La trasformazione globale al digitale è un fenomeno già in atto. E caratteristiche ed effetti di questa vera e propria rivoluzione coinvolgono in modo significativo tutti i settori. Nel panorama che si sta configurando, appare di primaria importanza armonizzare la coesistenza di alcuni elementi, a volte, se non accuratamente gestiti, in contrasto fra loro: flessibilità ed agilità del metodo di lavoro, riduzione radicale dei costi, competenze adeguate e, immancabilmente, la sicurezza.
Per questo motivo ANSSAIF, l’Associazione Nazionale Specialisti della Sicurezza in Aziende di Intermediazione Finanziaria, ha organizzato una giornata di studio – alla quale interverranno personaggi afferenti al pubblico, al privato e agli ambienti associativi – con l’obiettivo di redigere un documento che, partendo dalle molte e positive iniziative in corso, propone interventi migliorativi da presentare alle Istituzioni e alle parti sociali. E’ inoltre importante notare che proposito dei lavori è anche quello di convergere non solamente sulle questioni legate agli ambienti di business ma prendere in considerazione anche la dimensione propria del patrimonio per i cittadini.
Si deve tener presente, come spesso rammentiamo, che l’analisi del contesto, al fine di individuare correttamente i rischi, è un’attività fondamentale. Lo stesso assioma dei modelli di organizzazione che recitava prima pianifica e poi fai, controlla e migliora si è modificato in prima pianifica e previeni, poi fai, controlla e migliora. E queste nuove implicazioni – o meglio, considerazioni già mature da anni, ora rese più esplicite nell’ambito normativo internazionale – incontrano e si scontrano con una complessità ed instabilità non indifferente, in costante fermento. A seguire riportiamo brevemente solamente alcune considerazioni che ci aiutano a percepire la vastità del panorama con il quale siamo chiamati a confrontarci.
Tralasciando per un momento il tema del cloud computing, tutt’altro che digerito, ma con il quale abbiamo imparato a convivere, è opportuno invece seguitare ad approfondire, sotto la dimensione dell’efficienza ma anche della sicurezza, temi interessanti e pericolosi allo stesso tempo come Big Data e IoT.
Proprio con riferimento a quest’ultimo non tutti sanno che i device più pericolosi stanno diventando lavatrici, frigoriferi, macchine da caffè, termostati, sistemi di allarme e chi più ne ha più ne metta.
Di recente una compagnia americana è stata messa sotto scacco per indisponibilità dei servizi con Mirai, un malware specializzato nell’internet delle cose. E’ infatti addestrato ad impossessarsi degli apparecchi tentando l’accesso al sistema di controllo attraverso l’utilizzo delle credenziali predefinite di fabbrica che spesso, per difficoltà delle operazioni di impostazione congiuntamente all’inesperienza degli utilizzatori, restano invariate. A questo punto l’apparecchio entra a far parte di una botnet sotto il controllo dei criminali.
Poi si pensi alla faccenda delle elezioni americane, secondo le ipotesi complottiste in parte pilotate dalla Russia. Ma di mezzo non ci sono più gli agenti segreti, come una volta, bensì WikiLeaks. E finisce che le vecchie minacce tra USA e Russia, che un tempo facevano esplicito riferimento alle testate nucleari, adesso tuonano a suon di promessi attacchi informatici.
Questo è solo un assaggio della cyberwarfare. Ed in considerazione del fatto che internet è un’unica rete, un mare dove nuotano pesci piccoli e squali bianchi, una riflessione è comunque d’obbligo.
In conclusione, per riferirmi all’ambito del patrimonio per i cittadini, vogliamo per caso divertirci a riflettere sulle cartelle sanitarie elettroniche? Autorizzazioni al trattamento di informazioni che fanno riferimento alla gestione ed alla conservazione digitale di dati clinici, medici, sottoposte all’approvazione degli interessati, che citano informative irreperibili (sono mai state scritte?).
E se questo è il livello di attenzione per dati tanto sensibili, ci si può aspettare che la sicurezza di quelle stesse informazioni potrà divenire facilmente oggetto di violazione per fini, sì illeciti, ma comunque discriminatori?
In fondo basta far viaggiare un po’ la mente per pensare che non sarebbe poi del tutto surreale una normativa ad hoc per il monitoraggio delle operazioni di consultazione delle cartelle cliniche, così come il Garante ha stabilito da tempo per le operazioni in ambito bancario.
Questi sono solo alcuni brevi esempi che riguardano una realtà ben più complessa e che soprattutto esige un costo di gestione sempre più ottimizzato. Non resta quindi che augurare un buon lavoro al tavolo ANSSAIF, attendendo con ansia di poter riportare in questa stessa rubrica le proposte formulate.