Smart Cities.... e la sicurezza informatica
di Piero Giuseppe Goletto
Il fatto che le smart cities si reggano essenzialmente su flussi di dati continui, raccolti attraverso dispositivi della più varia natura (la cosiddetta Internet of things, fatta di sensori, rilevatori, ecc.) e cui si accede sia tramite personal computer che tramite smartphone porta in primo piano le questioni della sicurezza informatica.
Dobbiamo ricordare il blocco avvenuto a Ottobre 2016, quando un attacco informatico rese impossibile accedere a servizi quali Netflix e Twitter; l’attacco avvenuto a Novembre 2016, quando in Finlandia i sistemi di automazione di due edifici furono disattivati e il recente caso “Wannacry” avvenuto nello scorso Maggio.
Quest’ultimo è un tipico caso di ransomware: applicazioni che arrecano danno limitando l’accesso ai dati con cui si limita del tutto l’accesso al sistema infettato viene richiesto alla vittima il pagamento di un vero e proprio riscatto.
Uno dei primi elementi da tenere in considerazione nella progettazione delle infrastrutture della smart city è quindi sicuramente la limitazione delle vulnerabilità del sistema.
I sistemi intelligenti potrebbero infatti essere adottati per la gestione dei parcheggi, del trasporto pubblico, della logistica e più in generale dell’ambiente per migliorarne sostenibilità e competitività; contatori intelligenti potrebbero intervenire nella telegestione dell’elettricità, del gas, dell’acqua e del calore.
La massiccia raccolta di dati crea due rischi: uno di potenziale riduzione della privacy degli utenti e l’altro di creare nuovi punti di attacco, che potrebbero anche pervenire da dispositivi mobili, che possono essere attaccati tramite applicazioni maligne che spiino l’utilizzatore.
Nelle vulnerabilità del sistema però rientra anche il fattore umano, cioè il rischio che nella catena di sicurezza l’elemento debole sia proprio l’utente finale. Desideriamo ricordare che nel caso “Wannacry” il punto di innesco furono delle e-mail di phishing, operazioni di frode informatica che hanno lo scopo di carpire informazioni riservate degli utenti.
Ad avviso di chi scrive, la creazione di una smart city comporta sia la creazione di infrastrutture di protezione delle infrastrutture (la risposta agli attacchi dovendo essere molto rapida) ma soprattutto la realizzazione di iniziative di educazione e consapevolezza delle possibili minacce informatiche. Queste hanno il duplice obiettivo di informare i potenziali utenti circa i nuovi servizi resi disponibili e ridurre il rischio che questi stessi servizi vengano adoperati per fini illeciti. Lo scopo è pertanto sviluppare negli utenti competenze essenziali per prevenire al massimo i rischi legati
alla sicurezza informatica, che è da considerare ormai un bene di interesse pubblico: il primo e più potente antivirus è il cervello dell’utilizzatore.
Potrebbero essere indicati, a tale scopo, sia momenti formali (incontri, video, articoli su giornali ecc.) che informali (eventi, distribuzione di materiale, simulazione di attacchi).
