In queste settimane di emergenza coronavirus ci siamo spesso soffermati sugli attacchi portati alle realtà della Sanità. Un fenomeno peraltro già noto ben prima della pandemia. E che si allaccia, in parte, con un altro fenomeno altrettanto problematico. Ossia gli attacchi costanti verso gli enti pubblici. Attacchi che pongono una questione interessante e poco rimandabile: il rapporto tra Smart City e cyber security.

Che una quota parte importante degli attacchi cyber sia rivolta agli enti pubblici e locali è normale. In parte è fisiologico, statisticamente inevitabile. In parte è logico che organizzazioni state-sponsored attacchino le realtà pubbliche di altre nazioni. Ma serve anche - è non è esattamente una novità - una presa di coscienza generale del problema.

Tutti speriamo in una veloce digitalizzazione delle nostre città. Una esigenza che in parte è stata acuita dalla pandemia. Abbiamo scoperto in queste settimane che le realtà con un elevato grado di digitalizzazione se la cavano meglio. In primis le aziende, ma non solo quelle. Vorremmo che questo si concretizzasse anche per i sistemi e i processi delle città in cui viviamo. Ma la digitalizzazione porta anche nuovi rischi digitali. A partire da quelli di cyber security. Perché una Smart City è potenzialmente un ghiotto boccone per chi è a caccia di informazioni. O magari solo di qualche vittima in più per le sue estorsioni.

La casistica degli attacchi alle realtà pubbliche è già ampia, specialmente Oltreoceano. Mostra una tendenza chiara all'utilizzo di vettori nemmeno troppo sofisticati, come il ransomware. Partendo probabilmente dal presupposto che, più delle imprese, le realtà pubbliche hanno personale meno sensibilizzato rispetto ai pericoli cyber. Ovviamente in media, possono poi esserci eccellenze in positivo come in negativo. Ed è un problema si cui comunque si sta lavorando.

Va poi considerato che lo scenario della cyber security in rapporto alle Smart City non è statisticamente del tutto chiaro. Aumentano gli attacchi alle città e alla PA. Ma questo perché c'è un aumento effettivo degli attacchi mirati? O semplicemente perché aumenta la digitalizzazione degli enti pubblici e locali. E quindi la superficie complessiva di attacco? Probabilmente è un insieme dei due fenomeni.

Proteggere un ecosistema

Altro problema da considerare: una Smart City è per forza di cose un ecosistema. Un'azienda no, è un organismo centralizzato. Questa distinzione rende più difficile la protezione delle Smart City. Perché bisogna proteggere molti anelli di più catene - i singoli servizi digitali - che possono essere gestiti da entità distinte. In azienda, quando va bene, c'è un solo dipartimento IT. E al suo interno un Chief Security Officer. O qualcosa del genere.

Prendiamo ad esempio, invece, un servizio smart per la gestione della mobilità urbana. E facciamo anche un esempio ideale. Di mobilità urbana multimodale e door-to-door, come dicono i tecnici. Un servizio cioè che consenta al cittadino di pianificare e gestire tutti i suoi spostamenti in città. Da quando esce di casa a quando arriva alla sua destinazione. Usando sistemi di trasporto differenti, forniti da operatori diversi.

Questo complesso di spostamenti prevede probabilmente servizi di municipalizzate quanto di privati (il car sharing, per dire). E potenzialmente di più fornitori: il car sharing, il bike sharing, e via dicendo. Un servizio integrato - che non è fantascienza, esiste in alcune città - trae dati da tutti i sistemi dei provider coinvolti. Li raccoglie magari in un'app. E idealmente copre in maniera integrata il pagamento di ciascun "vettore" degli spostamenti.

Ecco quindi che un singolo servizio in stile Smart City è fatto da tante IT distinte che collaborano fra loro. E che rappresentano altrettante superfici di attacco. Più una: quella data dalle interazioni fra loro. Perché anche dare per scontata la cyber security di ogni anello della catena non basta a garantire la sicurezza del tutto. Mai come in questo caso l'intero è maggiore della somma delle sue parti.

Non è affatto banale garantire la cyber security di sistemi così articolati. Che oltretutto possono comporsi e scomporsi anche rapidamente. Al mutare dello scenario tecnologico e del mercato. Serve che i singoli componenti siano sicuri "by design" e "by default". Cosa della quale nessun amministratore pubblico può essere assolutamente certo. E serve avere una regia IT che veda i sistemi complessi in maniera integrata. Non a caso chi offre soluzioni di Smart City parla spesso di una cabina di regia tecnologica di controllo. Ma serve anche una cabina di regia istituzionale. E non è facile.

La corsa al mondo smart

Eppure la strada verso le Smart City è inarrestabile. Ed è logico che sia così. Fare in modo che la tecnologia permei sempre più in profondità le città è l'unico modo per consentire loro di affrontare le sfide che hanno davanti. Abitanti sempre più numerosi. Risorse da tutelare e ottimizzare. Un nuovo rapporto fra spazi urbani ed ambiente.

Con in più il fatto che i cittadini si aspettano, quasi pretendono, servizi "intelligenti". Almeno allo stesso livello di quelli che si sono abituati ad avere nella loro vita quotidiana digitale. Con l'importante differenza che questi servizi, così apprezzati e diffusi, non sono pensati per integrarsi fra loro. E il più delle volte nemmeno per essere davvero sicuri. Oppure rispettosi della privacy.

Alle Apple, Amazon, Facebook, Google e compagnia permettiamo, inconsciamente o inconsapevolmente, cose che non permetteremmo mai a chi gestisce la nostra città. Nemmeno se fosse un paesino, purché digitalizzato. Giustamente siamo molto più esigenti. Ma dobbiamo anche tenere conto che la sfida delle Smart City cyber sicure è molto più complessa.