La città del futuro è carica di promesse per i cittadini e le aziende, a partire dall’impiego semplificato dei servizi online della pubblica amministrazione fino ad un traffico più scorrevole. Tuttavia qualsiasi nuovo servizio digitale rappresenta anche un’opportunità in più per i cybercriminali di prendere il sopravvento sulla smart city o di depredare i dati raccolti. Senza una strategia di sicurezza della smart city efficiente, quindi, le opportunità non potranno essere sfruttate.
Nel termine Smart City confluiscono diversi domini e interessi. Si tratta di un luogo in cui le grandi sfide della città di domani, tra cui il passaggio a fonti energetiche alternative, il rapido aumento della popolazione, la gestione delle risorse, la fruizione digitale di servizi sanitari e amministrativi, dovrebbero essere affrontate impiegando le più moderne tecnologie. In questo contesto le città interconnesse sono una zona in cui convergono i più diversi sistemi informativi e attori, che forniscono le più varie componenti tecnologiche (5G, IoT, Edge Computing, IA), dotazioni per la città (mobilio urbano, semafori, illuminazione pubblica, sensori, videocamere di sorveglianza), interfacce per le comunicazioni (applicazioni mobili, scambio di dati). Un’eterogeneità che estende enormemente la superficie di attacco di una smart city.
Apparecchi eterogenei e obiettivi diversi
La smart city deve fare affidamento sull’infrastruttura esistente. Ciò significa che occorre gestire impianti di generazioni diverse e tecnologie altrettanto diverse, cosa che non facilita l’applicazione di una politica di sicurezza globale.
“È necessario adattare le misure tecniche (ovvero le soluzioni di sicurezza da implementare) e quelle organizzative al contesto, al sistema informativo, alla generazione di apparecchiature in uso e alle componenti tecnologiche in uso“, sottolinea Alberto Brera, Country Manager Italy di Stormshield.
Un’ulteriore difficoltà è rappresentata dal fatto che nelle smart cities vengono connesse infrastrutture altrimenti indipendenti l’una dall’altra ovvero IT e OT, che presentano priorità del tutto differenti: nelle infrastrutture IT (e-Gov, e-Health) bisogna garantire la confidenzialità e l’integrità del dato, in quelle OT (impianti per la regolazione del traffico, reti per la fornitura di acqua, gas ed energia elettrica ecc.) invece l’obiettivo è garantire la disponibilità continuativa dei servizi. Ma, a differenza di ambienti IT chiusi, gli impianti OT sono disseminati per la città, quindi accessibili in maniera relativamente semplice e di conseguenza più facilmente manipolabili. Ciò rende necessarie precise strategie di sicurezza fisica e logica. A fronte di questa diversità di obiettivi, le politiche di sicurezza della smart city adottate devono necessariamente essere differenziate, ma comunque convergere in una governance globale, adattata ad ogni singolo sottosistema. È proprio qui che entrano in gioco le soluzioni Stormshield.
Difficoltà che scaturiscono da interessi diversi
Spesso gli interessi delle organizzazioni che contribuiscono alla “smartizzazione” di una città divergono. Basti pensare al solo tema della mobilità, che raccoglie gli attori più diversi, dai servizi di trasporto pubblico tradizionali alla mobilità “light” (monopattini elettrici / biciclette) fino agli operatori di reti mobili. Anche i fornitori di soluzioni software e cloud o di servizi e-Health e e-Gov fruibili ovunque fanno parte di questo gruppo. In queste condizioni è difficile accordarsi su un approccio globale di sicurezza della smart city. Questa varietà di attori concorre al groviglio di sistemi di riferimento e di regolamentazioni che caratterizza la città intelligente.
Il primo passo verso l’omogeneità dei servizi e delle infrastrutture della smart city dovrebbe quindi essere l’armonizzazione dei sistemi e delle normative. Occorrerebbe anche trovare una via di mezzo per una concertazione sostenibile di business e cybersecurity, per garantire la sicurezza della smart city.
“Quello della sicurezza della smart city è un compito arduo, che fa passare in secondo piano anche le misure più semplici come l’identificazione di eventuali punti deboli lato sicurezza digitale nelle condizioni contrattuali”, afferma Alberto Brera. In termini di compliance alle normative, la smart city deve infatti attenersi a regolamentazioni europee e nazionali tra cui il GDPR per la tutela dei dati personali dei cittadini e la direttiva NIS per le infrastrutture critiche. “La città deve assolutamente definire clausole di riferimento da integrare in qualsiasi contratto. A tale scopo e con l’obiettivo di garantire la massima tutela, occorrerebbe ricorrere a consulenti legali e tecnici specializzati”, aggiunge Alberto Brera.
Cybersecurity a misura di smart city
La strategia di cybersecurity di una smart city deve anticiparne l’evoluzione. Per farlo esiste un solo metodo: la sicurezza della smart city va integrata sin dalla prime fasi della sua pianificazione, valutando tutti gli aspetti, poichè la sicurezza della città intelligente riguarda qualsiasi apparecchiatura in grado di comunicare con le altre, l’infrastruttura di rete e i sistemi, i centri operativi (postazioni e dispositivi di lavoro ma non solo) come anche gli utenti (abitudini, consapevolezza digitale ecc.). Tanto più intelligenti e interconnesse le città infatti, tanto più è elevato il livello di rischio cyber a cui sono esposte – con conseguenze molto concrete per i cittadini.
“Proprio per questo motivo è essenziale abbandonare l’approccio “add on” che prevede la continua aggiunta di dispositivi e quindi di livelli di sicurezza per chiudere a posteriori eventuali falle”, spiega Alberto Brera. La selezione a priori delle soluzioni di sicurezza della smart city da adottare assume in questo contesto un’importanza ancora maggiore.
Un possibile approccio alla messa in sicurezza sostenibile delle città interconnesse può essere composto dai seguenti elementi:
- Implementazione di una sicurezza della smart city multilivello, tra cui: cifratura dei dati, firewall, autenticazione, amministrazione dei diritti di accesso e impiego di modelli zero-trust.
- Impiego di soluzioni europee, che garantiscono di fabbrica la conformità alle direttive europee e – trattandosi di soluzioni per la protezione di servizi al cittadino – quella sovranità e indipendenza tecnologica europea ormai essenziale, almeno a livello di cybersecurity.
- Implementazione di una cyber-governance intersettoriale con la creazione di SOC (Security Operations Center) centralizzati in ogni città o distretto, in grado di monitorare gli eventi di sicurezza delle diverse infrastrutture IT bloccando eventuali movimenti laterali tra i diversi sistemi. Una segmentazione dei sistemi ben pianificata è un utile ausilio.
- Mappatura di apparecchiature e dispositivi: non si può proteggere un’infrastruttura che non si conosce. La città deve avere un’idea chiara di cosa proteggere e di quali apparecchiature verranno aggiunte nel tempo per poter prendere preventivamente misure adeguate.
- Garantire l’interoperabilità delle diverse soluzioni, per elevare il livello di s sicurezza della smart city fornito.
- Far si che i contratti siglati dalla città contengano clausole sulla cybersecurity che determinino nel dettaglio e con la massima chiarezza responsabilità e doveri dei partner.
Le promesse della smart city sono infinite, specie in termini di miglioramento della qualità della vita dei cittadini. Tuttavia è importante avere un piano di sicurezza della smart city efficiente, altrimenti tutte queste promesse sarebbero vane.
