La sfida e i rischi del 5G

Il futuro parlerà per forza di cose 5G. Secondo uno studio pubblicato dalla società di ricerca britannica Ihs Markit e commissionato da Qualcomm, azienda a stelle e strisce specializzata nel campo delle telecomunicazioni senza fili, l’economia del 5G varrà qualcosa come 13mila miliardi di dollari entro il 2035, ovvero una cifra equivalente al Pil cinese, la seconda potenza economica mondiale dietro gli Usa.

Saranno proprio questi due colossi a investire maggiormente nei prossimi anni su questa tecnologia: entro il 2035 per Stati Uniti e Cina si parla rispettivamente di 1,3 e 1,2 trilioni di dollari, ovvero qualcosa come il 52% degli investimenti complessivi, con ricadute a livello occupazionale davvero impressionanti.

E l’Europa? Non starà a guardare, anzi. Molti analisti ritengono che il Vecchio Continente avrà da dire la sua anche perché un operatore molto importante, la multinazionale svedese Ericsson, ha sviluppato una tecnologia di rete molto avanzata e competitiva grazie alla quale sta guadagnando progressivamente quote di mercato. Anche l’Italia non si trova in una posizione svantaggiata nella corsa al 5G. Il nostro Paese, infatti, si piazza al secondo posto, dopo la Spagna, per infrastrutture e tecnologie 5G nella classifica europea a 39 Paesi “Europe 5G Readiness Index” pubblicata da InCites.

Vista la rapida diffusione del 5G, però, non ci si può non interrogare anche sul tema delle cyber minacce e della tutela della privacy e su come questi temi vengono affrontati dai cda delle nostre imprese. Ne abbiamo parlato con un’esperta, Francesca Brusco, socio di Nedcommunity, amministratore indipendente del gruppo quotato Garofalo Health Care e componente del Collegio Sindacale di ENAV e di CdP.

Quali sono i rischi cyber che è necessario presidiare?

“Prima di parlare di rischi, mi piacerebbe dire che il 5G rappresenta innanzitutto un’opportunità, che le società devono saper cogliere. Questa tecnologia, oltre a garantire un accesso alla rete con un throughput decisamente maggiore (Enhanced Mobile Broadband), consentirà di raggiungere una larghezza di banda anch’essa decisamente molto più ampia (si parla di almeno 1 milione di dispositivi per chilometro quadrato – Massive IoT) e un accesso alla rete affidabile e ultraveloce, con latenze inferiori al millisecondo (Ultra Reliable and Low Latency Communication – URLLC).

Il 5G, dunque, definisce tutta una serie di nuovi standard che puntano a soddisfare i requisiti accennati e che dovranno in ogni caso tener conto delle esigenze concrete dell’industria, con difficoltà degli Stati di definire i requisiti tecnologici.

È facile dunque supporre, considerata l’eterogeneità dei requirements e di conseguenza della rete, che la cyber security rappresenterà un punto cruciale che dovrà essere garantita su tutti i livelli. Le tipologie di attacchi saranno probabilmente le stesse delle generazioni precedenti: Botnet, DDoS, Man in The Middle etc. o forse ve ne saranno delle nuove e a oggi non note, che avranno di mira i pilastri della sicurezza, ovvero disponibilità, integrità e riservatezza.

Per quanto riguarda le aziende che vorranno adottare soluzioni innovative all’interno dei propri sistemi utilizzando sensori di ogni genere connessi ad internet, dovranno affrontare un problema: la capacità di calcolo molto limitata dei sensori (per preservare il consumo energetico e renderli economici) e la loro non “nativa” architettura di security, che può renderli estremamente permeabili in un ambiente iperconnesso. A questo punto, si avranno quindi più problemi da gestire: la sicurezza intrinseca della rete, la sicurezza dei devices che vivono di connessioni e le interdipendenze tra gli stessi, con potenziali effetti ‘domino’ che possono riverberare effetti pregiudizievoli non solo all’interno della singola organizzazione, ma anche tra diverse organizzazioni, creando rischi sistemici che possono avere impatti rilevanti su interi Paesi.

Vorrei ricordare, inoltre, che la sicurezza sarà fondamentale in applicazioni di prossima realizzazione come la guida autonoma (comunicazioni Vehicle to Everything – V2X) o la telemedicina. Provate ad immaginare un attacco indirizzato a un sistema di guida autonoma, oppure un Man in the Middle in un sistema di telemedicina in cui un robot, controllato da un chirurgo in remoto, sta eseguendo un’operazione su un paziente a chilometri di distanza. O indirizzato all’utilizzo dei droni oramai sempre più diffusi.

E proviamo ad immaginare anche un’infrastruttura critica, ad esempio nel mondo energetico, idrico o delle comunicazioni o lo stesso mondo finanziario, sempre più dipendente dai sistemi e dalle reti, colpite da azioni malevoli che, sfruttando le falle di security e il dinamismo del 5G, subiscano impatti rilevanti che si riverberano sull’intera comunità nazionale e con effetti potenzialmente devastanti”.

I board della società italiane stanno affrontando il tema? La sua esperienza al riguardo?

“Certamente sì, chi più, chi meno, considerata la diversità di dimensioni e di business oltre che di maturità rispetto alla tematica. Per quella che è la mia esperienza, alcune realtà hanno una sensibilità ‘dovuta’ e ‘necessaria’ in quanto anche infrastruttura strategica per il Paese. Per altre è la tipologia di business che richiede un supporto tecnologico quanto più sofisticato e all’avanguardia oltre che adeguato. Altre realtà, invece, sono meno pro-attive perché più labour-intensive, ma in ogni caso interessate dalla nuova tecnologia per lo sviluppo del loro business e soggette al rischio.

Nella diversità di situazioni, attenzione ed esigenze oltre che di maturità della necessaria consapevolezza che contraddistingue le società, il board deve affrontare il tema dell’adeguatezza infrastrutturale in termini di sostenibilità nel medio e lungo periodo, con ciò che il termine ‘sostenibilità’ si porta dietro. Sviluppo tecnologico adeguato a garantire e mantenere il livello atteso di redditività e di salvaguardia del sociale ed ambientale. Parliamo quindi di protezione dei dati sensibili, dei patrimoni e della sicurezza fisica. Non si può prescindere dall’analisi strategica da parte del board e del management che permetta di valutare il ‘tipo di macchina’ che si sta guidando, delle potenzialità che si hanno e al tempo stesso delle sue fragilità. Ciò significa che il board deve avere l’adeguata ed informata conoscenza che l’innovazione tecnologica porta con sé nuove opportunità e nuovi rischi da intercettare e misurare, incluso il rischio cyber che è diventato, negli ultimi anni, sempre più rilevante.

Un rischio, quello cyber, che può assumere diverse sfaccettature e implicazioni che vanno dalla perdita di capacità operativa al furto dei dati, dai danni di natura reputazionale alla minore attrattività del brand, dalla tutela degli utenti alla salva-guardia della proprietà intellettuale, dalle potenziali implicazioni legali alla riduzione dei risultati economici, e così via.

E non meno rilevante, sul tema, per il board, è la considerazione che deve fare in merito al fatto che tutto ciò non è solo tecnologia, ma anche fattore umano, sotto diversi profili: quello del competence shortage, ossia la difficoltà a reperire sul mercato del lavoro le idonee professionalità per gestire la cybersecurity, ma soprattutto l’approccio di dipendenti, appaltatori, subappaltatori ed altri soggetti interni all’azienda, che con i loro comportamenti, non necessariamente deliberati, ma anche soltanto negligenti o imprudenti, possono aprire falle rilevanti nei dispositivi di sicurezza, con conseguenze assolutamente inimmaginabili.

Il tema merita per forza di cose, quindi, da parte del board, un’attenzione sotto il profilo giuridico, dell’analisi dei rischi e della loro valutazione, sotto il profilo tecnico degli standard di riferimento rispetto alle prospettive future, fino a comprendere il processo di intensificazione di una maggiore awareness del management aziendale”.

Che ruolo può giocare un consigliere indipendente nel focalizzare l’attenzione del management su questi temi?

“ll ruolo del consigliere indipendente, ma in generale di tutti i consiglieri, è fondamentale per favorire e sostenere la sensibilizzazione del top-management verso una crescente consapevolezza e capacità di governo delle questioni relative all’innovazione tecnologica in generale e alla sicurezza cyber in particolare, finalizzata alla salvaguardia del posizionamento dell’azienda oltre che ovviamente allo sviluppo sostenibile nel medio e lungo periodo.

Ciò si concretizza con iniziative che vedono gli amministratori attenti nello stimolare il management, nel capire che la sicurezza informatica è da affrontare come un problema di gestione del rischio a livello aziendale e non solo come un problema IT, facendo emergere, attraverso adeguate analisi, le implicazioni legali dei rischi informatici che si riferiscono a circostanze specifiche della propria azienda, se utile, con il supporto delle adeguate professionalità specializzate anche esterne.

Gli amministratori dovrebbero favorire, oltre che avere loro stessi, adeguate competenze relativamente alla sicurezza informatica. Nelle riunioni del Consiglio, dovrebbe essere dedicato il giusto tempo alle discussioni sulla gestione dell’innovazione tecnologica e dei cyber-risk attivando un periodico confronto con il top-management che porta avanti il piano industriale, che non può prescindere dall’essere integrata dalle analisi dei rischi anche su materie ESG e connessi a tali temi.

Fondamentale è, quindi, lavorare su più fronti e riuscire a diffondere una cultura aziendale ‘anticyber risk’ avendo presente che un’alta percentuale di attacchi che ha successo lo deve al fattore umano e a comportamenti non consapevoli delle persone o a semplici disattenzioni. Ciò significa pertanto investire oltre che sull’implementazione dell’infrastruttura anche sulla formazione della popolazione aziendale”.