Sta per partire il corso di alta formazione di SPaDA in “Cybersecurity: Prevenzione e Difesa”: con l’occasione abbiamo intervistato il professor Mauro Conti, Presidente del corso di laurea magistrale in Cybersecurity dell’Università di Padova, chiamato ad aprire le lezioni della Scuola Padovana di Direzione Aziendale. «La cybersecurity tocca tutti, dalla pubblica amministrazione alle aziende, fino all’utente privato, perché tutti abbiamo dati da proteggere».
Perché la sicurezza informatica è importante? Perché rappresenta la salvaguardia degli interessi dell’azienda, in rete e non solo. In concomitanza col lancio del corso di alta formazione “Cybersecurity: Prevenzione e Difesa”, organizzato da S.Pa.D.A. e prossimo a partire il 7 novembre, abbiamo intervistato il professor Mauro Conti, l’uomo che meglio può inquadrare lo stato dell’arte nel settore. Presidente del corso di laurea magistrale in Cybersecurity dell’Università di Padova, Advisor for Academy Entrepreneurship development al Bo, Conti introdurrà il corso della Scuola Padovana di Direzione Aziendale di Confapi.
Professore, il corso di laurea che coordina è ormai al suo quarto anno di vita. E i numeri che gli stanno dietro confermano che l’interesse è più che mai vivo.
«Non abbiamo il numero chiuso ma siamo comunque selettivi all’ingresso, accogliendo una settantina di studenti l’anno, ma vagliandoli tra centinaia di richieste che arrivano da tutto il mondo. Circa la metà degli studenti proviene dall’Italia, l’altro 50% dall’estero».
Quante figure servirebbero per colmare interamente il bisogno di esperti nel settore?
«Andrebbero formate almeno 5 o 6 milioni di persone. Mettiamola così: se avessimo nel mondo l’equivalente dell’intera popolazione del Veneto esperta in cybersecurity ci sarebbe piena occupazione per tutti. Nella sola Italia possiamo calcolare la necessità di circa 200 mila professionisti nel settore: per quanto queste siano ovviamente stime approssimative, rendono l’idea. La loro mancanza crea seri problemi, le aziende sono esposte e alcune perdono opportunità di sviluppo e di business per questa carenza».
Li pescate tra informatici ed elettronici, ma il corso non riguarda solo materie tecniche, ma anche aspetti normativi, di privacy, di psicologia per l’interazione uomo macchina. Che figure professionali escono dal corso?
«Le specializzazioni sono molteplici e abbiamo piani di studi che orientano in una direzione piuttosto che nell’altra. C’è il profilo manageriale di chi deve essere esperto nella gestione della security, ovvero di procedure, certificazioni e personale, e c’è chi viene formato per essere il responsabile della cybersecurity in aziende che hanno come core business qualcosa di diverso. Chiaramente alcuni servizi si possono esternalizzare, ma per altri è necessario avere qualcuno a disposizione 24 ore su 24, anche perché gli attacchi non hanno orari. Nel momento in cui un’azienda comincia ad avere informazioni riservate, come ad esempio proprietà intellettuali e brevetti, ha anche la necessità di referenti interni preparati nell’area relativa alla sicurezza informatica».
Da profani abbiamo in mente l’attacco con conseguente richiesta di riscatto, del tipo di quelli che hanno colpito il sistema sanitario in Lazio e in Veneto. Lei stesso ha avuto modo di citare come alcuni anni fa in contemporanea vennero attaccati ospedali in Inghilterra e in Canada: un bel mattino i direttori sanitari si sono trovati con le sale rianimazione bloccate, così le sale operatorie, la distribuzione dell’ossigeno, la somministrazione dei medicinali. In realtà i campi in cui serve proteggersi sono numerosi.
«La cybersecurity tocca tutti, dalla pubblica amministrazione all’azienda, fino all’utente privato, perché tutti abbiamo dati da proteggere. Stiamo sempre più affidando la nostra vita ai sistemi informatici, dalla sveglia del telefono alla luce da accendere, ai sistemi di trasporto. Un attacco a uno qualsiasi di questi sistemi rischia di mettere in ginocchio il singolo come la società. Badate: noi parliamo solo di sicurezza, gli inglesi distinguono fra “security”, ovvero il controllo dell’informazione, e “safety”, per indicare che qualcuno può farsi del male. Pensate solo alle componenti cibernetiche presenti nelle auto, anche senza essere al volante di una Tesla. Cosa può succedere se viene compromesso il sistema frenante o di tenuta di strada? Danneggiare questi sistemi può mettere a rischio la stessa vita».
Una deriva che potrebbe rivelarsi ancora più pericolosa nel momento in cui si diffonderanno le auto a guida autonoma.
«Attacchi ce ne sono già stati, non a caso questa è proprio un’area di ricerca del mio gruppo. Il machine learning, d’altra parte, è un “pezzo” del sistema potenzialmente vulnerabile e gli attacchi possono essere di tipo cibernetico o di tipo fisico. Nel primo caso pensate a cosa succede se la tecnologia che consente di distinguere un pedone da un semplice segnale stradale viene manomessa. Ma ci sono anche attacchi di tipo fisico: è stato dimostrato che un certo adesivo sul segnale dello stop fa sì che quel segnale venga interpretato come un limite di velocità invece che, appunto, come uno stop, con le conseguenze che si possono immaginare».
Tutto ciò spaventa.
«Io sono un forte sostenitore della tecnologia, ci mancherebbe. Ma non possiamo adottarla in maniera cieca, chiudendo gli occhi sui potenziali problemi. E vale ancora di più nel mondo delle aziende, ormai sempre più digitalizzate, anche grazie agli incentivi adottati attraverso il programma Industria 4.0. È stato un passaggio inevitabile: sono state inserite sempre più strutture digitali nelle imprese, con cui diminuire i costi, automatizzare e aumentare la produzione e innovare, ma sono tutti potenziali punti di ingresso per un “attaccante”. Prima citavamo l’attacco ransomware – un tipo di malware che limita l’accesso del dispositivo che infetta – e in quel caso il meccanismo è un po’ quello della pesca a strascico: attacco in generale e vedo se salta fuori un riscatto. Attenzione, però, perché si può anche diventare obiettivi specifici: se l’azienda sta ferma una settimana e deve lasciare i dipendenti a casa, vedete da soli che i costi possono essere alti. Ed è successo, lo sappiamo. Anche senza arrivare alla violazione di brevetti, a cui accennavamo in precedenza, immaginate solo cosa significhi per un piccolo imprenditore avere un rivale che ti spia per sapere quali sono i tuoi fornitori, che prezzi applichi e a quanto compri le merci, semplicemente per ricavarne un vantaggio competitivo. E accade anche questo con una frequenza maggiore di quanto non si pensi. Non a caso nel ramo si usa dire che ci sono due tipi di aziende: quelle che hanno subito attacchi e quelle che non lo sanno».
Tutti argomenti validi per spingere a partecipare al corso di S.Pa.D.A.. Perché un imprenditore dovrebbe frequentare il corso?
«Il messaggio principale è questo: bisogna essere consapevoli. Se non lo si è, i rischi sono maggiori. Porsi il problema è un po’ come sottoporsi a periodiche analisi del sangue: può essere utile a prevenire l’insorgere di malattie ed è un modo per fare una piccola riflessione e capire se si è vulnerabili. E badate che vale il principio di Pareto, quello che afferma che sul 100% di azioni che compiamo, è solo il 20% di queste azioni che genera l’80% del risultato. Chiaro che se poi è necessario un intervento tecnico ci si rivolge a un esperto come quelli che “sforniamo” dal nostro corso di laurea, ma il primo passo è appunto capire nello specifico e nel concreto le misure da mettere in campo per ridurre quanto più possibile i rischi che corre la propria azienda».
Professore, lei è anche Advisor for Academy Entrepreneurship development dell’Università di Padova e di recente ha partecipato all’incontro al Bo con Confapi per approfondire le opportunità di collaborazione con il mondo delle piccole e medie imprese. Che prospettive di cooperazione ci sono?
«L’iniziativa che rientra nell’ambito della Terza missione, uno dei pilastri dell’attività universitaria assieme a ricerca e formazione, con cui si intendono tutte le iniziative che hanno un impatto sulla società e sul territorio. In questa prospettiva, la collaborazione con Confapi è preziosa, come lo sono quelle con enti pubblici come Comune e Regione. L’Università è un’eccellenza del territorio, ma lo sono anche molte delle nostre imprese. Il problema è che sinora c’è stata poca sinergia tra i due mondi e questo, semplicemente, è uno spreco. Ecco perché io vedo tre linee di collaborazione: il dialogo col territorio; l’effetto leva attraverso progetti congiunti tra aziende e Università – e penso, per citare un solo esempio, al Bando Brevetti del Mimit, con cui si possono valorizzare brevetti prodotti dall’Università e creare opportunità per le imprese –; infine, last but not least, la collaborazione legata agli spin-off dell’Università di Padova, che sono una sessantina e si occupano di ambiti diversi ma comunque altamente innovativi: dalla sinergia con Confapi le start-up possono trovare un volano per crescere».
Diego Zilio
Ufficio Stampa Confapi Padova