole verso il cyberspazio. Più attività saranno confinate in tale dimensione, più l’uomo ne sarà dipendente e più l’Intelligenza Artificiale potrà gestire questo immenso flusso di dati e influenzare, senza quasi farsi scoprire, il corso della vita quotidiana e, in generale, il rapporto fra le Nazioni sovrane.

La pandemia causata dal Covid-19 ha imposto un cambiamento improvviso e brusco al nostro stile di vita, soprattutto in àmbito lavorativo. L’isolamento vissuto dalla gran parte dei lavoratori ha incrementato in maniera quasi prepotente l’utilizzo su larga scala del “lavoro agile” o smart working. Introdotto e disciplinato dalla legge 22 maggio 2017, n.81, quest’ultimo non deve essere confuso con il telelavoro che, sebbene non implichi necessariamente il lavoro “da casa”, ha carattere di maggiore rigidità, già per il semplice fatto che prevede una sede di lavoro ben precisa e degli orari prestabiliti. Lo smart working è, invece, più flessibile, non individua una specifica sede di lavoro e gli orari sono autogestiti dal lavoratore, in quanto l’approccio è “per obiettivi” e di rispetto delle varie scadenze.

Secondo lo studio condotto da Eurofound e dall’Organizzazione Internazionale del Lavoro, nel periodo precedente all’entrata in vigore della legge 22 maggio 2017, n.81, l’Italia era ultima in Unione europea per percentuale di adozione dello smart working e del telelavoro (pari al 7% rispetto ad una media europea del 17%, che raggiungeva picchi del 37% nei Paesi scandinavi). Dopo la citata novella, la quota di dipendenti italiani in smart working è cresciuta, ma sempre con numeri relativamente contenuti rispetto alla media europea.
Si tenga presente che, secondo alcune stime, in Italia i lavoratori dipendenti potenzialmente occupabili nello smart working sono 8 milioni e 359mila; nel Rapporto 2019 dell’Osservatorio Smart Working della School of management del Politecnico di Milano si legge che, nel periodo immediatamente precedente alla quarantena, hanno fruito del lavoro agile circa 570mila lavoratori (pari al 6,8% del totale potenziale), in crescita del 20% rispetto a quelli del 2018. Sempre secondo il Rapporto del Politecnico, sono stati avviati progetti strutturati di smart working dal 58% delle grandi imprese (in lieve crescita rispetto al 56% del 2018), dal 12% delle PMI (in crescita rispetto all’8% del 2018) e dal 16 % delle Pubbliche amministrazioni (raddoppiati rispetto all’8% del 2018). Nonostante il dato sia risultato in crescita in quest’ultimo settore, 4 PA su 10 non hanno progetti di smart working, mentre le restanti coinvolgono, in media, solo il 12% del personale dipendente in tali progetti.

Per far fronte all’emergenza da Coronavirus, la Pubblica amministrazione ha voluto incentivare – complice la costrizione derivante dai vincoli di distanziamento sociale – l’adozione dello smart working: è stata, quindi, emanata una circolare ad hoc che ha fornito ulteriori strumenti organizzativi per favorire il “lavoro agile”.
Gli effetti sono stati rilevanti in termini numerici: già dal mese di marzo, secondo un’indagine statistica della Doxa, il 73% delle aziende ha fatto ricorso massivo allo smart working. A fine aprile, invece, i nuovi dati elaborati dal Ministero del Lavoro e delle Politiche Sociali hanno evidenziato, complessivamente, 1.827.792 lavoratori attivi in tale modalità balzando, quindi, dal 6,8% di inizio pandemia al 22% circa.
In taluni casi le percentuali sono state molto più elevate: ad esempio, i dati provenienti dalle Regioni italiane hanno indicato una media di personale in smart working e telelavoro pari al 73,8%.

Tutto ciò ha inevitabilmente condotto, al di là dell’enorme cambio di paradigma nella gestione organizzativa, ad un vero problema generalizzato di sicurezza delle informazioni e, di conseguenza, anche di Sicurezza Nazionale, in particolare per il settore della Pubblica amministrazione. Innanzitutto, né le aziende né le Istituzioni avevano previsto tale modalità produttiva con carichi e volumi così grandi e, quindi, non avevano predisposto veri piani operativi per fronteggiarla. Peraltro, in molti casi più che di smart working si è trattato di lavoro casalingo.
A causa dell’assenza di piani operativi, si è assistito alla tendenza a confondere e mescolare ambienti personali e professionali. Molti dipendenti pubblici hanno utilizzato promiscuamente dispositivi privati per lavorare o, peggio, per connettersi alla Rete aziendale. Nella succitata circolare del 4 marzo, infatti, si legge che «si evidenzia l’importanza […] del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della Rete secondo le esigenze e le modalità definite dalle singole Pubbliche amministrazioni».

Principale conseguenza di ciò è che tutti questi nuovi dispositivi sono entrati a far parte della superficie di attacco della relativa organizzazione di appartenenza, incrementando a dismisura tale superficie e diventando, essi stessi, potenziali vettori di attacco e di diffusione di malware. La minaccia proviene da entità statali o gruppi state-sponsored (per motivi di spionaggio) e da cyber criminali (per motivi di guadagni economici). Molte aziende o Istituzioni, per arginare il problema, sono riuscite comunque a configurare VPN (virtual private network) in tempi molto rapidi. I dati raccolti mostrano che, dall’inizio dei lockdown nazionali, l’utilizzo delle VPN è aumentato del 165% a livello globale [10] sebbene, in tale statistica, l’Italia sia risultata in controtendenza, avendo registrato il tasso di incremento più basso nell’uso delle VPN di circa il 10%. Tuttavia, le VPN proteggono solo il canale di comunicazione tra il dispositivo e la Rete aziendale, mentre non offrono protezione da attività malevole originate dal (e nel) dispositivo stesso. Inevitabilmente, si ripresenta il problema di cui sopra: la connessione alla Rete aziendale tramite dispositivi esterni, privati, poco protetti, promiscui nel loro utilizzo costituisce una gravissima minaccia alla sicurezza, una grande vulnerabilità molto difficile da monitorare e controllare. Se, ad esempio, un dispositivo domestico venisse violato e venissero, quindi, rubate le credenziali VPN, il potenziale danno per l’organizzazione sarebbe immenso.

Altri obiettivi degli attaccanti sono i tool di lavoro a distanza, che in queste settimane hanno visto un incremento enorme del numero di utenti (Google Meet, Microsoft Teams, Zoom, Cisco Webex). Ad esempio, Checkpoint, società di ricerca sulla cybersecurity, in un Report pubblicato nel gennaio 2020, aveva segnalato vulnerabilità di sicurezza relative alla piattaforma di videoconferenza Zoom. Tali vulnerabilità avrebbero permesso ad un potenziale hacker di unirsi ad un video meeting e ascoltare le conversazioni, accedendo anche ad eventuali file condivisi nel corso della riunione. Durante l’emergenza sanitaria sono stati, inoltre, creati falsi siti Web che imitano e ricordano molto i siti “ufficiali”; dall’inizio dell’anno, ad esempio, sono stati creati circa duemila domini simili alla piattaforma Zoom. Sono stati scoperti anche falsi files eseguibili di installazione, chiamati con nomi simili a quelli utilizzati da Zoom e Microsoft Teams, che diffondevano malware sui computer degli utenti più ingenui e installando applicazioni fake.

Infine, le tattiche di ingegneria sociale mirate a indurre l’installazione dei malware sono molto efficaci se le vittime sono distratte e indebolite a causa di un diffuso clima di paura e incertezza, come accaduto proprio a causa della crisi da Covid-19. Lo scenario appena descritto ci porterà ad assistere, inevitabilmente, ad un aumento del numero di data breach – per coloro i quali saranno capaci di accorgersi di averli subìti – nei prossimi mesi.
Le piccole e medie imprese saranno le più colpite, considerata la già scarsa allocazione di fondi per la sicurezza: ad oggi gli investimenti nel settore rischiano di essere ancor più contenuti in ragione dello scenario di crisi economica da fronteggiare, in cui l’obiettivo principale a breve-medio termine sarà – o rischierà di essere – quello della semplice sopravvivenza aziendale. Tuttavia, anche le organizzazioni più grandi e che si avvalgono di team di sicurezza più sofisticati probabilmente ne risentiranno, in maniera indiretta, attraverso le relative catene di approvvigionamento, le quali sono costituite appunto dalle PMI, che in Italia rappresentano circa il 90% delle realtà aziendali.

Nella ricerca di una soluzione, le aziende e le Istituzioni dovrebbero, innanzitutto, investire in sistemi avanzati di gestione delle identità e degli accessi; inoltre, bisognerebbe implementare una segmentazione della Rete e adottare forti misure di autenticazione con sistemi automatizzati di controllo. Da questo punto di vista, lo smart working potrebbe offrire anche opportunità da cogliere: tra queste, l’estensione di nuovi modelli di lavoro virtuosi e sicuri – al fine di ridurre i costi operativi, le spese per i dipendenti e, al contempo, rispettare qualsiasi condizione di distanziamento sociale che potrà, eventualmente, essere imposta o consigliata dal Governo o dal datore di lavoro – potrebbe addirittura aumentare la produttività. Tali nuovi modelli richiedono un maggiore affidamento all’utilizzo di tecnologie remote, sicure basate sui servizi cloud e all’utilizzo della crittografia per proteggere i dati.
Infine, a prescindere dai menzionati aspetti tecnici ed infrastrutturali, si dovranno adottare dei veri piani operativi per ogni circostanza o evenienza, i quali, dopo essere stati valutati e codificati, dovranno essere soggetti ad un miglioramento e ad una verifica continua perseguibile, esclusivamente, tramite esercitazioni reali in simulazione di situazioni di crisi, che consentano di correggere i piani già adottati.

Ricercando un paragone con una realtà virtuosa già esistente da molti anni, codificata in àmbito militare, si può fare riferimento al cosiddetto Tirnav della Marina Militare. Qualsiasi marinaio sa – perché lo ha probabilmente sperimentato una o più volte nella sua carriera – cosa sia il Tirnav (per esteso Tirocinio Navale): periodicamente, ogni equipaggio delle Unità Navali viene sottoposto ad un programma (fino a due mesi) di continue esercitazioni condotte e supervisionate del Centro di Addestramento Aeronavale di Taranto. Un equipaggio “parallelo”, composto da esperti di ogni singolo settore si imbarca, quotidianamente, per simulare esercitazioni e attività operative reali, a difficoltà crescente, simulando assetti sempre più degradati. Al termine del Tirocinio Navale, ogni membro dell’equipaggio diventa parte integrante di un sistema che funziona ed è efficiente, capace di reagire in maniera consapevole e strutturata ad ogni situazione operativa o di crisi.

Sarebbe interessante valutare l’adozione del “modello Tirnav” in tutte le amministrazioni pubbliche (oltre che nelle aziende private), opportunamente calibrato rispetto alle specifiche esigenze di ogni realtà. Ad esempio, potrebbero essere simulati scenari di crisi in cui mettere in pratica tutti i vari protocolli di sicurezza di smart working e affini: simili esercitazioni permetterebbero di elevare le varie organizzazioni al raggiungimento di standard di efficienza molto più alti di quelli attuali, rafforzando e consolidando lo spirito di gruppo dei vari dipendenti e, in definitiva, rafforzando il Sistema Paese e la sua Sicurezza Nazionale.

Prof. Roberto De Vita, Presidente dell’Osservatorio Cybersecurity Eurispes –
Dott. Ing. Biagio Tampanella, esperto componente dell’Osservatorio Cybersecurity Eurispes

Ultime notizie
violenza di genere
Donne

Violenza di genere, i dati degli ultimi sei mesi della Polizia Criminale

Violenza di genere, i dati del Servizio Analisi Criminale della Polizia Criminale documentano un trend in crescita dal 2021 al 2023, ma i dati degli ultimi sei mesi evidenziano una flessione rispetto allo stesso periodo del 2023, soprattutto per i reati spia e gli omicidi volontari.
di redazione
violenza di genere
work life balance
Parità

Work life balance, c’è ancora un gap di genere da colmare

Il work life balance, ovvero l’equilibrio tra vita privata e professionale, riguarda anche la parità di genere, soprattutto in merito al caregiving, che troppo spesso ancora ricade principalmente sulle donne. Adnkronos evidenzia inoltre che il 66% degli utenti si dichiara insoddisfatto del proprio life work balance, e che questo incide nella scelta dell’impiego.
di redazione
work life balance
mediterraneo
Sostenibilità

Giornata internazionale del Mediterraneo, un ecosistema da difendere da plastica e sfruttamento

La Giornata internazionale del Mediterraneo è stata dedicata al dibattito sul nostro mare, un ecosistema che va difeso dallo sfruttamento intensivo della pesca e dalle plastiche. Un incontro presso la Camera dei Deputati organizzato da Fondazione Aqua ha visto numerosi studiosi esprimersi in merito al fragile equilibrio di questa risorsa fondamentale.
di redazione
mediterraneo
Uricchio ANVUR
Intervista

Antonio Uricchio, Presidente ANVUR: la valutazione come strumento per migliorare la qualità di ricerca e didattica

Antonio Uricchio, Presidente di ANVUR interviene nel merito delle critiche mosse verso una eccessiva burocratizzazione delle Università italiane, affermando la valutazione delle stesse come importante strumento per migliorare la qualità della ricerca e della didattica attraverso la raccolta di dati, documenti e informazioni.
di Mario Caligiuri*
Uricchio ANVUR
Corridoi TEN-T
Infrastrutture

Segnali positivi nella nuova strategia dei corridoi europei dei trasporti TEN-T

Il Parlamento europeo ha approvato il nuovo Regolamento sui Corridoi TEN-T. Il testo ha l’obiettivo di completare alcuni importanti collegamenti, aggiornando il piano europeo per una rete di ferrovie, strade, vie navigabili interne e rotte marittime a corto raggio collegate attraverso porti e terminali in tutta l’Unione.
di Giampaolo Basoli*
Corridoi TEN-T
Intervista

Pierluigi Petrone, Presidente Assoram: sfide globali e nuove competenze del comparto healthcare

Il comparto healthcare oggi si trova ad affrontare nuove sfide che vanno oltre gli anni della pandemia: le mutate esigenze dei consumatori, sempre più vicini all’e-commerce, e gli equilibri internazionali che condizionano logistica e distribuzione. Uno sguardo alle sfide del futuro con il Presidente di Assoram Pierluigi Petrone.
di Susanna Fara
scuola
Istruzione

La Scuola di domani: tecnologie digitali e valorizzazione delle eccellenze

Tecnologie digitali e una gestione oculata dei fondi per valorizzare le eccellenze e la qualità: è questa la prospettiva sulla Scuola italiana individuata da Alessandro Curioni, Docente (Università Cattolica di Milano) e Presidente di DI.GI Academy.
di Massimiliano Cannata
scuola
maternità surrogata
Società

Maternità surrogata: italiani contrari, solo dai giovani segnali di apertura

Il 62,9% degli italiani si dichiara oggi contrario alla maternità surrogata, e solo i giovani mostrano segnali di apertura, dal momento che il 58% dei 18-24enni si dichiara favorevole. Ma il tema è complesso e maggiormente avversato dall’opinione pubblica italiana, da Nord a Sud e a dispetto anche del titolo di studio.
di redazione
maternità surrogata
animali
Animali

Vivisezione, caccia, allevamenti intensivi: cresce la sensibilità degli italiani verso il benessere animale

I diritti degli animali contano sempre di più per una maggioranza di italiani: il 76% è contrario alla vivisezione, il 73% agli allevamenti intensivi. I temi etici legati agli animali raccolgono quote consistenti di italiani contrari anche rispetto a vivisezione, caccia, pellicce, uso degli animali nei circhi.
di redazione
animali
corruzione
Internazionale

G7 Anticorruzione, un fenomeno che richiede un’azione globale

Il tema corruzione entra in agenda al G7 con il Gruppo di lavoro anticorruzione, proposto dal nostro Paese per avviare una azione collettiva rispetto a un fenomeno diffuso. Tra i punto fondamentali, l’educazione fin dalla prima età alla cultura della legalità e l’acquisizione di metodi di misurazione della corruzione su basi oggettive.
di Avv. Angelo Caliendo*
corruzione