Cybersicurezza e sostenibilità si incontrano e si intrecciano. C’è più di un punto di contatto fra queste due sfere, intendendo il concetto di sostenibilità nella sua accezione ampia, che considera non solo gli impatti ambientali di un fenomeno ma anche gli aspetti economici e sociali. La sovranità digitale, l’integrazione fra IT e OT e la privacy sono i tre ambiti di contatto più significativi, come evidenziato da una nuova ricerca condotta dalla Fondazione per la Sostenibilità Digitale con il contributo di Gyala, azienda italiana che si occupa di sicurezza cyber degli ambienti IT e OT.
“Il digitale può essere un abilitatore di sostenibilità e permette di agganciare questo concetto non solo al tema green ma a tutti gli obiettivi dell’Agenda 2030”, ha commentato Simona Piacenti, direttore marketing e comunicazione di Gyala. “Tutte le aziende percepiscono il ruolo della sovranità digitale: è noto che in ambito cyber di tecnologie italiane ne esistano poche e che il mercato sia dominato da multinazionali estere”. Lo studio, realizzato tramite questionario e focus group su Cio, Ciso, docenti e ricercatori italiani, ha evidenziato che la sovranità digitale nella cybersicurezza è considerata molto rilevante per garantire soprattutto la sostenibilità economica e, a seguire, quella sociale e quella ambientale.
Ma come si ottiene una buona sovranità digitale? L’elemento più rilevante, secondo questo studio, garantire che i dati aziendali coperti da segreto industriale e quelli delle infrastrutture critiche nazionali non possano essere acquisiti da Stati esteri. A seguire, è importante anche garantire che non siano acquisiti da Stati esteri anche i dati delle infrastrutture energetiche e quelli sanitari relativi ai pazienti.
Fonte: Fondazione per la Sostenibilità Digitale e Gyala, "Sostenibilità e cyber sicurezza", aprile 2024
“Il modo in cui le nostre tecnologie sono nate e sviluppate si vede riflesso nei dati emersi da questo studio”, ha commentato Nicola Mugnato, chief technology officer e cofondatore di Gyala, con alle spalle una più che ventennale carriera nella sicurezza informatica (nel suo curriculum anche il ruolo di responsabile della cybersicurezza del Gruppo Finmeccanica). “Tutte le nostre infrastrutture sono italiane, il nostro personale è italiano e il software è stato sviluppato in Italia”. In conferenza stampa, Mugnato ha fatto notare che a maggior parte della aziende italiane del settore cybersicurezza si occupa di offrire servizi, mentre Gyala ha sviluppato internamente la propria piattaforma software, Aegger, definita come una soluzione per la resilienza IT e OT.
il termine latino agger, cioè terrapieno, argine difensivo, allude sia all’orgine geografica sia alle caratteristiche di questa tecnologia che è stata inizialmente pensata per il settore della difesa, tant’è che impiega anche algoritmi di machine learning sviluppati in ambito militare e aeronautico. Agger si compone di cinque moduli software: Edr (rilevamento e risposta alle minacce agli endpoint), sicurezza di rete, correlazione degli eventi, gestione del rischio (basato su standard internazionali) e strumenti agentless specifici per la difesa OT (per apparati su cui non è possibile installare degli agent, come sistemi medicali, macchine industriali e router). Focalizzata, inizialmente, su clienti del settore della difesa, l’azienda ha allargato il proprio raggio anche agli ambiti della sanità e dell’energia. Nel 2022 ha aperto il proprio capitale a fondi d’investimento italiani, raccogliendo 5 milioni di euro da Cdp Venture Capital e altri investitori (tra cui Azimut Libera Impresa e Italian Angels for Growth).
L’italianità di questa tecnologia non si traduce, tuttavia, in uno sguardo ristretto. “Abbiamo constatato nella nostra esperienza di lavoro che i servizi di threat intelligence messi a disposizione da vendor esteri possono non includere tutte le informazioni, escludendo quelle che riguardano il proprio Paese”, ha dichiarato il Cto di Gyala. “Una delle nostre scelte compiute fin dall’inizio è stata quella di acquistare fonti di threat intelligence da tutto il mondo per metterle a disposizione dei nostri clienti. Fra queste anche VirusTotal, che comprende 72 tecnologie da tutto il mondo”.
Nicola Mugnato, Cto e fondatore, e Simona Piacenti, direttore makerting e comunicazione di Gyala
Tornando alla ricerca sul rapporto tra sostenibilità e cybersicurezza, un’altra area di contatto è quella dell’integrazione fra sistemi informatici e Operational Technology. “ I sistemi OT sono diventati la principale superficie d’attacco specie negli ospedali”, ha sottolineato Piacenti. “Uno dei nostri clienti ha subito un attacco in cui si è cercato di entrare nella rete attraverso una macchina di radiologia. IT e OT non si parlano, creando un divario che rappresenta un rischio”.
L'integrazione IT/OT viene giudicata rilevante soprattutto per la sostenibilità ambientale, perché i software di raccolta e analisi dei dati servono per la visibilità, la rendicontazione e l’ottimizzazione dei consumi energetici. In contesti come fabbriche, centrali elettriche, grandi ospedali, misurare le emissioni degli apparati OT è parte integrante degli sforzi di transizione verde e anche di riduzione della spesa energetica (da cui il collegamento con la sostenibilità economica). Secondo il 66% del campione d’indagine, per integrare sicurezza IT e sicurezza OT servono criteri di progettazione orientati alla “security by design”. Il 61% concorda sul fatto che la sicurezza dell’intera supply chain tecnologia sia importante per la sostenibilità.
“Un nostro obiettivo fin dall’inizio era di coprire tutti i sistemi operativi, anche legacy, ancora in utilizzo nel mondo OT”, ha detto Mugnato. “Nel settore pubblico, nell’energia e nella sanità capita spesso di trovare software non più supportati dal vendor perché le macchine acquistate, costose, non vengono dismesse prima del fine vita. Questo è comprensibile ma crea dei problemi di sicurezza gravi”.
Fonte: Fondazione per la Sostenibilità Digitale e Gyala, "Sostenibilità e cyber sicurezza", aprile 2024
La terza area di contatto fra cybersicurezza e sostenibilità è la privacy. Una fuga di dati impatta soprattutto sulla dimensione sociale, per i rischi e disagi causati ai cittadini coinvolti (e specie ai cittadini nella loro veste di pazienti, in caso di fuga di dati sanitari). Ma in una data breach è in gioco anche la sostenibilità economica di un’azienda per via delle multe per mancata compliance e per i danni di reputazione che possono derivarne.
“Alcune aziende vivono il tema della privacy solo come rispetto del Gdpr”, ha osservato Mugnato. “Nell’IT degli ospedali esiste un buco nero della privacy che è l’ingegneria clinica, dove vengono trattate molte informazioni sensibili. La situazione cambierà con la Nis2, anche se in realtà è un tema che già avrebbe dovuto essere affrontato con la Nis, che già nel 2018 affermava la necessità di proteggere le infrastrutture IT. Purtroppo siamo in ritardo, gli investimenti sono ridotti ma ci auguriamo che con la Nis2 la situazione migliori”.