Mentre il Governo va avanti sulla gara del cloud per la PA e lancia la prima strategia cyber nazionale, bisognerebbe ricordare che questi due sono mondi molto complessi che hanno intersezioni profonde con altri settori, quello giuridico e quello geopolitico per esempio.
Tanto che gli interlocutori, inclusi talvolta interlocutori istituzionali o stakeholder che non si occupano abitualmente di questi mercati, tendono a non comprendere tutte le potenzialità ed i benefici dei servizi cloud ma soprattutto a sottovalutarne le possibili e talvolta pericolosamente critiche intersezioni con altre discipline, anche non strettamente legate all’informatica.
Il modello che AIIP ritiene corretto in questa fase di importante trasformazione digitale del Paese è quello che valorizza sì l’autonomia digitale, ma anche tuteli concorrenza e apertura del mercato.
Valori, questi tre, che devono essere costante presenza nelle mosse dei prossimi mesi e anni, nel dispiegarsi del PNRR.
Cloud nazionale, la nuova cyber security italiana passa anche da qui
Cloud e nuove reti, facciamo un passo indietro
Per capire cosa c’è in ballo è utile distanziarsi dal turbinio di questi giorni e guardare al passato, per ritrovare le stesse istanze che oggi sono sul tavolo.
Il cloud non è che uno dei tanti cambiamenti avvenuti nella storia dell’ICT e alcune questioni di sicurezza analoghe a quelle odierne sono già state anticipate addirittura negli anni Sessanta.
Per capire alcuni dei cambiamenti in atto giova tornare al 1997, qualche anno dopo la nascita dei primi Internet service provider (ISP) italiani, quando David Isenberg, allora in AT&T, pubblica sulla rivista Computer Telephony un articolo che avrebbe fatto storia: “Rise of the stupid network – Why the intelligent network was once a good idea but isn’t anymore”.
L’articolo, che sulla base dei business model all’epoca in vigore preconizzava i cambiamenti che Internet avrebbe portato nel mondo delle telecomunicazioni, avrebbe avuto enorme successo – forse un po’ meno in AT&T – tanto che David Isenberg lascerà l’azienda ma terrà in seguito oltre cento conferenze in tre continenti per spiegare come una rete “intelligente” sotto lo stretto controllo dell’operatore, con servizi definiti dalla rete e basata sulla scarsità di risorse per giustificare la vendita di servizi premium, sarebbe stata giocoforza soppiantata da una nuova rete, Internet, che, spostando il controllo nelle mani dell’utente finale, avrebbe avuto bisogno solo di un’infrastruttura “stupida” togliendo di fatto “potere” agli operatori dell’epoca.
La nuova rete sarebbe stata basata su intelligenza nel dispositivo dell’utente, sulla libertà dell’utente di scegliere quali dispositivi, servizi e applicazioni utilizzare, nel valore generato dagli impiegati e dalle aziende in grado di interpretare il cambiamento in atto.
Isenberg aveva di fatto predetto quello che abbiamo visto accadere su Internet nei venticinque anni successivi e che ha permesso lo sviluppo della stessa Internet e delle applicazioni che oggi tutti conosciamo e utilizziamo.
L’anno successivo Isenberg riprende un principio degli anni ‘60, il principio KISS della marina statunitense (Keep it simple, stupid), che stabilisce che la maggior parte dei sistemi lavora meglio se progettato per essere semplice e soprattutto non appesantito con inutile complessità – e lo applica a Internet, intuendo che questo principio diventa fondamentale quando i costi della complessità sono elevati.
“Il costo più grande della complessità è un costo di opportunità” scrive Isenberg – opportunità mancate o, di fatto, impedite – e continua: “Quando perdiamo il controllo individuale delle nostre macchine, paghiamo” ma non si riferisce ai costi necessari per pagare qualcuno che le noleggi, le supporti, le faccia funzionare o le aggiusti, si tratta di trovarsi di fatto in un mondo dove nessuno avrà più le capacità di farlo, dove si sarà persa la conoscenza sul come farlo. E questo, di fatto, inibisce l’abilità di innovare e di realizzare quei miglioramenti che non saranno inventati perché la complessità sarà troppo elevata. Una delega in toto, opportunità perse che saranno sfruttate economicamente da altri – un evidente costo di sistema.
Se torniamo ai nostri giorni possiamo accorgerci di come con il cloud i “dati” ed il “controllo” si allontanino nuovamente dall’utente che “cede” quel controllo che aveva acquistato con venti anni di sviluppo di Internet.
Non c’è data protection senza cybersecurity
Questo ha impatto anche sulla sicurezza. Recentemente il Ministro Giorgetti, intervenuto al venticinquesimo anniversario dell’Autorità Garante per la Protezione dei Dati Personali ha legato la protezione dei dati con la sicurezza: “non si può garantire la data protection senza cybersecurity”. Una riflessione correttissima che ci porta a pensare che quando non si sa come funziona una cosa, quando non si ha competenza, per quanto questa cosa possa essere sicura il disastro è sempre dietro l’angolo e la delega di fiducia nei confronti del fornitore è totale.
Fortunatamente oggi siamo forse ancora in un mondo in cui due persone in un garage o in una start-up possono ancora inventare qualcosa di nuovo – la maggior parte dei giganti ICT sono nati in questo modo – certo con molti più vincoli amministrativi e legali di venticinque anni fa ma per fortuna ancora senza la necessità di chiedere a qualche impresa il permesso di innovare. Cosa accadrà invece con la complessità del “vero” 5G o con la diffusione spinta del Software as a Service (SAAS)? Siamo sicuri che questa “libertà” di innovazione continui ad essere disponibile per i nostri giovani?
Cinque punti per sfruttare in modo sano le opportunità del cloud
C’è da chiedersi cosa possano e debbano fare utenti, imprenditori ed istituzioni per sfruttare in modo sano le opportunità del cloud. Nel corso del Convegno Annuale AIIP del 26 maggio 2022 abbiamo illustrato alcuni dei principali punti di attenzione:
- impegnarsi per garantire al nostro Paese un’autonomia digitale (industriale e tecnologica) fondata sulla valorizzazione e promozione delle competenze Italiane, che oggi sono risorsa scarsa, sostenendo quella volontà e quella capacità di sapere e di fare che è il vero valore dell’imprenditoria italiana;
- individuare un ruolo e supportare lo sviluppo del tessuto industriale italiano ad alta tecnologia, depositario delle competenze sopra citate, senza travolgerlo con regolamentazioni inefficienti e che prediligono spesso il divieto preventivo invece che il controllo successivo. Si tratta di un mondo formato da piccolissime, piccole e medie imprese che hanno portato l’Italia su Internet realizzando i primi siti web, fornendo accesso ad Internet, promuovendo la nascita dei primi datacenter, dei maggiori punti di interscambio (IXP[1]), svolgendo una poderosa opera di alfabetizzazione informatica e che oggi sono il maggior depositario di competenze tecnologiche, tra l’altro in un mondo molto prossimo ai soggetti pubblici e privati che più abbisognano di servizi di comunicazione elettronica e cloud;
- prevenire e individuare transizioni al cloud o a servizi SAAS che nascondano fenomeni di “lock in”[2] ponendosi dal principio il problema di cosa può accadere ai dati nel medio e lungo periodo e accertandosi, in particolare per la pubblica amministrazione, di avere un controllo effettivo ed economicamente sostenibile sui propri dati, di poter fare affidamento sulla loro confidenzialità, migrabilità ad altri fornitori, interoperabilità con altri servizi, questo in qualsiasi momento e scenario ordinario o straordinario, sia esso termine del periodo contrattuale, criticità geopolitica, guasto o compromissione di un single point of failure la cui esistenza è tanto più probabile quanto maggiore è la concentrazione di dati e servizi;
- prediligere, specialmente per la PA, tecnologie che non siano disponibili solamente presso un unico produttore/fornitore e, qualora questo fosse irrinunciabile, limitarne l’uso e prevedere in caso di ambiti critici che l’intero codice sorgente, ove applicabile, sia reso disponibile all’Agenzia per la Cybersecurity per le opportune analisi in caso di necessità; in questi casi incentivare la concorrenza a sviluppare tecnologie alternative che in futuro possano diventare disponibili sul mercato e quindi sostituibili;
- infine, favorire open source e free software sia in ambito Cloud che in ambito Cybersecurity, garantendo API e specifiche tecniche aperte e documentate, permettendo l’uso di software autoprodotto e prevenendo pericolosi fenomeni di “tying” fra applicazioni o servizi e rete o risorse cloud.
Conclusioni
Non si tratta di uno scenario autarchico, ma di proposte di crescita responsabile che possono procedere e realizzarsi anche in collaborazione con altre nazioni, magari europee, ma purché si agisca seguendo rigorosamente l’obiettivo di preservare strategicamente l’interesse del nostro Paese in qualsiasi scenario.
Come è noto a qualsiasi esperto di sicurezza, disastri naturali, attacchi fisici o di tipo cyber, eventi geopolitici, cambi di strategie commerciali, guasti e malfunzionamenti posso avvenire in qualsiasi momento e sicuramente avverranno. È necessario essere pronti e attenti per quando questo accadrà e massimizzare il livello di consapevolezza e preparazione tramite un dialogo aperto e responsabile fra tutti gli stakeholder coinvolti, incluse le associazioni di categoria come AIIP.
Note
- AIIP è socio fondatore di Mix, punto di interscambio di Milano, e soci AIIP hanno promosso la costituzione del Consorzio Namex, punto di interscambio di Roma, attualmente i due principali punti italiani di interscambio del traffico Internet in Italia. ↑
- Per “lock-in” si intende una strategia per cui è molto facile “entrare” in un servizio ma dove di fatto se ne diviene prigionieri per i costi o le difficoltà che vengono a generarsi quando si desidera passare ad un altro servizio o di svolgere funzionalità non previste dal fornitore. ↑
