L’ecosistema dei servizi essenziali: verso un derisking consapevole
La protezione delle infrastrutture critiche non può prescindere dall’impatto e dal valore del rischio per i servizi essenziali sottostanti.
di Giuseppe Calabrese, CEO Secursat
La fornitura costante, continua senza interruzioni dei cc.dd. servizi essenziali (energia, telecomunicazioni, trasporti, altro) oltre ad avere gli impatti diretti che conosciamo può avere e ha impatti a cascata su altri servizi, forniture, produzioni.
Gli interventi normativi e le Direttive UE, da ultimo Nis 1 e Nis 2 e, più in generale, i decreti a tutela del perimetro della sicurezza nazionale richiamano la tematica delle risposte coordinate, adeguate e innovative per garantire il rapido ripristino delle funzionalità dei servizi in seguito ad interruzione/attacco, con un’attenzione prevalente, ed a tratti esclusiva, al funzionamento dei sistemi informatici che gestiscono l’infrastruttura critica.
Tuttavia episodi, anche recenti, dell’interruzione della fornitura dell’energia elettrica in interi quartieri /aree della città metropolitana di Milano con interventi di “recovery” non del tutto tempestivi e solo in esito a segnalazioni dei cittadini, denotano il rischio, non infrequente, di esserci occupati in questi ultimi tempi dei grandi temi -dall’evoluzione digitale all’AI generativa-, restando inattivi (incomprensivi?) nell’analisi e nella mappatura del rischio relativo ad incidenti nei molteplici ambiti della gestione delle politiche di intervento pubblico.
Costruire modelli e processi decisionali sulla base di modelli organizzativi standard e di sola “compliance”/adesione agli spunti normativi, non tenendo conto della variegata struttura del sistema di attori su cui si basa la fornitura dei servizi, non è più attuale e sufficiente. Un focus nell’analisi che tenga conto solo dell’aspetto organizzativo non risulta efficace perché non considera i sottostanti effetti economico sociali, societari, causando impatti sulla sicurezza del sistema paese e sul benessere dei cittadini.
La protezione delle infrastrutture critiche non può prescindere dall’impatto e dal valore del rischio per i servizi essenziali sottostanti; intraprendere nuove strade di analisi del rischio appare dunque la strada percorribile per identificare i problemi immaginando anche gli effetti a cascata.
Politiche di “derisking” per ridurre i rischi senza ridisegnare modelli normativi ma rafforzando la capacità di analisi ai servizi essenziali, è oggi possibile e necessario.
Non è dunque solo sul tavolo della “cyber” che si gioca oggi la partita della sicurezza o sul perimetro delle cd. infrastrutture critiche, ma sul tavolo dei servizi essenziali, su una supply chain intelligente, visionaria, dove la scelta e la qualificazione di fornitori di servizi sia aderente “comply with” non solo agli obiettivi economici ma sensibile ed attenta sui temi della business continuity e del disaster recovery.
Una sicurezza consapevole su un piano digitale per le misurazioni continue e costanti, per i controlli attenti ed efficaci, per un’analisi dei dati puntuale, per i bisogni sempre aggiornati e reali. Su questo dobbiamo puntare in futuro per mitigare i rischi fluidi di una società in continua evoluzione e cambiamento.
L’innovazione nella gestione del rischio è l’introduzione di nuove modalità di progettazione, la capacità di fare cose nuove, avere nuove prospettive di visione. Occorre che le grandi infrastrutture critiche facciano innovazione, rivedendo politiche di servizio laboure intensive, alimentando nuove idee di servizio, nuovi modelli, realizzandoli non replicando vecchie modalità di approccio ormai obsolete , mentre le strutture e gli scenari di rischio si modificano e cambiano in una dimensione governata dalla competenza digitale.
Dobbiamo andare verso un Derisking consapevole per costruire un futuro senza discontinuità nei servizi essenziali.