L’importanza di costruire sistemi resilienti: investire nella preparazione anche in caso di crisi legate dall’“ingegneria del caos”. Progettare i sistemi partendo dal presupposto che si possano rompere, dovrebbe essere la norma nella pianificazione delle infrastrutture
L’UE ha bisogno di una solida base digitale
L’Unione Europea ha recentemente esortato i propri cittadini a mettere da parte alcuni beni di prima necessità – acqua, cibo, torce, medicine – per almeno 72 ore in caso di gravi interruzioni. La raccomandazione, illustrata in un rapporto del Financial Times, fa parte di una spinta più ampia per migliorare la resilienza di fronte a eventi climatici, potenziali conflitti o problemi alle infrastrutture critiche.
Ma nel mondo sempre più connesso in cui viviamo, lo strato invisibile che sostiene ogni moderna risposta alle emergenze è il digitale. Dall’elettricità ai servizi di emergenza, dall’assistenza sanitaria alla logistica alimentare, tutto funziona in codice.
Incoraggiare la preparazione e la calma
Una delle strategie chiave di chi perpetra le minacce è diffondere il caos. Per questo motivo, è fondamentale non cadere vittime del panico, a favore del gioco degli attaccanti.
Ecco perché è essenziale affrontare questo argomento con razionalità, prospettiva e dati di fatto. Il rischio è possibile, ma essere preparati è uno strumento potente. E la resilienza digitale dovrebbe essere vista come un’estensione della pianificazione della sicurezza personale e pubblica: una ragione per pianificare in modo intelligente le azioni da compiere.
Minacce digitali e conseguenze fisiche
Se salta la corrente durante un temporale, la maggior parte delle persone prende la torcia di emergenza. Ma cosa succede se l’interruzione di corrente non è stata causata dal vento o da un picco di calore, ma da un attacco informatico?
Non si tratta di un’ipotesi. Nel 2015, oltre 230.000 residenti in Ucraina sono rimasti al buio durante un attacco informatico coordinato alla rete elettrica. I sistemi di backup sono stati disattivati. È stato necessario ripristinare le operazioni manualmente. Un secondo attacco l’anno successivo ha confermato che non si trattava di un caso isolato, ma del nuovo volto del conflitto moderno.
Nel 2021, l’incidente della Colonial Pipeline ha dimostrato come una singola password compromessa possa interrompere metà della fornitura di carburante agli Stati Uniti orientali. I voli vennero bloccati e le stazioni di servizio si svuotarono. Non si trattava di un disastro naturale, ma solo di un attacco ransomware.
Durante la pandemia COVID-19, gli attacchi informatici agli ospedali europei hanno avuto conseguenze critiche.
E sempre più spesso gli aggressori non hanno nemmeno bisogno di chiudere i sistemi per creare danni. Durante la guerra tra Russia e Ucraina, deepfake, falsi ordini di evacuazione e campagne di disinformazione hanno invaso i social media, minando la fiducia nelle istituzioni e creando una confusione diffusa.
Resilienza delle infrastrutture e investimenti di budget
La resilienza non inizia dal firewall, ma dalla strategia. E purtroppo, in molti settori critici, questa strategia manca o è sottofinanziata.
La sicurezza informatica non è solo un problema aziendale ma pubblico, con piccole e medie imprese, amministrazioni comunali e persino il settore agricolo sempre più digitali e vulnerabili.
· Gli agricoltori si affidano alla tecnologia operativa (OT) per gestire i raccolti, l’irrigazione, lo stoccaggio e la distribuzione. Questi sistemi sono spesso connessi, ma non protetti. Un attacco informatico mirato potrebbe bloccare le consegne di cibo in intere regioni.
· Le PMI costituiscono la spina dorsale delle economie europee. Se le loro attività vengono interrotte – che si tratti di logistica, produzione o vendita al dettaglio – le catene di approvvigionamento crollano, i mezzi di sostentamento vanno dispersi a sfavore delle comunità locali.
· I servizi pubblici sono altrettanto fragili. Dai sistemi di traffico alla programmazione ospedaliera, le operazioni comunali si svolgono sempre più spesso su binari digitali. Un singolo cyberattacco riuscito potrebbe mettere fuori uso i servizi cittadini e provocare ripercussioni in tutta la regione.
Molti di questi enti non dispongono di budget, personale o competenze per difendersi.
Cosa dovrebbe fare il governo
L’onere della resilienza non può ricadere solo sui cittadini o sulle organizzazioni, che comunque posseggono risorse limitate. Raccomandare l’acquisto di batterie e acqua in bottiglia è un inizio, ma il vero obiettivo dovrebbe essere quello di mettere in sicurezza i sistemi da cui dipendono queste forniture.
La direttiva NIS 2 dell’UE è un passo importante nella giusta direzione. Espande i requisiti di sicurezza informatica a un maggior numero di settori, impone una segnalazione più rigorosa degli incidenti e conferisce alle autorità di regolamentazione le capacità di applicazione. Inoltre, adotta un approccio “all-hazards”, riconoscendo che le minacce fisiche, informatiche e ibride sono sempre più indistinguibili.
I governi devono garantire che i finanziamenti raggiungano le amministrazioni locali, i settori critici e le PMI, non solo le grandi istituzioni. Devono sostenere l’aggiornamento professionale, l’intelligence condivisa e le iniziative pratiche di resilienza in tutti i settori.
Dalla tecnologia alla strategia: IA, ingegneria del caos e il ruolo dei CISO
In tempi di complessità, l’IA può rappresentare una svolta. Può aiutare a rilevare e mitigare le minacce in tempo reale, spesso prima che i team tecnici se ne accorgano. I firewall potenziati dall’intelligenza artificiale, l’analisi comportamentale e il rilevamento delle anomalie possono aumentare significativamente la protezione, soprattutto se abbinati a pratiche ricorrenti di igiene come il patching e la segmentazione.
La vera resilienza richiede un’architettura che anticipi le criticità. L’“ingegneria del caos”, ovvero il concetto di progettare i sistemi partendo dal presupposto che si romperanno, dovrebbe essere la norma nella pianificazione delle infrastrutture. Esercitazioni, simulazioni e piani di continuità operativa devono essere esperienze messe in pratica, non liste di controllo teoriche.
L’interruzione di Heathrow, ad esempio, non è stata un attacco informatico, ma un perfetto caso di studio di pianificazione della continuità venuta meno. Scambiando i generatori di corrente, testando i backup e praticando scenari di black start si sarebbe potuto evitare il caos.
Un percorso lineare e chiaro per il futuro
Non tutte le crisi saranno attacchi informatici. Ma ogni crisi ha un livello digitale e questo livello deve essere protetto.
È essenziale bilanciare vigilanza, serenità, prudenza e preparazione. Bisogna costantemente difendere la protezione sistemica, perché da essa dipendono sempre di più il nostro cibo, l’acqua, l’energia, le comunicazioni e l’assistenza sanitaria.
La preparazione deve basarsi su infrastrutture ben finanziate
Oltre a chiedere ai cittadini di fare scorte di cibo e batterie, la vera preparazione inizia molto prima, con infrastrutture ben finanziate, una strategia chiara e sistemi digitali che funzionano sotto stress.
È necessario costruire sistemi resilienti e investire nella preparazione anche in caso di crisi.