Per focalizzare la portata del tema cybersecurity per la smart city serve constatare che nelle città moderne convergono diversi sistemi informativi e attori, con varie componenti tecnologiche (5G, IoT, edge computing, intelligenza artificiale), dispositivi per la città (mobilio urbano, semafori, illuminazione pubblica, sensori, videocamere di sorveglianza), interfacce per le comunicazioni (applicazioni mobili, scambio di dati).
Questa eterogeneità estende la superficie di attacco di una smart city, che deve fare affidamento sull’infrastruttura esistente.
Ciò significa che occorre gestire impianti di generazioni diverse e tecnologie altrettanto diverse, cosa che non facilita l’applicazione di una politica di sicurezza globale.
Secondo Alberto Brera, Country Manager Italy di Stormshield è necessario adattare le misure tecniche, cioè le soluzioni di sicurezza, e quelle organizzative al contesto, al sistema informativo, alla generazione di apparecchiature in uso e alle componenti tecnologiche in uso.
Un’ulteriore difficoltà é rappresentata dal fatto che nelle smart city vengono connesse infrastrutture altrimenti indipendenti l’una dall’altra ovvero IT e OT, che hanno priorità differenti.
Nelle infrastrutture IT (del settore pubblico, della sanità) bisogna garantire la confidenzialità e l’integrità del dato, in quelle OT (impianti per la regolazione del traffico, reti per la fornitura di acqua, gas ed energia elettrica) invece l’obiettivo è garantire la disponibilità continuativa dei servizi.
A differenza di ambienti IT chiusi, gli impianti OT sono disseminati per la città, quindi accessibili in maniera relativamente semplice e di conseguenza più facilmente manipolabili. Ciò rende necessarie precise strategie di sicurezza fisica e logica.
A fronte di questa diversità di obiettivi, le politiche di cybersecurity adottate devono necessariamente essere differenziate, ma comunque convergere in una governance globale, adattata ad ogni singolo sottosistema.
Spesso gli interessi delle organizzazioni che contribuiscono alla realizzare una smart city divergono.
Basti pensare al tema della mobilità, che raccoglie gli attori più diversi, dai servizi di trasporto pubblico tradizionali alla mobilità light (monopattini elettrici / biciclette) fino agli operatori di reti mobili.
Anche i fornitori di soluzioni software e cloud o di servizi digital health e di eGovernment fruibili ovunque fanno parte di questo gruppo.
In queste condizioni ,per Brera, è difficile accordarsi su un approccio globale. Questa varietà di attori concorre al groviglio di sistemi di riferimento e di regolamentazioni che caratterizza la smart city.
Il primo passo verso l’omogeneità dei servizi e delle infrastrutture della smart city secondo Brera dovrebbe essere l’armonizzazione dei sistemi e delle normative. Occorrerebbe anche trovare una via di mezzo per una concertazione sostenibile di business e cybersecurity.
La cybersecurity deve anticipare i bisogni
Brera riconosce che è un compito arduo, che fa passare in secondo piano anche le misure più semplici come l’identificazione di eventuali punti deboli lato sicurezza digitale nelle condizioni contrattuali.
In termini di compliance alle normative, la smart city deve infatti attenersi a regolamentazioni europee e nazionali tra cui il GDPR per la tutela dei dati personali dei cittadini e la direttiva NIS per le infrastrutture critiche.
La smart city deve assolutamente definire clausole di riferimento da integrare in qualsiasi contratto. A tale scopo e con l’obiettivo di garantire la massima tutela, occorrerebbe ricorrere a consulenti legali e tecnici specializzati.
La strategia di cybersecurity di una smart city, pertanto deve anticiparne l’evoluzione.
Per farlo, spiega Brera, esiste un solo metodo: la sicurezza va integrata sin dalla prime fasi della pianificazione di una smart city, valutando tutti gli aspetti, poiché la sicurezza della città intelligente riguarda qualsiasi apparecchiatura in grado di comunicare con le altre, l’infrastruttura di rete e i sistemi, i centri operativi (postazioni e dispositivi di lavoro ma non solo) come anche gli utenti (abitudini, consapevolezza digitale).
Tanto più sono intelligenti e interconnesse le città infatti, tanto più é elevato il livello di rischio cyber a cui sono esposte, con conseguenze molto concrete per i cittadini.
Per questo motivo, per Brera, è essenziale abbandonare l’approccio add-on, che prevede la continua aggiunta di dispositivi e quindi di livelli di sicurezza per chiudere a posteriori eventuali falle.
La selezione a priori delle soluzioni di sicurezza da adottare assume in questo contesto un’importanza ancora maggiore.
I sei step della cybersecurity nella smart city
Secondo Brera un approccio alla messa in sicurezza sostenibile delle città interconnesse può essere composto dai sei elementi.
Implementazione di una sicurezza multilivello, tra cui: cifratura dei dati, firewall, autenticazione, amministrazione dei diritti di accesso e impiego di modelli zero-trust.
Impiego di soluzioni europee, che garantiscono di fabbrica la conformità alle direttive europee e – trattandosi di soluzioni per la protezione di servizi al cittadino – quella sovranità e indipendenza tecnologica europea ormai essenziale, almeno a livello di cybersecurity.
Implementazione di una cyber-governance intersettoriale con la creazione di SOC (Security Operations Center) centralizzati in ogni città o distretto, in grado di monitorare gli eventi di sicurezza delle diverse infrastrutture IT bloccando eventuali movimenti laterali tra i diversi sistemi. Una segmentazione dei sistemi ben pianificata è un utile ausilio.
Mappatura di apparecchiature e dispositivi: non si può proteggere un’infrastruttura che non si conosce. La cità deve avere un’idea chiara di cosa proteggere e di quali apparecchiature verranno aggiunte nel tempo per poter prendere preventivamente misure adeguate.
Garantire l’interoperabilità delle diverse soluzioni, per elevare il livello di sicurezza fornito.
Far si che i contratti siglati dalla città contengano clausole sulla cybersecurity che determinino nel dettaglio e con la massima chiarezza responsabilità e doveri dei partner.
