Cybersecurity e Smart city: luci ed ombre di città interconnesse
Le smart city vengono generalmente definite come quelle città che, a seguito di investimenti in capitale umano e sociale, nonché in infrastrutture tradizionali (es. trasporti) e moderne (es. ICT), alimentano uno sviluppo economico sostenibile ed una elevata qualità della vita. Questo altissimo standard è reso possibile attraverso una gestione ottimizzata delle risorse. Quest’ultima avviene tramite l’interconnessione delle infrastrutture e attraverso l’utilizzo di dispositivi come – ad esempio – contatori di energia intelligenti, dispositivi di sicurezza, elettrodomestici e automobili smart o sistemi di videosorveglianza.
Negli ultimi tempi stanno nascendo e crescendo diversi progetti di smart city, tant’è che il 60% dei Comuni con popolazione superiore a 20.000 abitanti – secondo il rapporto “Il Digitale in Italia 2016” di Assinform – ne ha avviato almeno uno, sebbene il 53% di essi abbia natura sperimentale e solo il 30% natura strutturale, con lo scopo di migliorare la vivibilità della città.
Intelligenza, dati, privacy: sviluppo e rischi
Come è facilmente immaginabile, rendere le nostre città sempre più “intelligenti” le espone a divenire appetibili obiettivi per gli hacker. Una simile gestione si basa, infatti, sul continuo scambio di dati tra infrastrutture e dispositivi intelligenti che – a loro volta – raccolgono dati degli utenti. Il rischio di un attacco ai servizi critici di una smart city è molto elevato e, qualora si verificasse, potrebbe generare un serio danno alla privacy dei cittadini. Un aspetto, quest’ultimo, che potrebbe incidere in misura esponenziale sullo sviluppo di un settore che – a livello globale – viene valutato in centinaia di miliardi di dollari.
In effetti, lo scenario che abbiamo ogni giorno sotto gli occhi conferma che attacchi informatici e cybercrime fanno parte del mondo ICT quanto la sua diffusione. Già durante il 2016 abbiamo assistito ad un aumento degli episodi criminosi che hanno colpito Twitter, Financial Times, Spotify, Reddit, eBay e New York Times. L’Associazione Italiana per la Sicurezza Informatica ha rilevato – nel 2016 – una crescita del 9% del cybercrime sull’ultimo semestre del 2015; malware e ransomware segnano un + 129% e sono in forte crescita anche phishing e social engineering. Inoltre, viene evidenziato che il 57% degli attacchi gravi compiuti contro organizzazioni pubbliche e private sono stati effettuati con tecniche non sofisticatissime, come DDoS, malware e ransomware. Ciò dimostra quanto i nostri sistemi di difesa e protezione siano inadeguati nell’affrontare eventuali attacchi critici.
La risposta al rischio
Le istituzioni nazionali e internazionali si stanno muovendo per fronteggiare questi rischi, con lo scopo di garantire – tra le altre cose – la sicurezza dei dati personali. L’UE, ad esempio, sta finanziando – attraverso lo strumento finanziario “SC7 – Secure societies – Protecting freedom and security of Europe and its citizens” compreso nel programma di ricerca e innovazione “Horizon 2020 The EU Framework Programme for Research and Innovation” – alcuni progetti volti nello specifico a ridurre il cyber risk.
A progetti di natura prettamente tecnica per garantire la sicurezza dei nostri dati personali, si aggiungono i recenti, e significativi, interventi di tipo normativo. Nell’aprile 2016 l’Unione Europea ha adottato la GDPR (General Data Protection Regulation). Il nuovo regolamento europeo sulla protezione dei dati (Reg. UE 2016/679) fornisce degli spunti interessati in tema di sicurezza dei dati personali, grazie all’introduzione di nuovi concetti, tra cui quello di privacy by design.
Significa, in sintesi, protezione dei dati fin dalla progettazione di un trattamento dati. Impone l’adozione di misure tecniche e organizzative adeguate tenendo conto dello “stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità”. Le misure dovranno essere adottate durante l’intero ciclo di vita del dato personali, dal momento della sua acquisizione fino alla cancellazione. Esse dovranno garantire l’esattezza, la riservatezza, nonché l’integrità del dato personale.
Il Regolamento Europeo e il controllo del cyber risk
Il Regolamento, al suo interno, segnala inoltre alcune misure di sicurezza utili per ridurre il cyber risk, tra cui: cifratura, anonimizzazione e pseudonomizzazione. Quest’ultima permette che “i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art.4 comma 1, punto 5, Reg. UE 2016/679). Non essendo una vera e propria tecnica di anonimizzazione del dato, si limita a ridurre la correlabilità di un insieme di dati all’identità originale di una persona interessata. Per la GDPR questa misura è utile ed efficace per ridurre i rischi per gli interessati e aiutare titolari e responsabili del trattamento a rispettare i loro obblighi.
Oltre al principio della privacy by design, la GDPR per combattere il rischio di attacco informatico ha introdotto il cosiddetto PIA (Privacy Impact Assessment). Esso contiene un’attenta e precisa analisi del rischio, con lo scopo di prevenirlo e minimizzarlo. Contiene inoltre la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite, la valutazione dei rischi per i diritti e libertà degli interessati, nonché le misure previste per affrontarli, includendo garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la compliance alla GDPR.
Disaster Recovery e proattività per le smart city
Sempre in un’ottica di maggiore protezione dei dati dei cittadini delle smart city saranno utili procedure di disaster recovery (previste anch’esse dall’art.32 della GDPR), le quali consistono in una serie di misure tecnologiche e logistico/organizzative che hanno lo scopo di ripristinare sistemi, dati e infrastrutture in caso di attacco informatico. Questi processi saranno di fondamentale importanza per tutelare i dati e garantire maggiore sicurezza ai cittadini delle città intelligenti. La GDPR – attraverso l’introduzione dell’insieme di simili concetti riguardanti la cybersecurity – permette un’adeguata e corretta gestione del rischio derivante dagli attacchi informatici.
La cultura evoluta di una sicurezza informatica proattiva, dovrà essere parte fondamentale di progetti innovativi di tale portata che coinvolgono infrastrutture critiche e utilities fondamentali per il benessere e lo sviluppo di aree urbane connesse. Non può – e non deve – essere intesa come una soluzione “una tantum” né potrà essere considerata come uno step successivo nella costruzione di una smart city. Al contrario deve esistere come parte integrante del processo, consentendo una valutazione specifica delle differenti varianti di rischio, nonché quale successiva attività di monitoraggio sulla probabilità di avveramento e sui possibili effetti dannosi.