Cloud e 5G, intervista al presidente del MIX Joy Marino

Cloud, security e 5G, intervista al presidente del MIX Joy Marino

Joy Marino, presidente del MIX, ci racconta come evolverà il 5G e come il cloud sta cambiando le realtà industriali e il mondo di tutti i giorni.

- Il 5G è quasi realtà, se ne parla da tanto. Quali sono i più importanti vantaggi per le attività professionali? Quali settori beneficeranno più di altri? Perché?
Ogni volta che arriva una nuova tecnologia siamo tutti sottoposti – e i giornalisti in particolare! – a un diluvio di “hype” che dovrebbe aiutare a creare aspettative e facilitare l’adozione del nuovo. Non dimentichiamo, infatti, che nulla è scontato, che gli ingenti investimenti in licenze, in primis, e in tecnologia, poi, devono essere sostenuti da un marketing martellante, pena il fallimento dei grandi piani industriali e del ritorno dell’investimento. Quando poi la tecnologia è davvero nuova, come nel caso del 5G, le preoccupazioni aumentano e il battage comunicativo arriva a far credere che tutto sia stato già fatto; ma non lo è.
Un dato importante: per realizzare il 5G ci vorrà qualcosa come 50 stazioni trasmittenti laddove ne bastava una sola. E una considerazione: il 5G è stato pensato per la condivisione delle infrastrutture e per l’interoperabilità dei servizi. Sono convinto che assisteremo a cambiamenti anche radicali nei modelli di business e nel potere di mercato dei vari soggetti che faranno parte della filiera. Soprattutto, mi pare di capire che sia ormai consolidato il modello di business che Internet ha imposto al mondo del mobile: i servizi devono essere interoperabili su tutte le reti, su tutti gli operatori e su tutte le tecnologie. Prevedo tempi duri per chi ha già investito in licenze, deve investire in infrastrutture e immagina ancora un mondo dove vince chi è integrato verticalmente.

- Le reti ad alta velocità, come tutte le tecnologie moderne, devono essere progettate secondo la logica “security-by-design” e rispondere a criteri di sicurezza elevati per soddisfare le odierne esigenze di business. Cosa è possibile fare per garantire il più elevato tasso di sicurezza possibile?
Premetto che non sono un esperto di security, anche se, a forza di vivere in questo mondo, qualcosa penso di aver capito.
“Security-by-design” mi sembra una pia illusione quando si ha a che fare con sistemi complessi come quelli che utilizziamo. Tutte le difese perimetrali, ad esempio, dalla linea Marginot fino ai firewall che costellano le reti aziendali, si basano sul principio (“by design” appunto) che tutto quello che sta fuori è potenzialmente cattivo e tutto quello che sta dentro è kosher mentre, più prima che poi, una falla viene aperta, come la storia insegna…
Uno dei principi cardine delle reti che discendono da Internet è, ancora oggi, quello della rete stupida e della responsabilità end-to-end per la comunicazione. Questo vale anche per quanto riguarda la sicurezza. Qualunque elemento della rete è potenzialmente compromesso e solo il riconoscimento reciproco dell’identità dei due nodi terminali e la comunicazione attraverso un canale sicuro (leggi: crittografato) può dare garanzie.
Questo in teoria, perché poi, se iniziamo a scendere di livello, dalle applicazioni ai sistemi, da questi agli apparati, arrivando fino al codice cablato direttamente sull’hardware, sorgono infiniti problemi che possono minare qualsiasi rapporto fiduciario. Era il 1983 quando Ken Thompson, onorava l’assegnazione del Turing Award con una relazione in cui dimostrava la possibilità teorica di nascondere un “Trojan horse” non rilevabile al livello più profondo di qualsiasi sistema informatico.
Ecco perché trovo che abbiano qualche fondamento i gridi di allarme sollevati dagli americani sull’adozione di apparati di rete prodotti da aziende con le quali non c’è un rapporto fiduciario, come quelle cinesi, nella fattispecie. Salvo poi dover richiamare il vecchio adagio che dice: “La prima gallina che canta ha fatto l’uovo” …

- Sicurezza significa anche formazione e conoscenza. La carenza di skill è però un fatto assodato; negli ultimi anni sono venute a mancare le competenze e le figure chiave per abilitare una digital transformation sicura. Quale approccio e quali risorse possono essere messo in campo per consentire lo sviluppo di una nuova generazione di esperti in cybersecurity?
Veramente non condivido. Credo che abbiamo tutte le competenze necessarie e che ci siano in Italia fior di esperti in grado di affrontare e risolvere i problemi legati alla sicurezza. Nonché di crearne sempre di nuovi: non se ne parla più molto e non so se ce ne possiamo vantare, ma la Hacking Team che aveva come clienti tutte le principali polizie, sia di paesi democratici sia di quelli di dubbia reputazione, è italiana.
Piuttosto, credo che manchi ancora una cultura della sicurezza ai livelli alti delle aziende, dove non ci si rende conto di quanto sia rischioso “vivere pericolosamente” nel mondo digitale. Non si tratta tanto di instillare paranoia in tutti gli ambiti, come fanno quelli che credono alle scie chimiche degli aerei, ma, piuttosto, di imparare ad adottare comportamenti responsabili e precauzionali, con l’atteggiamento di coloro che seguono corsi di “guida sicura” per le automobili.

- Sempre in rapporto alla cybersecurity: l’entrata in vigore del GDPR ha ricordato alle imprese l’importanza della privacy e della corretta protezione e salvaguardia dei dati. A quasi un anno dall’introduzione della normativa quale considerazioni si sente di fare circa il recepimento della norma e sulle relative implicazioni?
Non sta a me fare considerazioni generali su GDPR, non ne ho le competenze né la visibilità. Posso solo commentare in forma episodica, distinguendo gli aspetti della privacy – che incontriamo a ogni piè sospinto e che ci siamo abituati a considerare una sinecura (tanto c’è un ‘bottone’ da far sparire con un click) –, dagli aspetti relativi alla responsabilità per la salvaguardia dei dati. Per questi, non mi pare di aver letto di episodi eclatanti dove l’applicazione della legge abbia portato a sanzioni pesanti, o anche solo a una visibilità mediatica negativa. Ho l’impressione che noi italiani consideriamo il ruolo di chi fa applicare la legge come un fastidio da aggirare, così come ci comportiamo con l’autovelox o il tutor, piuttosto che un modo per far adottare un comportamento dovuto.

- Il cloud è oggi un paradigma consolidato e in continua ascesa: Come cambia l’approccio in ambito security considerando l’aumento esponenziale dei confini delle imprese e l’incremento della possibile superficie d’attacco? Come evitare che la complessità di alcune infrastrutture cloud ne vanifichi gli enormi vantaggi?
Trovo molto suggestiva l’immagine dell’“aumento esponenziale dei confini delle imprese”. Si tratta proprio di questo: il mondo digitale ha esteso la “superficie” che ogni soggetto mostra verso l’esterno, moltiplicando all’infinito le interazioni tra le organizzazioni; a pensarci bene, tutto questo è dovuto alla standardizzazione delle modalità di comunicazione e alla caduta esponenziale dei “costi di transazione”. Una volta vincevano le aziende integrate verticalmente, oggi vince la rete, anzi la ragnatela, di imprese, salvo poi scoprire che ci sono alcuni soggetti iper-giganti che sull’efficienza delle loro transazioni hanno costruito grandi fortune.
La prima cosa da imparare è che non si è mai completamente al sicuro: non esiste un “fuori” che si può tenere a bada e un “dentro” dove siamo totalmente sicuri. In secondo luogo, c’è un problema di velocità: così come i nostri Cloud possono scalare immediatamente al crescere del carico, erogando servizi “buoni”, qualunque attacco andato a buon fine può avere conseguenze catastrofiche in pochissimo tempo: la sorveglianza e la mitigazione dei danni non possono basarsi sul fattore umano.
La complessità è una faccenda inevitabile di tutti i sistemi, non può essere una scusa per arrendersi di fronte agli attacchi informatici. Se siamo stati in grado di inventare sistemi formali, che ci hanno permesso di scrivere programmi software estremamente complicati, eppure trattabili con la normale intelligenza umana, penso che con l’adozione generalizzata di tecnologie crittografiche e di sistemi formali (non diversi da quelli che stanno alla base della Computer Science), deve essere possibile provare la sicurezza di applicazioni e sistemi di grande complessità.
50 anni fa l’IBM aveva serie difficoltà a produrre un sistema operativo per una nuova architettura di calcolatore (“mainframe”) con un singolo processore; oggi abbiamo sistemi che fanno funzionare centinaia di migliaia di processori (che si possono guastare in ogni momento) senza soluzione di continuità.
Questo è il Cloud.