Hermes Bay è una realtà all’avanguardia nel panorama italiano, impegnata nella gestione del rischio e nella protezione delle infrastrutture digitali strategiche. La sua missione si fonda su un approccio integrato, in cui la sicurezza è alla base di ogni innovazione tecnologica, con un impegno mirato a garantire che la digitalizzazione avvenga sempre in modo sicuro e consapevole.
Una delle figure chiave di Hermes Bay è la professoressa Paola Girdinio, Presidente del Centro di Competenza per la Sicurezza e l’Ottimizzazione delle Infrastrutture Digitali Strategiche START4.0. Quest’ultima, mediante la sua expertise, aiuta pubbliche amministrazioni e aziende private a rispondere alle sfide della transizione digitale, con particolare attenzione alla cybersicurezza ed ai settori chiave per l’economia nazionale.
Nel corso di questa intervista, la professoressa Girdinio ci ha raccontato la sua visione strategica riguardo alla sicurezza digitale e alla protezione delle infrastrutture critiche.
1. Qual è la missione di START 4.0 e quali sono i suoi ambiti di intervento prioritari?
La missione di START 4.0 è quella di accompagnare le piccole imprese nella realizzazione della loro transizione digitale. Il nostro centro di competenza si è concentrato in particolare sulla sicurezza e sull’ottimizzazione delle infrastrutture critiche e digitali. Quando parliamo di sicurezza, ci riferiamo sia alla safety che alla security. Il nostro slogan è “Trasformazione Digitale Sicura – Cyber Security”, perché per noi non esiste una trasformazione digitale ben riuscita se non è progettata con la sicurezza fin dall’inizio, con il concetto di Security by Design. La cybersecurity ha un ruolo centrale in tutte le attività che facciamo, in quanto ci occupiamo di Tecnologie 4.0 a 360 gradi, e non solo di Cyber Security.
2. In che modo START 4.0 protegge le infrastrutture digitali strategiche italiane, soprattutto nei settori chiave dell’economia nazionale?
Io mi occupo di Cyber Security nel mondo OT (Operation Technology) da dieci anni. Di conseguenza, abbiamo una grande expertise, supportata da tutti gli associati che si occupano di cyber, oltre alla collaborazione con i docenti universitari che conosciamo. Questa sinergia è finalizzata a creare sistemi di protezione per il mondo OT e l’IoT, legati a tutto ciò che riguarda le infrastrutture critiche. Supportiamo le aziende in tutto il percorso, lavorando a stretto contatto con i nostri associati. In particolare, il centro fa assessment sulla vulnerabilità e sulla maturità cyber delle infrastrutture, e poi implementa tutte le pratiche di protezione necessarie emerse da questa prima analisi, seguendo passo passo le aziende nel processo. Un aspetto fondamentale, forse il più importante, riguarda la formazione. Abbiamo attuato percorsi di formazione finalizzati a creare consapevolezza, ad esempio lanciando campagne di phishing rivolte a tutti i dipendenti dell’azienda per abituarli a riconoscere le e-mail malevole e ad adottare comportamenti sicuri, come non utilizzare chiavette USB sconosciute o rispondere correttamente al telefono. Abbiamo formato circa 200 mila persone in tre/quattro anni. Inoltre, con Hermes Bay, facciamo simulazioni di crisi per insegnare come rispondere prontamente a un eventuale incidente.
3. Qual è il valore della collaborazione pubblico-privato nel vostro lavoro e quali ostacoli superate per rafforzarla?
La collaborazione pubblico-privato è fondamentale perché porta insieme competenze a 360°. Le aziende hanno l’opportunità di esprimere le proprie necessità, mentre noi costruiremo un percorso insieme alla ricerca costruito sulla necessità dell’azienda, soprattutto quando non hanno le risorse economiche per investire massicciamente in ricerca, come fanno le grandi imprese. Gli ostacoli principali sono le difficoltà nel far dialogare mondi molto diversi: la mentalità del pubblico spesso differisce da quella di un’impresa che deve fare business. Trovare il modo di farle dialogare e raggiungere un obiettivo comune non è sempre facile, ma Start 4.0 c’è riuscita.
4. Quali opportunità e criticità individua nel recepimento della direttiva NIS2 per il contesto italiano?
Vedo la direttiva NIS2 come un’opportunità. Purtroppo, finché non siamo obbligati a fare una cosa, molto spesso non la facciamo e poi ci ritroviamo fragili sotto certi punti di vista. Spesso ci rendiamo conto della fragilità solo dopo un attacco, e nel caso delle piccole aziende, alcuni attacchi hanno portato alla loro chiusura. La NIS2, obbligando ad una maggiore attenzione alla sicurezza, offre una spinta fondamentale per evitare che le aziende rimangano vulnerabili. La mancanza di protezione, soprattutto nelle piccole aziende, è dovuta al costo delle misure di sicurezza, alla scarsità di esperti del settore e alle difficoltà economiche. Per risparmiare, alle volte, non ci pensiamo. Poi, però, ci va di mezzo la vita vera. Nel nostro caso, ci va di mezzo il futuro di un’azienda, che può perdere reputazione e rischiare che nessuno voglia più lavorare con essa.
Oggi come oggi, parlando di attacchi all’O.T., si crea anche un problema di safety: se si attaccano macchinari che devono operare in un certo modo e poi non lo fanno, le persone possono farsi oggettivamente del male.
Molte aziende, però, non hanno protezioni di sicurezza cyber, perché mancano il personale – non ci sono abbastanza esperti del settore – e le risorse finanziarie per sostenere questi costi.
Dal mio punto di vista, sarebbe opportuno che lo Stato intervenisse a supporto, anche per la protezione del sistema Paese: attaccando le aziende, infatti, si può colpire l’intero sistema Paese.
Occorrerebbe quindi un aiuto concreto alle piccole e medie imprese. È vero che la NIS2 individua soggetti essenziali e importanti, ma tutti questi soggetti devono verificare che la loro supply chain sia almeno conforme e sicura. Per questo motivo, la NIS2 riguarda tutti. Ed è proprio per questo che è necessario aiutare tutte le imprese.
5. Come valuta l’attuale livello di maturità della cybersecuruty in Italia, sia nella pubblica amministrazione sia nelle imprese private?
Purtroppo, il livello di maturità della cybersecurity in Italia è basso. Questo è dovuto in parte al fatto che non ci abbiamo creduto abbastanza e anche al fatto che siamo uno dei Paesi con meno cultura digitale in Europa. Quando non esiste una cultura digitale diffusa, non c’è nemmeno una cultura sulla cybersecurity. È necessario investire nella formazione e sensibilizzazione per far crescere la consapevolezza, a partire dalla pubblica amministrazione fino alle imprese.
6. Dal suo punto di vista, quanto conta la componente formativa nella resilienza digitale e come START 4.0 agisce in questo ambito?
La formazione è la cosa assolutamente più importante. La tecnologia, da sola, non serve; servono prima le persone e i processi, solo dopo le tecnologie. Questo è evidente soprattutto quando si considerano anche le statistiche che indicano che il 70% degli incidenti sono causati dall’errore umano. Una cosa è la formazione d’aula, che io posso fare per far capire quali sono le responsabilità, oppure posso fare una lezione destinata ai responsabili di una centrale che devono imparare cosa vuol dire un attacco su larga scala; una cosa è avere la certezza che i dipendenti di un ente pubblico, di un’azienda, non clicchino su una mail che non dovrebbe essere aperta. Allora, qui è necessario fare una formazione che voglia trasferire consapevolezza e, per ciò, che sia basata su un’analisi continua del comportamento. Lanciamo delle campagne di pishing, vediamo, attraverso delle piattaforme basate sull’intelligenza artificiale, come risponde una persona che va a cliccare su un allegato malevolo (se dà le credenziali o meno, etc.); su questo costruiamo una pillola informativa di 15 minuti. Sono corsi che richiedono un anno, che rappresenta il tempo necessario per far cambiare il comportamento di una persona. Il centro, su questo tipo di awareness basato sulla consapevolezza, avendo formato i dipendenti di grosse aziende, di porti e di comuni, e così via, ha formato circa 200 mila persone ad oggi.
7. Il suo background in fisica ed ingegneria ha influenzato la sua visione strategica della sicurezza informatica. Quali competenze tecniche ritiene siano fondamentali per affrontare le sfide digitali?
Se dovessi tornare indietro, probabilmente non rifarei fisica, anche se mi ha dato un’apertura mentale molto ampia che mi permette di mettere insieme diversi “puntini”. Nella cybersecurity, è fondamentale avere competenze tecniche per sviluppare il codice di protezione e comprendere i sistemi, ma sono altrettanto importanti le competenze relative alle procedure di governance dei processi. La gestione dei processi è la chiave per una buona sicurezza, come evidenziato dalla NIS2, che richiede una politica aziendale chiara. Senza una buona governance, la parte tecnica non basta.
8. Quali sono i prossimi obiettivi strategici di START 4.0 per il triennio a venire?
Stiamo allestendo dei laboratori per fornire nuovi servizi e ci auguriamo che questo impegno enorme, che ci ha richiesto essere soggetti al PNR, ci abbia fatto conoscere e ci cerchino delle aziende per poter continuare a dare loro un supporto per la loro transizione digitale, per i loro percorsi formativi. In particolare allestiremo un laboratorio di formazione immersiva, ossia uno spazio che grazie alla realtà aumentata e alla realtà virtuale, ricostruisca ambienti che possono essere anche molto pericolosi (per esempio di lavoro), in cui addestrare il lavoratore in modo tale che le cose le faccia quasi da automa. Le criticità vengono costruite in maniera virtuale, in un posto sicuro, in modo tale che poi possano lavorare dal vivo in modo sicuro. Stiamo facendo un ottimo lavoro con i vigili del fuoco, con i quali, tramite un lavoro di formazione immersiva in cui facciamo fare delle esercitazioni, riproducendo veramente l’incendio con la fiamma e altri pericoli, insegniamo alle persone come mantenere la calma e ad evacuare in maniera preparata proprio in caso di previdenza di fuoco. Poi stiamo addestrando dei dipendenti di A2A in camere d’alta tensione virtuali al porto di Ravenna, che vorremmo costruire anche in casa nostra, dove, a seconda della richiesta, riprodurremmo un ambiente particolare dove addestrare le persone in questo mondo virtuale. Il nostro futuro passa anche da questo tipo di attività. Continueremo in questo percorso, continuando a supportare le imprese, come tramite del MIMIT.
L’approccio di START 4.0 con Paola Girdinio
L’intervista con la professoressa Paola Girdinio offre una visione concreta di come START 4.0 stia contribuendo alla protezione delle infrastrutture critiche e alla sicurezza digitale in Italia. L’esperienza e la visione strategica della professoressa sono fondamentali per affrontare le sfide della transizione digitale; il suo impegno nella formazione e nella collaborazione pubblico-privato, inoltre, è un valore aggiunto per il settore. Con un futuro che si prevede sempre più digitale, iniziative come quelle di START 4.0 sono cruciali per garantire un’Italia più sicura e, soprattutto, pronta ad affrontare le sfide del domani.
