Entro il 2050, si stima che il 70% della popolazione mondiale vivrà nelle città. Attualmente, in Italia, già oltre il 70% della popolazione è urbana. Pertanto, è fondamentale garantire già da oggi che le città forniscano un ambiente sicuro e piacevole in cui vivere e lavorare, in modo sostenibile e resiliente ai cambiamenti. Questo deve essere l’obiettivo di una “Smart City”. La PAS 180 di BSI descrive la Smart City come “una realtà che integra efficacemente i sistemi fisici, digitali e umani in un ambiente costruito per offrire un futuro sostenibile, prospero e inclusivo per tutti i suoi cittadini “.
Le tecnologie digitali e i dati associati rappresentano un’enorme opportunità per migliorare le esperienze e la qualità della vita in tutti gli aspetti della società, dalla casa al posto di lavoro, ai trasporti, ai servizi pubblici, alla salute, allo svago, all’agricoltura, allo shopping e alla distribuzione
L’ascesa dell’Internet of Things (IoT), in cui sempre più dispositivi sono interconnessi per scambiarsi dati e interagire con il minimo intervento umano, unita a un’intensiva analisi del software e a una connettività estesa, ci consente di monitorare e controllare i sistemi complessi presenti in una città a un livello senza precedenti, attraverso l’inclusione di sensori e attuatori collegati. In Italia, il mercato dell’IoT è stato pari a 3,7 miliardi di euro l’anno scorso, con un aumento del 30% rispetto al 2016. Tuttavia, tutta questa connettività ha un prezzo: la sicurezza delle informazioni. Quali sono le sfide delle città intelligenti per la cyber security? Aumento della superficie di attacco L’enorme crescita dei dispositivi connessi all’interno di una Smart City comporta un aumento delle possibilità di accesso per un potenziale attaccante.
In assenza di chiare indicazioni, standard e normative, i device connessi spesso non dispongono delle misure di sicurezza di base e consentono agli attaccanti di accedere facilmente ai sistemi, a potenziali fonti da dirottare (hijacking) per attacchi Denial of Service (DoS) e a obiettivi critici vulnerabili nell’infrastruttura stessa della città.
Mancanza di competenze
Esiste una carenza a livello mondiale di competenze specializzate in sicurezza delle informazioni, che si accentua nelle smart city in cui i governi locali/comuni lottano per attirare persone idonee in numero sufficiente a fornire loro una sicurezza efficace.
Diverse motivazioni di attacco
La città intelligente è soggetta a una vasta gamma di potenziali minacce, da attività criminali come ransomware, agli hacktivisti mossi da motivazioni politiche fino ad atti di terrorismo. Abbiamo visto a livello globale segnalazioni di violazioni della sicurezza, richieste di riscatto, perdite di dati personali, attacchi di tipo Denial of Service nei dipartimenti e nei sistemi governativi e municipali e anche attacchi a servizi pubblici e infrastrutture critiche che rappresentano una vera minaccia alla sicurezza delle persone. Man mano che le città intelligenti si evolvono e crescono, le questioni di cui sopra diventeranno più urgenti.
Questa minaccia è reale?
Assolutamente sì! Nell’ultimo anno sono stati segnalati attacchi informatici sulle infrastrutture delle Smart City negli Stati Uniti ad Atlanta, Baltimora, San Francisco, Charlotte e Dallas. Spesso l’attacco avviene attraverso ransomware e con una serie di potenziali impatti che vanno dal compromettere i dati, al Denial of Service, fino a interruzioni del servizio potenzialmente pericolose per le vite dei cittadini. In realtà i servizi più critici sono stati in grado di ripristinare un sistema alternativo (di solito manuale) di riserva. Tuttavia, la quantità e la gravità di questi attacchi sta aumentando, rendendo sempre più probabile un attacco potenzialmente mortale. I vettori di attacco più diffusi e gravi sono attraverso “Advanced Persistent Threats” (minacce avanzate persistenti) in cui gli hacker mirano ad accedere alle reti in modo nascosto e riescono a rimanere inosservati per lunghi periodi fino a raggiungere i loro obiettivi.
Cosa si può fare?
Questo è un argomento molto complesso. Tuttavia, di seguito sono riportate alcune semplici linee guida per evitare le insidie più comuni.
Strategia e resilienza
Prima di arrivare alle misure di sicurezza, questo non è solo un problema tecnico da risolvere per i team ICT. Coinvolge tutte le persone e tutti i sistemi che utilizziamo nel corso delle nostre vite. Il modo più semplice per ridurre le minacce alla sicurezza non è adottare una nuova tecnologia, perché si perderebbe un’enorme opportunità. Sebbene non esista un’unica soluzione per rendere “sicura” una città, ci sono
molte cose che possono essere fatte per consentire alle città e alle comunità di ottenere i benefici dalla tecnologia digitale connessa, riducendo al minimo i rischi. Questo dovrebbe far parte della strategia di resilienza di qualsiasi organizzazione. L’equilibrio tra essere difensivi (fermare le cose brutte che accadono) ed essere progressisti (facendo accadere cose buone) deve essere attentamente valutato.
Pensa in grande ma inizia in piccolo
Dove questa nuova tecnologia darà davvero un valore aggiunto? Concentrarsi inizialmente su queste aree, pensando in grande ma iniziando in piccolo, in modo controllato. Questo dovrebbe essere pensato nella strategia della città prima di impegnarsi con la tecnologia di una smart city.
Ottieni l’aiuto dagli esperti
Questo non è qualcosa che i comuni dovrebbero gestire da soli. La tecnologia, le minacce e gli scenari cambiano così velocemente che sono necessari veri esperti in materia per tenere il passo con le minacce.
Implementare una politica di sicurezza informatica end-to-end
Tendiamo a pensare alla sicurezza informatica in termini di controllo degli accessi alle nostre reti. Le principali vulnerabilità sono a entrambe le estremità del sistema. Che tu gestisca una città, una comunità, un’azienda o un’organizzazione, le regole di base sono le stesse. La sicurezza informatica inizia con i dati. La maggior parte degli attacchi continua ad entrare attraverso il phishing, la social engineering e simili. All’altra estremità del sistema ci sono i molti dispositivi IoT collegati in rete, spesso con pochissima sicurezza e con poca conoscenza o controllo a livello di sistema fornendo una superficie di attacco ampia e vulnerabile. Assicurati che la tua politica di Information Security sia completa, e che copra tutti i rischi. Come farlo in un ambiente in continua evoluzione? Lavora con esperti fidati.
Pensa alla sicurezza per tutto il ciclo di vita di un progetto
La sicurezza non è facile e non è un singolo passo nel processo. È fondamentale per la progettazione, la messa in servizio, l’uso, la manutenzione e la disattivazione del progetto. Se pianificato ed eseguito efficacemente durante la vita di un progetto, può essere la base per una “città intelligente” di successo, in cui i benefici della tecnologia intelligente possono essere realizzati da tutta la comunità.
