Lo smart working: una questione (anche) di Sicurezza Nazionale

In un mondo non troppo lontano dal nostro una Intelligenza Artificiale che volesse, in maniera graduale, assumere il controllo del Pianeta dovrebbe, innanzitutto, confinare il più possibile le attività umane, spingendole verso il cyberspazio. Più attività saranno confinate in tale dimensione, più l’uomo ne sarà dipendente e più l’Intelligenza Artificiale potrà gestire questo immenso flusso di dati e influenzare, senza quasi farsi scoprire, il corso della vita quotidiana e, in generale, il rapporto fra le Nazioni sovrane.

La pandemia causata dal Covid-19 ha imposto un cambiamento improvviso e brusco al nostro stile di vita, soprattutto in àmbito lavorativo. L’isolamento vissuto dalla gran parte dei lavoratori ha incrementato in maniera quasi prepotente l’utilizzo su larga scala del “lavoro agile” o smart working. Introdotto e disciplinato dalla legge 22 maggio 2017, n.81, quest’ultimo non deve essere confuso con il telelavoro che, sebbene non implichi necessariamente il lavoro “da casa”, ha carattere di maggiore rigidità, già per il semplice fatto che prevede una sede di lavoro ben precisa e degli orari prestabiliti. Lo smart working è, invece, più flessibile, non individua una specifica sede di lavoro e gli orari sono autogestiti dal lavoratore, in quanto l’approccio è “per obiettivi” e di rispetto delle varie scadenze.

Secondo lo studio condotto da Eurofound e dall’Organizzazione Internazionale del Lavoro, nel periodo precedente all’entrata in vigore della legge 22 maggio 2017, n.81, l’Italia era ultima in Unione europea per percentuale di adozione dello smart working e del telelavoro (pari al 7% rispetto ad una media europea del 17%, che raggiungeva picchi del 37% nei Paesi scandinavi). Dopo la citata novella, la quota di dipendenti italiani in smart working è cresciuta, ma sempre con numeri relativamente contenuti rispetto alla media europea.
Si tenga presente che, secondo alcune stime, in Italia i lavoratori dipendenti potenzialmente occupabili nello smart working sono 8 milioni e 359mila; nel Rapporto 2019 dell’Osservatorio Smart Working della School of management del Politecnico di Milano si legge che, nel periodo immediatamente precedente alla quarantena, hanno fruito del lavoro agile circa 570mila lavoratori (pari al 6,8% del totale potenziale), in crescita del 20% rispetto a quelli del 2018. Sempre secondo il Rapporto del Politecnico, sono stati avviati progetti strutturati di smart working dal 58% delle grandi imprese (in lieve crescita rispetto al 56% del 2018), dal 12% delle PMI (in crescita rispetto all’8% del 2018) e dal 16 % delle Pubbliche amministrazioni (raddoppiati rispetto all’8% del 2018). Nonostante il dato sia risultato in crescita in quest’ultimo settore, 4 PA su 10 non hanno progetti di smart working, mentre le restanti coinvolgono, in media, solo il 12% del personale dipendente in tali progetti.

Per far fronte all’emergenza da Coronavirus, la Pubblica amministrazione ha voluto incentivare – complice la costrizione derivante dai vincoli di distanziamento sociale – l’adozione dello smart working: è stata, quindi, emanata una circolare ad hoc che ha fornito ulteriori strumenti organizzativi per favorire il “lavoro agile”.
Gli effetti sono stati rilevanti in termini numerici: già dal mese di marzo, secondo un’indagine statistica della Doxa, il 73% delle aziende ha fatto ricorso massivo allo smart working. A fine aprile, invece, i nuovi dati elaborati dal Ministero del Lavoro e delle Politiche Sociali hanno evidenziato, complessivamente, 1.827.792 lavoratori attivi in tale modalità balzando, quindi, dal 6,8% di inizio pandemia al 22% circa.
In taluni casi le percentuali sono state molto più elevate: ad esempio, i dati provenienti dalle Regioni italiane hanno indicato una media di personale in smart working e telelavoro pari al 73,8%.

Tutto ciò ha inevitabilmente condotto, al di là dell’enorme cambio di paradigma nella gestione organizzativa, ad un vero problema generalizzato di sicurezza delle informazioni e, di conseguenza, anche di Sicurezza Nazionale, in particolare per il settore della Pubblica amministrazione. Innanzitutto, né le aziende né le Istituzioni avevano previsto tale modalità produttiva con carichi e volumi così grandi e, quindi, non avevano predisposto veri piani operativi per fronteggiarla. Peraltro, in molti casi più che di smart working si è trattato di lavoro casalingo.
A causa dell’assenza di piani operativi, si è assistito alla tendenza a confondere e mescolare ambienti personali e professionali. Molti dipendenti pubblici hanno utilizzato promiscuamente dispositivi privati per lavorare o, peggio, per connettersi alla Rete aziendale. Nella succitata circolare del 4 marzo, infatti, si legge che «si evidenzia l’importanza […] del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della Rete secondo le esigenze e le modalità definite dalle singole Pubbliche amministrazioni».

Principale conseguenza di ciò è che tutti questi nuovi dispositivi sono entrati a far parte della superficie di attacco della relativa organizzazione di appartenenza, incrementando a dismisura tale superficie e diventando, essi stessi, potenziali vettori di attacco e di diffusione di malware. La minaccia proviene da entità statali o gruppi state-sponsored (per motivi di spionaggio) e da cyber criminali (per motivi di guadagni economici). Molte aziende o Istituzioni, per arginare il problema, sono riuscite comunque a configurare VPN (virtual private network) in tempi molto rapidi. I dati raccolti mostrano che, dall’inizio dei lockdown nazionali, l’utilizzo delle VPN è aumentato del 165% a livello globale [10] sebbene, in tale statistica, l’Italia sia risultata in controtendenza, avendo registrato il tasso di incremento più basso nell’uso delle VPN di circa il 10%. Tuttavia, le VPN proteggono solo il canale di comunicazione tra il dispositivo e la Rete aziendale, mentre non offrono protezione da attività malevole originate dal (e nel) dispositivo stesso. Inevitabilmente, si ripresenta il problema di cui sopra: la connessione alla Rete aziendale tramite dispositivi esterni, privati, poco protetti, promiscui nel loro utilizzo costituisce una gravissima minaccia alla sicurezza, una grande vulnerabilità molto difficile da monitorare e controllare. Se, ad esempio, un dispositivo domestico venisse violato e venissero, quindi, rubate le credenziali VPN, il potenziale danno per l’organizzazione sarebbe immenso.

Altri obiettivi degli attaccanti sono i tool di lavoro a distanza, che in queste settimane hanno visto un incremento enorme del numero di utenti (Google Meet, Microsoft Teams, Zoom, Cisco Webex). Ad esempio, Checkpoint, società di ricerca sulla cybersecurity, in un Report pubblicato nel gennaio 2020, aveva segnalato vulnerabilità di sicurezza relative alla piattaforma di videoconferenza Zoom. Tali vulnerabilità avrebbero permesso ad un potenziale hacker di unirsi ad un video meeting e ascoltare le conversazioni, accedendo anche ad eventuali file condivisi nel corso della riunione. Durante l’emergenza sanitaria sono stati, inoltre, creati falsi siti Web che imitano e ricordano molto i siti “ufficiali”; dall’inizio dell’anno, ad esempio, sono stati creati circa duemila domini simili alla piattaforma Zoom. Sono stati scoperti anche falsi files eseguibili di installazione, chiamati con nomi simili a quelli utilizzati da Zoom e Microsoft Teams, che diffondevano malware sui computer degli utenti più ingenui e installando applicazioni fake.

Infine, le tattiche di ingegneria sociale mirate a indurre l’installazione dei malware sono molto efficaci se le vittime sono distratte e indebolite a causa di un diffuso clima di paura e incertezza, come accaduto proprio a causa della crisi da Covid-19. Lo scenario appena descritto ci porterà ad assistere, inevitabilmente, ad un aumento del numero di data breach – per coloro i quali saranno capaci di accorgersi di averli subìti – nei prossimi mesi.
Le piccole e medie imprese saranno le più colpite, considerata la già scarsa allocazione di fondi per la sicurezza: ad oggi gli investimenti nel settore rischiano di essere ancor più contenuti in ragione dello scenario di crisi economica da fronteggiare, in cui l’obiettivo principale a breve-medio termine sarà – o rischierà di essere – quello della semplice sopravvivenza aziendale. Tuttavia, anche le organizzazioni più grandi e che si avvalgono di team di sicurezza più sofisticati probabilmente ne risentiranno, in maniera indiretta, attraverso le relative catene di approvvigionamento, le quali sono costituite appunto dalle PMI, che in Italia rappresentano circa il 90% delle realtà aziendali.

Nella ricerca di una soluzione, le aziende e le Istituzioni dovrebbero, innanzitutto, investire in sistemi avanzati di gestione delle identità e degli accessi; inoltre, bisognerebbe implementare una segmentazione della Rete e adottare forti misure di autenticazione con sistemi automatizzati di controllo. Da questo punto di vista, lo smart working potrebbe offrire anche opportunità da cogliere: tra queste, l’estensione di nuovi modelli di lavoro virtuosi e sicuri – al fine di ridurre i costi operativi, le spese per i dipendenti e, al contempo, rispettare qualsiasi condizione di distanziamento sociale che potrà, eventualmente, essere imposta o consigliata dal Governo o dal datore di lavoro – potrebbe addirittura aumentare la produttività. Tali nuovi modelli richiedono un maggiore affidamento all’utilizzo di tecnologie remote, sicure basate sui servizi cloud e all’utilizzo della crittografia per proteggere i dati.
Infine, a prescindere dai menzionati aspetti tecnici ed infrastrutturali, si dovranno adottare dei veri piani operativi per ogni circostanza o evenienza, i quali, dopo essere stati valutati e codificati, dovranno essere soggetti ad un miglioramento e ad una verifica continua perseguibile, esclusivamente, tramite esercitazioni reali in simulazione di situazioni di crisi, che consentano di correggere i piani già adottati.

Ricercando un paragone con una realtà virtuosa già esistente da molti anni, codificata in àmbito militare, si può fare riferimento al cosiddetto Tirnav della Marina Militare. Qualsiasi marinaio sa – perché lo ha probabilmente sperimentato una o più volte nella sua carriera – cosa sia il Tirnav (per esteso Tirocinio Navale): periodicamente, ogni equipaggio delle Unità Navali viene sottoposto ad un programma (fino a due mesi) di continue esercitazioni condotte e supervisionate del Centro di Addestramento Aeronavale di Taranto. Un equipaggio “parallelo”, composto da esperti di ogni singolo settore si imbarca, quotidianamente, per simulare esercitazioni e attività operative reali, a difficoltà crescente, simulando assetti sempre più degradati. Al termine del Tirocinio Navale, ogni membro dell’equipaggio diventa parte integrante di un sistema che funziona ed è efficiente, capace di reagire in maniera consapevole e strutturata ad ogni situazione operativa o di crisi.

Sarebbe interessante valutare l’adozione del “modello Tirnav” in tutte le amministrazioni pubbliche (oltre che nelle aziende private), opportunamente calibrato rispetto alle specifiche esigenze di ogni realtà. Ad esempio, potrebbero essere simulati scenari di crisi in cui mettere in pratica tutti i vari protocolli di sicurezza di smart working e affini: simili esercitazioni permetterebbero di elevare le varie organizzazioni al raggiungimento di standard di efficienza molto più alti di quelli attuali, rafforzando e consolidando lo spirito di gruppo dei vari dipendenti e, in definitiva, rafforzando il Sistema Paese e la sua Sicurezza Nazionale.

Prof. Roberto De Vita, Presidente dell’Osservatorio Cybersecurity Eurispes –
Dott. Ing. Biagio Tampanella, esperto componente dell’Osservatorio Cybersecurity Eurispes

Ultime notizie
giovani
Società

Una riflessione su giovani, futuro, valori

In Italia i giovani credono in valori quali la democrazia, la salute, il valore del tempo libero, ma non hanno fiducia nelle possibilità di realizzazione che il nostro Paese può offrire loro.
di  RAFFAELLA SASO*
giovani
toscana 2050
Futuro

“Toscana 2050”: un progetto per anticipare il futuro

“Toscana 2050” è il primo progetto multidisciplinare nato per scrivere il futuro con un approccio inclusivo e partecipativo, coinvolgendo tutti gli attori della società, con un’attenzione particolare verso le scuole e i giovani e l’IA come tecnologia chiave di progettazione.
di Elena Vian*
toscana 2050
economia digitale
Tecnologia

Economia digitale, imprese italiane promosse ma c’è un gap nelle competenze

Economia digitale motore della crescita: secondo un recente report OCSE le imprese italiane superano la media OCSE per uso del cloud computing e di Internet of Things, ma al di fuori del contesto aziendale esiste ancora un gap nelle competenze digitali e nella formazione scientifica, ancora più evidente per le donne.
di Mariarosaria Zamboi
economia digitale
porti
Recensioni

I porti italiani hub energetici e di sostenibilità nel saggio di Sergio Prete

I porti italiani hanno un ruolo cruciale nella transizione energetica, per la sostenibilità e lo sviluppo dei traffici di materie prime con il Nordafrica, come spiega il saggio di Sergio Prete, Presidente dell’Autorità di Sistema Portuale del Mar Ionio e dell’Autorità Portuale di Taranto.
di Angela Fiore
porti
generazione
Società

I giovani e i loro obiettivi futuri. Rischi, valori e inquietudini di una generazione

La generazione giovane, meglio nota come Generazione Z, manifesta dubbi e timori rispetto ai rischi sociali ed economici che deve affrontare, nella consapevolezza di vivere in una epoca di incertezza e forte cambiamento a livello globale.
di Angela Fiore
generazione
piattaforme
Tecnologia

“Pagati per”: il business delle piattaforme che premiano passioni e attività quotidiane

La tecnologia, con la sua capacità di connettere persone e opportunità, ha dato vita a un nuovo modello economico basato su piattaforme digitali che pagano gli utenti per svolgere attività quotidiane o trasformare passioni in micro-redditi, ridefinendo così la relazione fra tempo libero, passioni e denaro.
di Mariarosaria Zamboi
piattaforme
Franco Ferrarotti
Società

Ricordo di Franco Ferrarotti. Per superare i contrasti proviamo a costruire un nuovo ellenismo

In ricordo di Franco Ferrarotti, padre della Sociologia italiana scomparso recentemente, una intervista che si propone come sintesi di diversi momenti di confronto avuti con lo studioso.
di Massimiliano Cannata
Franco Ferrarotti
donne e intelligenza artificiale
Donne

Donne e Intelligenza Artificiale, il rischio è alimentare il divario di genere

Come influirà sulla vita delle donne l’uso dell’Intelligenza Artificiale? Se lo sono chiesti gli autori del volume “Donne Controcorrente in AI e Innovazione”. Ad oggi, sappiamo che la scarsa rappresentanza femminile nei processi di creazione della IA rischia di perpetuare i pregiudizi di genere.
di redazione
donne e intelligenza artificiale
Intervista

La nostra Costituzione fatta di solidarietà e uguaglianza: intervista al Presidente Giovanni Maria Flick

Il Prof. Giovanni Maria Flick parla delle riforme che riguardano giustizia, premierato, e la recente autonomia differenziata che, se realizzate interamente dal governo attuale, cambieranno il volto della nostra Costituzione, nata sui principi in primis territoriali di solidarietà e uguaglianza.
di Antonio Alizzi
gioco
Gioco

Gioco pubblico contro il gioco illegale: il federalismo normativo non aiuta

Il gioco pubblico è una risorsa per imprese e lavoratori e nel contrasto al gioco illegale, ma la confusione normativa e la ghettizzazione del settore rischiano di non dare valore ai punti vendita generalisti, che da soli generano circa due terzi degli incassi per l’Erario.
di Angelo Caliendo*
gioco