Articolo di Roberto Setola, Direttore Master in Cybersecurity Management, Università Campus Bio-Medico di Roma e Massimo Ravenna, Direttore Centro Studi Cyber Sustainability & Resilience, Cyber Security Italy Foundation
Sostenibilità e Cybersecurity appaiono, quanto meno in molte realtà industriali, come due tematiche distinte, con finalità proprie, gestite con approcci organizzativi e strumenti metodologici profondamente diversi. Eppure questi due aspetti sono strettamente correlati.
In primo luogo sono due obiettivi che appaiono ad un osservatore con scarsa capacità prospettica come due elementi che si oppongono al business, che ne ostacolano la sua realizzazione, due dimensioni che limitano la libertà dell’individuo e dell’azienda. Invece sono due enabling factor che consentono la “sopravvivenza” dell’azienda a dispetto di cambiamenti epocali che stiamo vivendo.
Inoltre occorre considerare che sia la sostenibilità che la cybersecurity sono due dimensioni dove il comportamento del singolo è importante quanto quelle aziendale, dato che entrambe le tematiche fanno riferimento ad una sfida dove l’azione del singolo può essere sia sinergica con le politiche aziendali ma anche rappresentare l’elemento debole che vanifica gli sforzi di molti.
In questi anni il tema della sostenibilità ha acquisito, giustamente, una forte rilevanza nelle aziende molte delle quali hanno già iniziato ad elaborare bilanci ESG per valutare la loro postura ed essere conformi al dettame di utilizzare le risorse in modo responsabile e saggio per soddisfare i bisogni attuali garantendo che tali risorse rimangano disponibili per le generazioni future. In questo quadro il tema della cybersecurity deve essere visto come un prerequisito fondamentale per poter traguardare tali obiettivi. Occorre, infatti, considerare che tutti i sistemi tecnologici utilizzati nei diversi settori (produzione energetica, trasporti, produzione alimentare, etc.) si basano su una architettura informatica per gestire il loro funzionamento, ottimizzare i consumi e prevenire impatti negativi sull’ambiente e sulle persone.
Nello specifico sono le Operational Technologies (OT) che si occupano del monitoraggio e del controllo dei diversi processi fisici. Per tutta una serie di ragioni, questi sistemi sono oggi esposti alla minaccia cyber le cui conseguenze travalicano però la mera dimensione cyber per trasformarsi in eventi cinetici con potenziali conseguenze anche catastrofiche sull’ambiente e sulla salute delle persone. Un’idea di quelle che potrebbero essere le conseguenze per l’ambiente di un attacco cyber è illustrato dal progetto Aurora. Nel 2007 gli Idaho National Lab realizzarono in attacco cyber a un generatore elettrico da 27 tonnellate riuscendo a portarlo ad operare in condizioni critiche fino a provocarne la rottura meccanica come chiaramente visibile dal video presente in rete . Gli effetti furono vibrazioni, emissione di fumi e perdita di olio e liquidi. In realtà gli effetti per l’ambiente possono generarsi anche in modo indiretto come occorso in Danimarca nel 2022 quando un attacco cyber ad un fornitore dell’infrastruttura ferroviarie comportò il blocco della circolazione ferroviaria con spostamento degli utenti sui più inquinanti mezzi di trasporto su gomma. Oltre questi ci sono stati altri episodi che hanno comportato impatti “ambientali” che spaziano da consumi energetici anomali, alla produzione di ingenti quantità di rifiuti (per la degradazione delle risorse impiegate nel ciclo produttivo) fino a riversamento di inquinanti. Queste problematiche sono poi accentuate nei contesti come le smart-city e le smart-grid dove la componente cyber è alla base dei bilanciamenti e dell’ottimizzazione energetica e dove una alterazione del funzionamento del sottostante sistema OT può paralizzare l’intera infrastruttura.
La stretta correlazione tra sostenibilità e cybersecurity trova conferma nell’importanza delle infrastrutture critiche, dove i sistemi di Operational Technology (OT) giocano un ruolo centrale. Ad esempio, il framework normativo delineato dalla Direttiva NIS 2 evidenzia come la protezione di reti energetiche e trasporti debba includere sia la sicurezza informatica sia la gestione sostenibile delle risorse. La convergenza di questi due ambiti non solo mitiga i rischi, ma ottimizza anche i consumi, garantendo resilienza operativa e una riduzione dell’impatto ambientale.
Appare pertanto evidente che realizzare un sistema di controllo ESG che non tenga conto della dimensione cyber rischia di dare un senso di postura green che in realtà risulta non corretta in quanto eventi anche banali possono impattare in modo significativo sulla propria impronta ambientale. La cybersecurity è , e deve essere compresa, come un elemento fondamentale per ogni strategie di sostenibilità.
Occorre d’altra parte, guardare anche alla cybersecurity in ottica di sostenibilità. Ogni controllo di cybersecurity è una azione che impatta sia sul consumo energetico, sia su quella che è la libertà di azione del singolo che in termini di vincoli sull’azione di governo. Se vogliamo essere sostenibili occorre analizzare anche la dimensione della cybersecurity con l’ottica propria della sostenibilità. Recentemente la French Agency for Ecological Transition ha effettuato uno studio su quella che è l’emissione di gas serra associato ad ognuno dei 700 controlli presenti nel Cybersecurity Framework del NIST rilevando una significativa disparità che lascia spazio per una ottimizzazione de controlli in grado di tener conto sia dell’efficacia in termini di robustezza cyber che di sostenibilità ambientale .
Se andiamo a guardare ad un settore particolare come quello della sanità ci accorgiamo che è uno dei settori più impattanti a livello di sostenibilità ambientale contribuendo a livello mondale in modo diretto al 5% delle emissioni di gas serra tenendo conto sia dei consumi delle strutture sanitarie, che degli impatti legati alla produzione e smaltimento dei farmaci e dei dispositivi medicali. A questo vanno aggiunti i costi della mobilità associati al mondo salute (si pensi solo agli impatti ambientali del così detto turismo sanitario) e di quelle che sono le imprecazioni sul piano sociale della sanità.
Per altro il settore salute è anche uno di quelli preferiti dai cybercriminali risultando il target del 14,5% degli attacchi cyber.
Eppure sostenibilità e cybersecurity sono due termini che non compaiono in praticamente nessun corso di formazione per operatori e manager della sanità. Questo ci dovrebbe far riflettere.
Per fornire uno spazio di riflessione sull’importanza di considerare il connubio fra cybersecurity e sostenibilità, nasce, sotto l’egida della Cyber Security Italy Foundation, il Centro Studi Cyber Sustainability & Resilience. Questo Centro si propone di diventare un punto di riferimento per sviluppare analisi, modelli operativi e strumenti tecnologici che affrontino le sfide della resilienza digitale e della sostenibilità ambientale in modo integrato. L’obiettivo è promuovere soluzioni innovative che, basandosi su framework consolidati come il NIST CSF 2.0, supportino le aziende italiane nel coniugare sicurezza informatica e criteri ESG, rispondendo alle esigenze normative e operative di un mercato sempre più competitivo e interconnesso. La missione del Centro è favorire una cultura aziendale che consideri la sostenibilità digitale non solo un imperativo etico, ma un vantaggio strategico per il futuro.
L’evoluzione della sostenibilità e della cybersecurity richiede di superare una visione frammentaria e adottare un approccio integrato e normativamente allineato. Come dimostrano i risultati del Cybersecurity Framework 2.0 del NIST, il successo dipende dalla capacità delle organizzazioni di integrare la sicurezza in tutti i livelli operativi, sfruttando tecnologie emergenti come l’IA e il machine learning per ottimizzare le risorse e prevenire attacchi. Investimenti mirati in infrastrutture resilienti e pratiche conformi a standard europei e internazionali, come il regolamento (UE) 2019/881, assicurano un progresso tecnologico che bilancia competitività economica e tutela ambientale. La sostenibilità digitale rappresenta così un nuovo paradigma per le imprese.
