50 sfumature di smart: sicurezza, governance, sostenibilità

di Ilaria Garaffoni

Ormai tutto è definito smart. Che può essere tradotto come intelligente, ma anche reattivo, con una forte capacità di adattamento, di problem solving, di risposta agli stimoli esterni. Dal punto di vista tecnologico tutto ciò che è intelligente prevede funzionalità evolute e spesso automatizzate. Allargandosi a temi macro, come smart city, smart economy, smart governance, il lemma “smart” racchiude i concetti di qualità della vita e sostenibilità, grazie all’utilizzo intelligente delle tecnologie. Il primo Talk Show della tre giorni di secsolutionforum2024 era proprio dedicato a come rendere competitiva la sicurezza in un mondo Smart.

Per analizzare la questione, il comitato scientifico di secsolutionforum2024 ha deciso di partire dalla fine, ossia dalla parola smart: giocando con gli acronimi, si è visto che il capolettera S può stare per sicurezza, ma anche per servizi, supply chain, sostenibilità anche sociale ed economica e che la lettera M può stare per management; la lettera A per awareness, la R per responsabilità e la T per tecnologia.

Partiamo dal capolettera S, ossia dalla Security, in questo caso Cyber, e in particolare all’AI (utilizzata sia per gli attacchi, sia per la difesa). Il Presidente di Hitachi ha dichiarato che entro il 2050 i data Center avranno bisogno di 1000 volte più energia elettrica per alimentare tutte le tecnologie di intelligenza artificiale. Quanto consuma l’AI? Come si concilia con la sostenibilità?

Alvise Biffi, Vicepresidente di Assolombarda 

L’ho chiesto direttamente a ChatGPT ma la sua risposta è stata evasiva (“dipende dagli algoritmi, dalla domanda, da una serie di fattori”). L’Università di Washington ha però calcolato che una ricerca con AI consuma 4/5 volte l’energia di una ricerca tradizionale. AI Hugging Face e la Carnegie Mellon University hanno calcolato che centinaia di milioni di interrogazioni su ChatGPT possono consumare fino a un gigawattora al giorno (il consumo di 33mila famiglie statunitensi!), che l’addestramento consuma 1300 MW e che la generazione di immagini costa energeticamente 2900 MW (pari a 3 milioni di ore di streaming su Netflix). E la prospettiva è di forte incremento: 134 taw all’anno sarà il consumo necessario all’AI entro il 2027 ... poco più dell’attuale consumo annuale del Belpaese. L’agenzia internazionale dell’energia prevede che il fabbisogno al 2026 potrà arrivare fino a 1000 T (i consumi annuali della Germania). E non dimentichiamo l’acqua necessaria per raffrescare i Data Center: Google ha dichiarato +20% nei consumi d’acqua; Microsoft +34% e a livello mondiale si stima un consumo di 6 miliardi di MC (metà del consumo annuale d’acqua in UK). Le soluzioni? L’industria, sia hardware che software, sta rendendo più efficienti e meno energivori i prodotti: dal quantum computing, alle tecnologie per il raffrescamento e il riutilizzo del calore in un’economia circolare, fino agli algoritmi più energeticamente efficienti.
Il tutto abbinato ad un uso massivo delle energie rinnovabili. Da professionista della Cyber Security, il suggerimento è: investite in sicurezza cyber perché, oltre a difendere la vostra azienda, riducendo la superficie d’attacco e le possibilità di utilizzo di AI a vostro danno, farete bene anche al pianeta. 

Basta che un un sensore sia collegato e lo chiamiamo smart: ma è davvero così? Quando la sicurezza fisica è realmente smart? Quali sono le precondizioni perché un ambiente (che sia casa, città, azienda o mercato) possa essere tecnologicamente smart? 

Giulio Iucci, Past President di ANIE Sicurezza 

Partiamo da un assunto: saper parlare non è sufficiente per saper anche dire delle cose intelligenti. Il fatto che un sensore sia collegato e fornisca delle informazioni non implica di per sé alcuna intelligenza tecnologica: quel sensore è smart solo se produce un valore aggiunto. Un processo di sicurezza fisica smart deve saper consentire una comprensione globale di tutto quello che accade con una valutazione tempestiva del presente che permetta di immaginare delle situazioni emergenziali in maniera predittiva. Significa dunque in primo luogo semplificare il grande volume di dati raccolti e generare delle matrici di confronto per portare efficienza e efficacia nell’analisi degli scenari al fine di snellire ed efficientare il processo decisionale. Il tutto tramite un “cruscotto” tecnologico, basato su AI, che consenta di trasformare dei dati grezzi in informazioni fruibili e utili. Per fare ciò serve una visione strategica dell’architettura che permetta di operare un’analisi costante e immediata di tutto ciò che accade sul campo. Poi serve un bit rate di collegamento adeguato alla mole di dati, considerato anche che l’AI impara man mano che i dati vengono elaborati. Si tratta dunque di un lavoro dinamico: si parte da un’architettura, da un’analisi dei rischi e da un’analisi di ciò che si vuole ottenere (cosa affatto scontata in una smart city, visto che lì non si tratta solo di sicurezza, ma anche di “educazione civica”, salute , riqualificazione di un territorio, servizi alla cittadinanza, logistica e molto altro). E poi c’è la supply chain: in questo flusso tutti gli attori devono essere adeguati: basta che un solo anello della catena sia debole per pregiudicare l’efficacia dell’intero sistema. In genere ci si concentra solo sugli anelli “forti” (come le infrastrutture critiche) e non anche sull’intera catena di fornitura, che invece è molto più attaccabile. 

Serve anche uno smart management di sicurezza: sappiamo affrontare scenari nuovi e parzialmente imprevedibili come il terrorismo o i disastri ambientali? Sul tema cyber, tra l’altro, per le infrastrutture critiche - e qua mi rivolgo a lei come Security Manager di A2A - si avvicina la scadenza per la compliance alla NIS 2: quanto impatterà sul sistema Italia? 

Alessandro Manfredini, Presidente di Aipsa 

La parola chiave è Management: il Security manager deve essere smart nella stessa misura in cui lo deve essere ciascun manager. Deve essere formato, aggiornato, godere di requisiti di indipendenza, disporre di autonomia gestionale e budget dedicato. In sostanza dev’essere riconosciuto dalla sua organizzazione con un commitment. Con questi presupposti si può applicare quell’intelligenza manageriale del fare per obiettivi e del fare in modo sostenibile attraverso un processo che parte dall’analisi del rischio. In tal senso si sente ancora troppo spesso parlare di cigno nero: temo che in molti casi ci cerchino alibi per non aver previsto eventi che avremmo invece dovuto essere preparati a gestire. Dall’attacco cibernetico al disastro naturale a uno scossone giudiziale: questo panorama di incertezza caratterizza il nostro tempo e ha portato il legislatore europeo alla NIS2 e alla direttiva CER. Quest’ultima contempla anche i disastri naturali. Sul tema terrorismo, se è vero che il Security Manager di una realtà privata - ancorchè strutturata - non può gestire in maniera totalmente autonoma e indipendente un rischio con un impatto di magnitudo talmente ampia, deve però prenderlo in considerazione. Questo in un’ottica di sicurezza “partecipata”, dove nemmeno lo Stato è in grado da solo di erogare un livello di sicurezza nazionale che abbracci tutti i rischi.

Spesso le leggi arrivano tardi (ed è fisiologico), ma in molti casi - diciamolo - sono solo un modo per scaricare responsabilità e balzelli sulle imprese. Come si può legiferare in modo smart? Come giudica la produzione normativa europea sulla protezione del dato, che tanto impatta sul settore della sicurezza fisica? Nella filiera della privacy c’è una visione “di supply chain” come abbiamo visto nel mondo cyber? 

Pierluigi Perri, Avvocato Professore di Sicurezza Informatica privacy e protezione dati sensibili dell’università Statale di Milano 

Riprendo un concetto caro a quanti si occupano di sicurezza: il processo. La sicurezza è un processo come lo sono le norme: dalla protezione del dato personale del 2016 alle ultime normative che si occupano di Cyber Security si è assistito ad una maturazione del legislatore, frutto anche di contaminazioni con altre fonti (penso alle nome ISO) e che rende le normative più smart. Rispetto alle norme che si occupavano di compliance richiedendo misure per difendersi da un “nemico immaginario”, queste ultime norme consentono di affrontare le sfide necessarie a rendere gli enti resilienti e resistenti rispetto a indici di minaccia sempre più sofisticati. Due i concetti più innovativi nella NIS 2: la “solidarietà” (intesa come condivisione delle informazioni di divulgazione coordinata delle vulnerabilità) e la cooperazione. Concetti che dimostrano come sicurezza e Cyber Security siano ormai un tema sistemico che non si può racchiudere nell’esperienza isolata di una specifica realtà, ma che può perturbare un intero segmento di una filiera. Lo scambio di informazioni nasce dalla partnership tra pubblico e privato e si collega al concetto di governance: la sicurezza non è più qualcosa “da adottare” ma qualcosa che deve essere gestita – e con un approccio manageriale. La sicurezza cyber non può essere più un nice to have ma dev’essere un must have. Le norme non possono far altro che imporre questo concetto; ciò non significa però che si tratti di ingiusti balzelli. Certamente la sicurezza presenta dei costi il cui valore si percepisce purtroppo solo quando se ne ha bisogno, ma è proprio questo concetto che va smantellato. Quanto alla supply chain, al centro di tutte le normative di Cyber Security, l’idea è creare un circolo virtuoso con un obbligo di verifica da parte di chi contrattualizza i fornitori e un obbligo di sicurezza da parte dei fornitori, per i quali la Cyber Security è ormai un requisito per stare sul mercato.

Se le tecnologie sono l’ossatura portante di tutto ciò che è smart, non c’è però tecnologia che possa dirsi smart senza una progettazione a monte che sia smart. Cosa significa progettare la città in modo intelligente in tutte le accezioni che abbiamo già enucleato?

Alessandro Bove, Ricercatore di tecnica pianificazione urbanistica dell’università di Padova 

Tempo fa abbiamo cominciato a ragionare sull’impatto della tecnologia nella società attraverso l’industria 4.0; oggi si discute già di società 5.0: il focus si è quindi spostato dalla produzione a temi squisitamente sociali come obiettivo finale delle tecnologie, che devono giungere anche a migliorare la qualità della vita e a rivolvere problemi di natura sociale (come la sostenibilità, ma non solo). In questo percorso la progettazione, se vuole essere smart, non può seguire pedissequamente la tradizionale “regola del progetto” (formulo delle ipotesi, faccio dei calcoli, trovo la soluzione) ma deve perseguire l’obiettivo di aggiungere valore anche sul piano sociale. Questo nuovo approccio impone di mettere al centro le materie Stem (alle quali aggiungerei la robotica), ma anche tutte le materie umanistiche che riguardano il benessere della persona, pensiamo solo all’arte. Questo pone nuove e imprevedibili complessità. Ponendosi in sostanza l’obiettivo di semplificare la vita, la progettazione in questo non si semplifica: al contrario aumenta esponenzialmente di complessità. La tecnologia può aiutare a creare benessere, ma un elemento essenziale per il successo è la partecipazione della cittadinanza, non solo come soggetto passivo ma come soggetto attivo di una smart city. Qualcuno di Star Trek diceva “saranno anche i guerrieri a conquistare la gloria, ma sono gli ingegneri che costruiscono la società”. Ebbene, il progettista ha un ruolo chiave nella smart city essendo uno specialista capace di entrare nel dettaglio delle tecnologie, ma al contempo un coordinatore capace di far dialogare una pluralità di specialisti con competenze interdisciplinari. Questo skill è essenziale per coinvolgere la società in un’ottica di partecipazione 5.0.

Sicurezza come responsabilità sociale 

Anziché adeguarsi alla norma e alle richieste dei consumatori, le aziende possono scegliere di rendere i diritti sulla privacy dei dati una priorità e una parte dei loro piani CSR (Corporate Social Resposability) ed ESG (Sustainability, Environmental, Social and Governance). Quindi esiste già un concetto di responsabilità sociale legato alla sicurezza del dato e alla privacy, che affronta la protezione dei dati come una strategia aziendale, piuttosto che come una questione di compliance. Anche la sicurezza fisica (quella cyber è un dato di fatto) può senza dubbio essere considerata un tema di responsabilità sociale: pensiamo ad un supermercato che, grazie alle sue tecnologie di sicurezza, di fatto riqualifica un’area e la restituisce alla collettività. Ma la responsabilità sociale si lega strettamente al tema dell’etica. Sul tema, il Wall Street Journal ha esplorato un tema curioso: per far sì che l’AI funzioni, ci sono milioni di persone, spesso reclutate in paesi in via di sviluppo, che svolgono lavori noiosi, ripetitivi e sottopagati. Penso al “data labeling” (“etichettare” i dati audio, video, foto o testi per migliorare il rendimento delle tecnologie a machine learning) o al “reinforcement learning with human feedback” (“apprendimento rinforzato con feedback umano” per perfezionare l’AI, usato anche nella videosorveglianza e spesso “dimenticato” quando si calcola il TCO). Credo sia ora di aprire una discussione seria su etica e sostenibilità economica dell’industria della sicurezza (Ilaria Garaffoni, giornalista, Responsabile di Redazione di Secsolution Magazine)