Parlare di smart city significa aprire una finestra su un mondo. Un mondo in cui tutto viene semplificato, velocizzato e ottimizzato. A primo impatto verrebbe da definirlo “ideale”, ma in realtà bisogna tenere conto anche di altri fattori, quali la sicurezza di tutti i dati che il digitale immette in rete. È un equilibrio delicato fra le potenzialità che la tecnologia ha in sè e i pericoli che si corrono nell’online.
Le difficoltà che incontra la smart city, a livello di sicurezza, sono le seguenti
- La smart city deve fare affidamento sull’infrastruttura esistente. Ciò significa che occorre gestire impianti di generazioni diverse e tecnologie altrettanto diverse, cosa che non facilita l’applicazione di una politica di sicurezza globale.
- Nelle smart cities vengono connesse infrastrutture altrimenti indipendenti l’una dall’altra ovvero IT e OT, che presentano priorità del tutto differenti: nelle infrastrutture IT (e-Gov, e-Health) bisogna garantire la confidenzialità e l’integrità del dato, in quelle OT (impianti per la regolazione del traffico, reti per la fornitura di acqua, gas ed energia elettrica ecc.) invece l’obiettivo è garantire la disponibilità continuativa dei servizi. Ma, a differenza di ambienti IT chiusi, gli impianti OT sono disseminati per la città, quindi accessibili in maniera relativamente semplice e di conseguenza più facilmente manipolabili. Ciò rende necessarie precise strategie di sicurezza fisica e logica.
- Le politiche di sicurezza adottate devono necessariamente essere differenziate, ma comunque convergere in una governance globale, adattata ad ogni singolo sottosistema.
A monte di una smart city ci sono interessi diversi
Inoltre bisogna considerare che nel momento in cui si vuole rendere “intelligente” una città i motivi possono essere diversi, e talvolta divergenti. Prendiamo il tema della mobilità, che raccoglie gli attori più diversi, dai servizi di trasporto pubblico tradizionali alla mobilità “light” (monopattini elettrici / biciclette) fino agli operatori di reti mobili. Anche i fornitori di soluzioni software e cloud o di servizi e-Health e e-Gov fruibili ovunque fanno parte di questo gruppo. In queste condizioni è difficile accordarsi su un approccio globale. Questa varietà di attori concorre al groviglio di sistemi di riferimento e di regolamentazioni che caratterizza la smart city.
Il primo passo verso l’omogeneità dei servizi e delle infrastrutture della città intelligente dovrebbe quindi essere l’armonizzazione dei sistemi e delle normative. Occorrerebbe anche trovare una via di mezzo per una concertazione sostenibile di business e cybersecurity.
Il tema della cybersecurity
La strategia di cybersecurity di una smart city deve anticiparne l’evoluzione. Per farlo esiste un solo metodo: la sicurezza va integrata sin dalla prime fasi della pianificazione di una smart city, valutando tutti gli aspetti, poiché la sicurezza della città intelligente riguarda qualsiasi apparecchiatura in grado di comunicare con le altre, l’infrastruttura di rete e i sistemi, i centri operativi (postazioni e dispositivi di lavoro ma non solo) come anche gli utenti (abitudini, consapevolezza digitale ecc.). Tanto più intelligenti e interconnesse le città infatti, tanto più è elevato il livello di rischio cyber a cui sono esposte, con conseguenze molto concrete per i cittadini.
L’approccio ADD ON, basato sulla continua aggiunta di dispositivi e di livelli di sicurezza per ovviare a eventuali falle, non funziona più. Mentre invece sarebbe appunto da preferire una selezione a priori delle soluzioni di sicurezza da adottare.
Un nuovo modello per la sicurezza
Un possibile approccio alla messa in sicurezza sostenibile delle smart city può essere composto dai seguenti elementi:
- Implementazione di una sicurezza multilivello, tra cui: cifratura dei dati, firewall, autenticazione, amministrazione dei diritti di accesso e impiego di modelli zero-trust.
- Impiego di soluzioni europee, che garantiscono di fabbrica la conformità alle direttive europee e – trattandosi di soluzioni per la protezione di servizi al cittadino – quella sovranità e indipendenza tecnologica europea ormai essenziale, almeno a livello di cybersecurity.
- Implementazione di una cyber-governance intersettoriale con la creazione di SOC (Security Operations Center) centralizzati in ogni città o distretto, in grado di monitorare gli eventi di sicurezza delle diverse infrastrutture IT bloccando eventuali movimenti laterali tra i diversi sistemi. Una segmentazione dei sistemi ben pianificata è un utile ausilio.
- Mappatura di apparecchiature e dispositivi: non si può proteggere un’infrastruttura che non si conosce. La città deve avere un’idea chiara di cosa proteggere e di quali apparecchiature verranno aggiunte nel tempo per poter prendere preventivamente misure adeguate.
- Garantire l’interoperabilità delle diverse soluzioni, per elevare il livello di sicurezza fornito.
- Far sì che i contratti siglati dalla città contengano clausole sulla cybersecurity che determinino nel dettaglio e con la massima chiarezza responsabilità e doveri dei partner.
Le promesse della smart city sono infinite, specie in termini di miglioramento della qualità della vita dei cittadini. Tuttavia, senza una strategia di cybersecurity efficiente, queste promesse non potranno essere mantenute. Sta a noi trovare adesso il metodo di sviluppo più snello sotteso alla concezione di ogni nuova smart city.
Per approfondire l’argomento ti consigliamo le seguenti letture:
Lahti capitale verde dell’Europa
Le città più ricche dove investire e abitare
Nel post pandemia le città diventano resilienti