Informazioni personali

Cerca nel blog

Translate

sabato 28 marzo 2020

Smartworking, parliamone in maniera sensata.

E’ tutto un parlare di smartworking ora che siamo tutti chiusi a casa, ma trovo sempre più spesso che si facciano confusioni tra telelavoro, smartworking, remote working e lavoro in generale. Tutto normale, amiamo parlare di cosa non conosciamo :).

Data la situazione attuale molti lavoratori sono stati costretti a lavorare da casa per la quarantena, ovviamente parliamo principalmente di lavori impiegatizi e del terziario, difficile immaginare un tornatore che possa fare la sua attività da remoto (almeno oggi come oggi). e con il lavoro da casa sono usciti decaloghi agghiaccianti, pressapochismo allo stato dell’arte e giuste perplessità’ di fronte a richieste tipo: devi usare il tuo computer. per non parlare di PA che si sono lanciate in acrobazie documentali da far firmare ai propri lavoratori con asinate perisno sui riferimenti di legge (ovvio con richiami pre-GDPR assolutamente insensati :-))

Il tutto nasce, ovviamente, da impreparazione, cialtronaggine e improvvisazione in tempi di crisi, ma cosa rimarrà’ dopo che la crisi sara’ passata? Almeno abbiamo capito di cosa si parla?

Lo smart-working non e’ il lavorare da casa facendo quello che facevo in ufficio, lo smartworking richiede un cambio di paradigma nella gestione e misurazione del lavoro che si sposta dall’orario/presenza ad obiettivi misurabili inerenti la attività. Il problema e’ quindi essenzialmente manageriale e di processo. L’idea sottesa allo smartworking non e’ lavorare da casa, ma offrire una prestazione allineata ad obiettivi concordati. il dove, come e quando si fa e’ poi un problema contingente al tipo di prestazione richiesta. Risulta quindi chiaro che, in termini di smartworking, la specifica attività possa richiedere il monitoraggio di indici di produttività che fanno parte degli obiettivi concordati. ma sia chiaro devono essere indici che fanno riferimento agli obiettivi cui la attività e’ preposta. Nel caso no vi siano vincoli, ad esempio, legati all’interfacciamento col pubblico persino le fasce orarie possono non avere senso. Il target naturale dello smart-working e’ il Knowledge worker, che per definizione ha nella sua prestazione intellettuale, conoscenza, creatività il valore aggiunto che offre alla azienda, in questi termini certi vincoli sono semplicemente controproducenti, l’unico che ha senso e’ l’oggetto della prestazione nelle tempistiche concordate.

Se gli obiettivi sono raggiunti, come questo sia fatto e’ assolutamente secondario a patto che non vi siano violazioni di qualche tipo degli accordi tra le parti. Sta al management fissare obiettivi concreti, misurabili e temporalmente accettabili che vanno eventualmente concordati. Uno dei problemi del Knowledge Working (e quindi dello smart-working) e’ che non vi sono riferimenti assoluti per tutti, ecco perché l’unica misurazione che ha senso e’ quella ad obiettivi. Certo questo richiede da entrambe le parti (imprenditore/manager e prestatore d’opera) un approccio al lavoro professionale e serio. Per chiarire il concetto, per poter gestire i Knowledge Worker e lo smartworking occorre che entrambe le parti convengano su un concetto di valore che va al di la della remunerazione monetaria, l’ambiente di lavoro (inteso come insieme di interazioni umane, regole e processi) non e’ un punto secondario nella contrattazione.

Attenzione che una delle ricadute del knowledge working e in senso lato dello smartworking e’ la maggiore mobilita’ della forza lavoro, che tende più facilmente a spostarsi verso soluzioni lavorative più consone, mobilita’ che in italia dal punto di vista manageriale e’ sempre vista con sospetto e vissuta molte volte come un “tradimento” retaggio forse di un approccio “patriarcale” e impermeabile al concetto di valore apportato dal prestatore d’opera. Buffo come spesso si applichi una categoria morale in maniera non biunivoca, se si può mandar via senza sentirsi in colpa (il business e’ business) il management italiano ha ancora difficoltà a accettare che un prestatore d’opera se ne vada semplicemente perché vuole migliorare la sua posizione lavorativa o, spesso, per allontanarsi da un ambiente che non lo gratifica professionalmente e quindi da un giudizio negativo in merito.

In ultima analisi lo smartworking non e’ per tutti ne per tutte le funzioni, i vincoli culturali e manageriali, ad esempio, sono tanto forti quanto quelli operativi:

1) deve essere possibile avere un lavoro per obiettivi (che include la loro misurabilità’ nei diversi aspetti: temporale, qualitativo etc etc etc)

2) il management deve essere preparato per questo tipo di gestione

3) deve esistere una infrastruttura che consenta lo svolgimento dello smartworking (che ripeto nulla o quasi centra col lavorare da casa) in termin di strumenti e processi

4) si devono trovare knowledge workers che siano compatibili con gli obiettivi ed i processi in atto nella azienda.

Laddove almeno questi 4 punti siano verificati si può iniziare a parlare di smart-working, altrimenti siamo al telelavoro, lavoro da casa, o chiamatelo come si voglia.



from WordPress https://ift.tt/39oQkXI
via IFTTT

Smartworking, parliamone in maniera sensata.

E’ tutto un parlare di smartworking ora che siamo tutti chiusi a casa, ma trovo sempre più spesso che si facciano confusioni tra telelavoro, smartworking, remote working e lavoro in generale. Tutto normale, amiamo parlare di cosa non conosciamo :).

Data la situazione attuale molti lavoratori sono stati costretti a lavorare da casa per la quarantena, ovviamente parliamo principalmente di lavori impiegatizi e del terziario, difficile immaginare un tornitore che possa fare la sua attività da remoto (almeno oggi come oggi). E con il lavoro da casa sono usciti decaloghi agghiaccianti, pressapochismo allo stato dell’arte e giuste perplessità di fronte a richieste tipo: “però devi usare il tuo computer”, per non parlare di PA che si sono lanciate in acrobazie documentali da far firmare ai propri lavoratori con asinate persino sui riferimenti di legge (ovvio con richiami pre-GDPR assolutamente insensati :-))

Il tutto nasce, ovviamente, da impreparazione, cialtronaggine e improvvisazione in tempi di crisi, ma cosa rimarrà’ dopo che la crisi sara’ passata? Almeno abbiamo capito di cosa si parla?

Innanzi tutto smart working è un temine che esiste solo in italia e non significa assolutamente nulla, si dovrebbe dire telelavoro (sai com’è siamo in italia) o, con notazione altrettanto obbrobrioso, lavoro agile.

Ma siccome tutti lo chiamano smart working, continuerò a chiamarlo così visto che sembra che altrimenti non si capisca di cosa si parla.

Lo “smart”-working non e’ il lavorare da casa facendo quello che facevo in ufficio, lo smartworking richiede un cambio di paradigma nella gestione e misurazione del lavoro che si sposta dall’orario/presenza ad obiettivi misurabili inerenti la attività. Il problema e’ quindi essenzialmente manageriale e di processo. L’idea sottesa allo smartworking non e’ lavorare da casa, ma offrire una prestazione allineata ad obiettivi concordati. Il dove, come e quando si fa e’ poi un problema contingente al tipo di prestazione richiesta. Risulta quindi chiaro che, in termini di smartworking, la specifica attività possa richiedere il monitoraggio di indici di produttività che fanno parte degli obiettivi concordati. Ma sia chiaro devono essere indici che fanno riferimento agli obiettivi cui la attività è preposta. Nel caso non vi siano vincoli, ad esempio, legati all’interfacciamento col terzi (si pensi ad uno sviluppatore, un copywriter, uno scrittore) persino le fasce orarie possono non avere senso. Il target naturale dello smart-working e’ il Knowledge worker, che per definizione ha nella sua prestazione intellettuale, conoscenza, creatività il valore aggiunto che offre all’azienda, in questi termini certi vincoli sono semplicemente controproducenti, l’unico che ha senso è l’oggetto della prestazione nelle tempistiche concordate.

Se gli obiettivi sono raggiunti, come questo sia fatto e’ assolutamente secondario a patto che non vi siano violazioni di qualche tipo degli accordi tra le parti. Sta al management fissare obiettivi concreti, misurabili e temporalmente accettabili che vanno eventualmente concordati. Uno dei problemi del Knowledge Working (e quindi dello smart-working) e’ che non vi sono riferimenti assoluti per tutti, ecco perché l’unica misurazione che ha senso e’ quella ad obiettivi. Certo questo richiede da entrambe le parti (imprenditore/manager e prestatore d’opera) un approccio al lavoro professionale e serio. Per chiarire il concetto, per poter gestire i Knowledge Worker e lo smartworking occorre che entrambe le parti convengano su un concetto di valore che va al di la della remunerazione monetaria, l’ambiente di lavoro (inteso come insieme di interazioni umane, regole e processi) non e’ un punto secondario nella contrattazione.

Attenzione che una delle ricadute del knowledge working e in senso lato dello smartworking e’ la maggiore mobilità’ della forza lavoro, che tende più facilmente a spostarsi verso soluzioni lavorative più consone, mobilità che in italia dal punto di vista manageriale e’ sempre vista con sospetto e vissuta molte volte come un “tradimento” retaggio forse di un approccio “patriarcale” e impermeabile al concetto di valore apportato dal prestatore d’opera. Buffo come spesso si applichi una categoria morale in maniera non biunivoca, se si può mandar via un collaboratore senza sentirsi in colpa (il business e’ business) il management italiano ha ancora difficoltà a accettare che un prestatore d’opera se ne vada semplicemente perché vuole migliorare la sua posizione lavorativa o, spesso, per allontanarsi da un ambiente che non lo gratifica professionalmente e quindi da un giudizio negativo in merito.

In ultima analisi lo smartworking non e’ per tutti ne per tutte le funzioni, i vincoli culturali e manageriali, ad esempio, sono tanto forti quanto quelli operativi:

1) deve essere possibile avere un lavoro per obiettivi (che include la loro misurabilità’ nei diversi aspetti: temporale, qualitativo etc etc etc)

2) il management deve essere preparato per questo tipo di gestione

3) deve esistere una infrastruttura che consenta lo svolgimento dello smartworking (che ripeto nulla o quasi centra col lavorare da casa) in termin di strumenti e processi

4) si devono trovare knowledge workers che siano compatibili con gli obiettivi ed i processi in atto nella azienda.

Laddove almeno questi 4 punti siano verificati si può iniziare a parlare di smart-working, altrimenti siamo al telelavoro, lavoro da casa, o chiamatelo come si voglia.

giovedì 12 marzo 2020

5G e le reti di quinta generazione:

Appena prima della crisi coronavirus si parlava molto di 5G, in televisione si vedevano meravigliose pubblicità, si pensi agli spot di TIM o Vodafone, che decantano un futuro incredibile reso possibile dalle reti di quinta generazione.

Un futuro iperconesso, iperveloce, iperfantastico… e poi c’è la realtà

Arriva una emergenza sanitaria, tutti a casa con smartworking (sic!), Netflix, Amazon Prime Video etc etc….

La crescente richiesta di banda da parte degli italiani costretti a casa ha, nel frattempo, messo in crisi i telco provider e le loro infrastrutture spesso obsolete e non omogeneamente distribuite sul territorio nazionale (il digital divide è a tutt’oggi una realtà che pochi, sembra, vogliono ricordare anche se io vado a 4mb in download e 800k in upload qui in provincia di Pavia).

Crolli di connettività, latenze, jitter…ok ok sto parlando troppo tecnico, tutte robe che non ti dicono quando prendi una connessione visto che si parla solo di banda “veloce” o “ultraveloce” e via markettando.

Il 5G sarebbe a questo punto uno degli elementi che potrebbero aiutare a gestire una emergenza di questo tipo (fidatevi ritornerà) fornendo banda e connettivita’ in maniera ubiqual. Ma l’arrivo del 5G ha scatenato anche preoccupazioni sulla sicurezza, in parte legate ad una maggiore consapevolezza legata ai rischi informatici ma, purtroppo, per gran parte più legate a considerazioni geopolitiche che ad una vera analisi di cosa il 5G sia realmente.

Il 5G e la sicurezza: è la Cina il problema?

Il COPASIR (Comitato parlamentare per la sicurezza della Repubblica) ha recentemente pubblicato un rapporto legato ad una indagine in cui uno degli elementi principali era la sicurezza legata alle reti 5G e le possibili interferenze cinesi di Huawei e ZTE.

Durante l’indagine sarebbero sorti elementi che corroborano un approccio critico nei confronti dei vendor telco cinesi in funzione delle supposte ingerenze del governo cinese in tali aziende che le renderebbe “influenzabili”.

Tra le conclusioni del rapporto molto si è parlato, anche sulla stampa, di quanto legato a questo paragrafo:

“Sulla base di tali elementi informativi, il Comitato non può pertanto che ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi nelle attività di installazione, configurazione e mantenimento delle infrastrutture delle reti 5G. Conseguentemente, oltre a ritenere necessario un innalzamento degli standard di sicurezza idonei per accedere alla implementazione di tali infrastrutture, rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare la sicurezza nazionale, di escludere le predette aziende dalla attività di fornitura di tecnologia per le reti 5G”.

La relazione del COPASIR arriva a indicare come possibile soluzione la esclusione delle società cinesi dalla fornitura di tecnologie 5G. Sono queste preoccupazioni fondate? E, soprattutto, affrontano realmente il nodo della sicurezza delle reti di quinta generazione?

Questo rapporto affronta realmente i problemi di sicurezza del 5G?

In realtà questo rapporto del COPASIR non dice nulla sulla sicurezza del 5G se non il generico riferimento a “ritenere necessario un innalzamento degli standard di sicurezza idonei per accedere alla implementazione di tali infrastrutture”, quello che viene affrontato è in un problema geopolitico solo relativamente legato alle problematiche di sicurezza inerenti alle reti di comunicazione, del resto un organismo come il COPASIR poco avrebbe a che dire di fronte a tematiche strettamente tecnologiche.

Su di una cosa però possiamo essere tutti concordi: se il 5G rappresenta una opportunità, rappresenta anche un rischio concreto per la sicurezza che andrebbe affrontato in maniera scientifica ed appropriata, ponendo le pur importanti questioni geopolitiche nella giusta prospettiva.

Per poter fare questo però occorre capire almeno a grandi linee cosa sia questa rete 5G e quali siano quindi i possibili rischi ad essa legati.

5G cosa è

Se pensiamo al 5G come una rete telefonica ad alta velocità confondiamo le cause con gli effetti. Lo sviluppo delle reti telefoniche mobili è storicamente legato non alla velocità, ma ai servizi offerti. La velocità è quindi una conseguenza necessaria dei servizi offerti.

Lo schema sottostante rappresenta la evoluzione dei sistemi di rete mobile da cui si evince che la rete mobile si è evoluta sulla necessità di offrire un diverso set di servizi: dai servizi vocali analogici della prima generazione a un sistema in grado di offrire servizi multipli ed aperto a nuove evoluzioni come il 5G.

5G significa la possibilità di veicolare attraverso la rete mobile una serie di servizi oggi distribuiti da altre tecnologie di trasmissione ivi comprese WiFi e LAN\WAN e implementare nuove possibilità quali l’IOT nelle sue varie forme (Industrial IOT o consumer IOT).

Questa prospettiva apre per le Telco nuovi scenari di espansione con la possibilità di mettersi in competizione in mercati come quello dell’IT aziendale fino adesso solo marginalmente toccati, se non per la offerta di connettività.

Le implicazioni in termini economici sono enormi, e pensare di rimanere indietro nello sviluppo di queste tecnologie non potrebbe che limitare seriamente la possibilità del sistema paese di essere competitivo su scala globale.  

In quest’ottica la tecnologia 5G riveste una importanza elevata sui prossimi sviluppi tecnologici, industriali ed anche sociali, rendere 5G sicuro diventa quindi cruciale per la protezione di uno stato dal momento che la dipendenza dal 5G sarà superiore accorpando servizi e tecnologie ad oggi disgiunte.

La complessità tecnologica che si porta dietro il 5G la rende anche intrinsecamente più rischiosa, dal momento che la superficie di attacco cresce in funzione degli imprevedibili elementi interconnessi che la utilizzeranno, si tratta di valutare le interazioni di un sistema altamente complesso composto da elementi eterogenei: differenti protocolli, differenti oggetti, differenti vendor di differenti nazioni che interagiscono in qualche modo anche per attività critiche (si pensi all’automotive o alla telemedicina).

5G e la sicurezza

In questo scenario il backbone offerto dai telco provider e solo uno degli aspetti da considerare in termini di sicurezza, e le sue interconnessioni con tutto il resto rendono il sistema vulnerabile sotto una moltitudine di aspetti.

Enisa ha iniziato a esplorare le specifiche legate alla sicurezza del 5G https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-5g-networks/at_download/fullReport ed è interessante notare come le problematiche analizzate siano molto simili a quelle riscontrate nelle analisi per le NFV (Network Function Virtualization) del resto pesantemente utilizzate in ambito 5G per generare e gestire i servizi.

In quest’ottica l’approccio geopolitico assume un valore decisamente inferiore, anche se politicamente più facile da spendere.

La realtà è che qualunque sia la nazione in cui risiede il vendor che produce tecnologie 5G, i rischi di interferenza sono presenti, indipendentemente dallo schieramento geopolitico. In altre parole, se il problema è chi ci spia, beh, la risposta è chiunque.

Ridurre il problema allo spionaggio è però una pericolosa semplificazione della reale esposizione al rischio di queste nuove tecnologie, e sempre in termini di spionaggio vale la pena di ricordare che anche in questa area ci si deve proteggere anche dagli alleati geopolitici come Prism[1] o ANT[2] hanno largamente dimostrato nel recente passato. Vale la pena di ricordare, per altro, che proprio il catalogo ANT esemplifica come non occorra una influenza diretta del governo nei confronti di una azienda per interferire sui suoi prodotti.

In termini di sicurezza ben più pressante ed utile sarebbe garantire che le nuove tecnologie seguissero seriamente i principi della privacy e security by design and by default, salvo trovare una maniera per verificare che ciò venga applicato indipendentemente dalla provenienza.

Allora hanno senso le grida contro le interferenze cinesi?

Sì e no, il rischio di interferenza del governo Cinese esiste, anche se né ZTE né Huawei hanno legami diretti né un diretto interesse a diminuire la loro possibilità di espansione sul mercato. E’ anche vero che il governo cinese ha “aiutato” le proprie aziende, ma lo stesso si può dire per quasi tutti gli stati che hanno protetto aziende considerate critiche.

Il punto è che data la natura critica che il 5G potrebbe prendere nel prossimo futuro un approccio più corretto sarebbe, ad esempio, simile a quello inglese di definire aree critiche ove tecnologie straniere non dovrebbero essere utilizzate o utilizzare l’approccio tedesco che si focalizza sul controllo di tali tecnologie.

Entrambi gli approcci richiedono però una infrastruttura che sia in grado da un lato determinare quali siano gli elementi critici da proteggere (che vanno ben al di là della semplice fornitura di device HW) e quali siano i parametri minimi di sicurezza da monitorare cosa che comporta la creazione di organismi tecnici di certificazione e validazione credibili da un punto di vista tecnico ed economico.

Se non siamo in grado di affrontare i reali punti critici della messa in sicurezza delle reti 5G la scelta geopolitica di bloccare il 5G Cinese risponde a logiche diverse, comprensibili ma che poco hanno a che fare con un approccio ragionato sulla security e questo, in termini di sicurezza, può essere estremamente rischioso.

Non identificare correttamente il perimetro di rischio rischia di non produrre i risultati desiderati ma, al contrario, creare un falso effetto di sicurezza. Purtroppo, la storia ci ha insegnato che questo approccio può essere fatale, come la linea Maginot ha mostrato nella seconda guerra mondiale.


[1] PRISM è un programma di sorveglianza elettronica, cyberwarfare e Signal Intelligence, classificato come di massima segretezza, usato per la gestione di informazioni raccolte attraverso Internet e altri fornitori di servizi elettronici e telematici. È stato posto in attività dalla National Security Agency (NSA) fin dal 2007. PRISM è il nome in codice scelto dal governo statunitense per US-984XN, ispirandosi al prisma ottico (“un mezzo trasparente alla luce che ha la capacità di alterare la visione della realtà osservata attraverso di esso”). I documenti pubblicati da Edward Snowden (ex impiegato di una società informatica che lavora per la NSA) nel giugno 2013 descrivono il programma PRISM come abilitato alla sorveglianza in profondità su comunicazioni dal vivo di gran parte del traffico Internet mondiale e delle informazioni

[2] Il catalogo NSA ANT è un documento classificato di 50 pagine disponibile per la National Security Agency (NSA) Tailored Access Operations (TAO) della divisione Advanced Network Technology (ANT) per aiutare nelle attività di cyber sorveglianza. La maggior parte dei dispositivi è descritta come già operativa e disponibile per i cittadini statunitensi e i membri dell’alleanza Five Eyes. Secondo Der Spiegel, che ha pubblicato il catalogo al pubblico il 30 dicembre 2013, “L’elenco si presenta come un catalogo per corrispondenza, dal quale dipendenti del NSA possono ordinare tecnologie dalla divisione ANT per sfruttare i dati dei loro obiettivi”. Il documento è stato creato nel 2008. Gli exploit descritti nel documento sono principalmente rivolti a dispositivi fabbricati da società statunitensi, tra cui Apple, Cisco, Dell, Juniper Networks, Maxtor, Seagate e Western Digital, sebbene nel documento non vi sia nulla che indichi che le società fossero complici.



from WordPress https://ift.tt/33dxv8d
via IFTTT

5G e le reti di quinta generazione:

Appena prima della crisicoronavirus si parlava molto di 5G, in televisione si vedevano meravigliosepubblicità, si pensi agli spot di TIM o Vodafone, che decantano un futuroincredibile reso possibile dalle reti di quinta generazione.

Un futuro iperconesso,iperveloce, iperfantastico… e poi c’è la realtà

Arriva una emergenzasanitaria, tutti a casa con smartworking (sic!), Netflix, Amazon Prime Videoetc etc….

La crescente richiesta dibanda da parte degli italiani costretti a casa ha, nel frattempo, messo incrisi i telco provider e le loro infrastrutture spesso obsolete e nonomogeneamente distribuite sul territorio nazionale (il digital divide è a tutt’oggiuna realtà che pochi, sembra, vogliono ricordare anche se io vado a 4mb indownload e 800k in upload qui in provincia di Pavia).

Crolli di connettività,latenze, jitter…ok ok sto parlando troppo tecnico, tutte robe che non ti diconoquando prendi una connessione visto che si parla solo di banda “veloce” o “ultraveloce”e via markettando.

Il 5G sarebbe a questopunto uno degli elementi che potrebbero aiutare a gestire una emergenza diquesto tipo (fidatevi ritornerà) fornendo banda e connettivita’ in manieraubiqual. Ma l’arrivo del 5G ha scatenato anche preoccupazioni sulla sicurezza,in parte legate ad una maggiore consapevolezza legata ai rischi informatici ma,purtroppo, per gran parte più legate a considerazioni geopolitiche che ad unavera analisi di cosa il 5G sia realmente.

Il 5G e la sicurezza: è la Cina ilproblema?

Il COPASIR (Comitatoparlamentare per la sicurezza della Repubblica) ha recentemente pubblicatoun rapporto legato ad una indagine in cui uno degli elementi principali era lasicurezza legata alle reti 5G e le possibili interferenze cinesi di Huawei eZTE.

Durante l’indaginesarebbero sorti elementi che corroborano un approccio critico nei confronti deivendor telco cinesi in funzione delle supposte ingerenze del governo cinese intali aziende che le renderebbe “influenzabili”.

Tra le conclusioni delrapporto molto si è parlato, anche sulla stampa, di quanto legato a questoparagrafo:

“Sullabase di tali elementi informativi, ilComitato non può pertanto che ritenere in gran parte fondate le preoccupazionicirca l’ingresso delle aziende cinesi nelle attività di installazione,configurazione e mantenimento delle infrastrutture delle reti 5G.Conseguentemente, oltre a ritenere necessario un innalzamento degli standard disicurezza idonei per accedere alla implementazione di tali infrastrutture,rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare lasicurezza nazionale, di escluderele predette aziende dalla attività di fornitura di tecnologia per le reti 5G”.

Larelazione del COPASIR arriva a indicare come possibile soluzione la esclusionedelle società cinesi dalla fornitura di tecnologie 5G. Sono questepreoccupazioni fondate? E, soprattutto, affrontano realmente il nodo dellasicurezza delle reti di quinta generazione?

Questo rapportoaffronta realmente i problemi di sicurezza del 5G?

In realtàquesto rapporto del COPASIR non dice nulla sulla sicurezza del 5G se non ilgenerico riferimento a “ritenere necessario un innalzamento degli standarddi sicurezza idonei per accedere alla implementazione di tali infrastrutture”,quello che viene affrontato è in un problema geopolitico solo relativamentelegato alle problematiche di sicurezza inerenti alle reti di comunicazione, delresto un organismo come il COPASIR poco avrebbe a che dire di fronte atematiche strettamente tecnologiche.

Su diuna cosa però possiamo essere tutti concordi: se il 5G rappresenta unaopportunità, rappresenta anche un rischio concreto per la sicurezza cheandrebbe affrontato in maniera scientifica ed appropriata, ponendo le purimportanti questioni geopolitiche nella giusta prospettiva.

Perpoter fare questo però occorre capire almeno a grandi linee cosa sia questarete 5G e quali siano quindi i possibili rischi ad essa legati.

5G cosa è

Se pensiamo al 5G comeuna rete telefonica ad alta velocità confondiamo le cause con gli effetti. Lo sviluppodelle reti telefoniche mobili è storicamente legato non alla velocità, ma aiservizi offerti. La velocità è quindi una conseguenza necessaria dei serviziofferti.

Lo schema sottostanterappresenta la evoluzione dei sistemi di rete mobile da cui si evince che larete mobile si è evoluta sulla necessità di offrire un diverso set di servizi: daiservizi vocali analogici della prima generazione a un sistema in grado dioffrire servizi multipli ed aperto a nuove evoluzioni come il 5G.

5G significa lapossibilità di veicolare attraverso la rete mobile una serie di servizi oggidistribuiti da altre tecnologie di trasmissione ivi comprese WiFi e LANWAN eimplementare nuove possibilità quali l’IOT nelle sue varie forme (IndustrialIOT o consumer IOT).

Questa prospettiva apreper le Telco nuovi scenari di espansione con la possibilità di mettersi incompetizione in mercati come quello dell’IT aziendale fino adesso solomarginalmente toccati, se non per la offerta di connettività.

Le implicazioni intermini economici sono enormi, e pensare di rimanere indietro nello sviluppo diqueste tecnologie non potrebbe che limitare seriamente la possibilità delsistema paese di essere competitivo su scala globale.  

In quest’ottica latecnologia 5G riveste una importanza elevata sui prossimi sviluppi tecnologici,industriali ed anche sociali, rendere 5G sicuro diventa quindi cruciale per laprotezione di uno stato dal momento che la dipendenza dal 5G sarà superiore accorpandoservizi e tecnologie ad oggi disgiunte.

La complessitàtecnologica che si porta dietro il 5G la rende anche intrinsecamente piùrischiosa, dal momento che la superficie di attacco cresce in funzione degliimprevedibili elementi interconnessi che la utilizzeranno, si tratta di valutarele interazioni di un sistema altamente complesso composto da elementieterogenei: differenti protocolli, differenti oggetti, differenti vendor didifferenti nazioni che interagiscono in qualche modo anche per attivitàcritiche (si pensi all’automotive o alla telemedicina).

5G e la sicurezza

In questo scenario ilbackbone offerto dai telco provider e solo uno degli aspetti da considerare intermini di sicurezza, e le sue interconnessioni con tutto il resto rendono ilsistema vulnerabile sotto una moltitudine di aspetti.

Enisa ha iniziato a esplorare le specifiche legate alla sicurezza del 5G https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-5g-networks/at_download/fullReport ed è interessante notare come le problematiche analizzate siano molto simili a quelle riscontrate nelle analisi per le NFV (Network Function Virtualization) del resto pesantemente utilizzate in ambito 5G per generare e gestire i servizi.

In quest’ottical’approccio geopolitico assume un valore decisamente inferiore, anche sepoliticamente più facile da spendere.

La realtà è che qualunquesia la nazione in cui risiede il vendor che produce tecnologie 5G, i rischi diinterferenza sono presenti, indipendentemente dallo schieramento geopolitico. Inaltre parole, se il problema è chi ci spia, beh, la risposta è chiunque.

Ridurre il problema allospionaggio è però una pericolosa semplificazione della reale esposizione alrischio di queste nuove tecnologie, e sempre in termini di spionaggio vale lapena di ricordare che anche in questa area ci si deve proteggere anche daglialleati geopolitici come Prism[1]o ANT[2]hanno largamente dimostrato nel recente passato. Vale la pena di ricordare, peraltro, che proprio il catalogo ANT esemplifica come non occorra una influenzadiretta del governo nei confronti di una azienda per interferire sui suoiprodotti.

In termini di sicurezza benpiù pressante ed utile sarebbe garantire che le nuove tecnologie seguisseroseriamente i principi della privacy e security by design and by default, salvotrovare una maniera per verificare che ciò venga applicato indipendentementedalla provenienza.

Allora hanno senso legrida contro le interferenze cinesi?

Sì e no, il rischio diinterferenza del governo Cinese esiste, anche se né ZTE né Huawei hanno legamidiretti né un diretto interesse a diminuire la loro possibilità di espansionesul mercato. E’ anche vero che il governo cinese ha “aiutato” le proprie aziende,ma lo stesso si può dire per quasi tutti gli stati che hanno protetto aziendeconsiderate critiche.

Il punto è che data lanatura critica che il 5G potrebbe prendere nel prossimo futuro un approccio piùcorretto sarebbe, ad esempio, simile a quello inglese di definire aree criticheove tecnologie straniere non dovrebbero essere utilizzate o utilizzarel’approccio tedesco che si focalizza sul controllo di tali tecnologie.

Entrambi gli approcci richiedonoperò una infrastruttura che sia in grado da un lato determinare quali siano glielementi critici da proteggere (che vanno ben al di là della semplice fornituradi device HW) e quali siano i parametri minimi di sicurezza da monitorare cosache comporta la creazione di organismi tecnici di certificazione e validazione credibilida un punto di vista tecnico ed economico.

Se non siamo in grado diaffrontare i reali punti critici della messa in sicurezza delle reti 5G lascelta geopolitica di bloccare il 5G Cinese risponde a logiche diverse, comprensibilima che poco hanno a che fare con un approccio ragionato sulla security equesto, in termini di sicurezza, può essere estremamente rischioso.

Non identificarecorrettamente il perimetro di rischio rischia di non produrre i risultatidesiderati ma, al contrario, creare un falso effetto di sicurezza. Purtroppo,la storia ci ha insegnato che questo approccio può essere fatale, come la lineaMaginot ha mostrato nella seconda guerra mondiale.


[1] PRISM è un programma di sorveglianza elettronica,cyberwarfare e Signal Intelligence, classificato come di massima segretezza,usato per la gestione di informazioni raccolte attraverso Internet e altrifornitori di servizi elettronici e telematici. È stato posto in attività dallaNational Security Agency (NSA) fin dal 2007. PRISM è il nome in codice sceltodal governo statunitense per US-984XN, ispirandosi al prisma ottico (“unmezzo trasparente alla luce che ha la capacità di alterare la visione dellarealtà osservata attraverso di esso”). I documenti pubblicati da EdwardSnowden (ex impiegato di una società informatica che lavora per la NSA) nelgiugno 2013 descrivono il programma PRISM come abilitato alla sorveglianza inprofondità su comunicazioni dal vivo di gran parte del traffico Internetmondiale e delle informazioni

[2] Il catalogo NSA ANT è un documento classificato di 50 pagine disponibileper la National Security Agency (NSA) Tailored Access Operations (TAO) delladivisione Advanced Network Technology (ANT) per aiutare nelle attività di cybersorveglianza. La maggior parte dei dispositivi è descritta come già operativa edisponibile per i cittadini statunitensi e i membri dell’alleanza Five Eyes.Secondo Der Spiegel, che ha pubblicato il catalogo al pubblico il 30 dicembre2013, “L’elenco si presenta come un catalogo per corrispondenza, dal qualedipendenti del NSA possono ordinare tecnologie dalla divisione ANT persfruttare i dati dei loro obiettivi”. Il documento è stato creato nel2008. Gli exploit descritti nel documento sono principalmente rivolti adispositivi fabbricati da società statunitensi, tra cui Apple, Cisco, Dell,Juniper Networks, Maxtor, Seagate e Western Digital, sebbene nel documento nonvi sia nulla che indichi che le società fossero complici.

5G e le reti di quinta generazione:

Appena prima della crisicoronavirus si parlava molto di 5G, in televisione si vedevano meravigliosepubblicità, si pensi agli spot di TIM o Vodafone, che decantano un futuroincredibile reso possibile dalle reti di quinta generazione.

Un futuro iperconesso,iperveloce, iperfantastico… e poi c’è la realtà

Arriva una emergenzasanitaria, tutti a casa con smartworking (sic!), Netflix, Amazon Prime Videoetc etc….

La crescente richiesta dibanda da parte degli italiani costretti a casa ha, nel frattempo, messo incrisi i telco provider e le loro infrastrutture spesso obsolete e nonomogeneamente distribuite sul territorio nazionale (il digital divide è a tutt’oggiuna realtà che pochi, sembra, vogliono ricordare anche se io vado a 4mb indownload e 800k in upload qui in provincia di Pavia).

Crolli di connettività,latenze, jitter…ok ok sto parlando troppo tecnico, tutte robe che non ti diconoquando prendi una connessione visto che si parla solo di banda “veloce” o “ultraveloce”e via markettando.

Il 5G sarebbe a questopunto uno degli elementi che potrebbero aiutare a gestire una emergenza diquesto tipo (fidatevi ritornerà) fornendo banda e connettivita’ in manieraubiqual. Ma l’arrivo del 5G ha scatenato anche preoccupazioni sulla sicurezza,in parte legate ad una maggiore consapevolezza legata ai rischi informatici ma,purtroppo, per gran parte più legate a considerazioni geopolitiche che ad unavera analisi di cosa il 5G sia realmente.

Il 5G e la sicurezza: è la Cina ilproblema?

Il COPASIR (Comitatoparlamentare per la sicurezza della Repubblica) ha recentemente pubblicatoun rapporto legato ad una indagine in cui uno degli elementi principali era lasicurezza legata alle reti 5G e le possibili interferenze cinesi di Huawei eZTE.

Durante l’indaginesarebbero sorti elementi che corroborano un approccio critico nei confronti deivendor telco cinesi in funzione delle supposte ingerenze del governo cinese intali aziende che le renderebbe “influenzabili”.

Tra le conclusioni delrapporto molto si è parlato, anche sulla stampa, di quanto legato a questoparagrafo:

“Sullabase di tali elementi informativi, ilComitato non può pertanto che ritenere in gran parte fondate le preoccupazionicirca l’ingresso delle aziende cinesi nelle attività di installazione,configurazione e mantenimento delle infrastrutture delle reti 5G.Conseguentemente, oltre a ritenere necessario un innalzamento degli standard disicurezza idonei per accedere alla implementazione di tali infrastrutture,rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare lasicurezza nazionale, di escluderele predette aziende dalla attività di fornitura di tecnologia per le reti 5G”.

Larelazione del COPASIR arriva a indicare come possibile soluzione la esclusionedelle società cinesi dalla fornitura di tecnologie 5G. Sono questepreoccupazioni fondate? E, soprattutto, affrontano realmente il nodo dellasicurezza delle reti di quinta generazione?

Questo rapportoaffronta realmente i problemi di sicurezza del 5G?

In realtàquesto rapporto del COPASIR non dice nulla sulla sicurezza del 5G se non ilgenerico riferimento a “ritenere necessario un innalzamento degli standarddi sicurezza idonei per accedere alla implementazione di tali infrastrutture”,quello che viene affrontato è in un problema geopolitico solo relativamentelegato alle problematiche di sicurezza inerenti alle reti di comunicazione, delresto un organismo come il COPASIR poco avrebbe a che dire di fronte atematiche strettamente tecnologiche.

Su diuna cosa però possiamo essere tutti concordi: se il 5G rappresenta unaopportunità, rappresenta anche un rischio concreto per la sicurezza cheandrebbe affrontato in maniera scientifica ed appropriata, ponendo le purimportanti questioni geopolitiche nella giusta prospettiva.

Perpoter fare questo però occorre capire almeno a grandi linee cosa sia questarete 5G e quali siano quindi i possibili rischi ad essa legati.

5G cosa è

Se pensiamo al 5G comeuna rete telefonica ad alta velocità confondiamo le cause con gli effetti. Lo sviluppodelle reti telefoniche mobili è storicamente legato non alla velocità, ma aiservizi offerti. La velocità è quindi una conseguenza necessaria dei serviziofferti.

Lo schema sottostanterappresenta la evoluzione dei sistemi di rete mobile da cui si evince che larete mobile si è evoluta sulla necessità di offrire un diverso set di servizi: daiservizi vocali analogici della prima generazione a un sistema in grado dioffrire servizi multipli ed aperto a nuove evoluzioni come il 5G.

5G significa lapossibilità di veicolare attraverso la rete mobile una serie di servizi oggidistribuiti da altre tecnologie di trasmissione ivi comprese WiFi e LANWAN eimplementare nuove possibilità quali l’IOT nelle sue varie forme (IndustrialIOT o consumer IOT).

Questa prospettiva apreper le Telco nuovi scenari di espansione con la possibilità di mettersi incompetizione in mercati come quello dell’IT aziendale fino adesso solomarginalmente toccati, se non per la offerta di connettività.

Le implicazioni intermini economici sono enormi, e pensare di rimanere indietro nello sviluppo diqueste tecnologie non potrebbe che limitare seriamente la possibilità delsistema paese di essere competitivo su scala globale.  

In quest’ottica latecnologia 5G riveste una importanza elevata sui prossimi sviluppi tecnologici,industriali ed anche sociali, rendere 5G sicuro diventa quindi cruciale per laprotezione di uno stato dal momento che la dipendenza dal 5G sarà superiore accorpandoservizi e tecnologie ad oggi disgiunte.

La complessitàtecnologica che si porta dietro il 5G la rende anche intrinsecamente piùrischiosa, dal momento che la superficie di attacco cresce in funzione degliimprevedibili elementi interconnessi che la utilizzeranno, si tratta di valutarele interazioni di un sistema altamente complesso composto da elementieterogenei: differenti protocolli, differenti oggetti, differenti vendor didifferenti nazioni che interagiscono in qualche modo anche per attivitàcritiche (si pensi all’automotive o alla telemedicina).

5G e la sicurezza

In questo scenario ilbackbone offerto dai telco provider e solo uno degli aspetti da considerare intermini di sicurezza, e le sue interconnessioni con tutto il resto rendono ilsistema vulnerabile sotto una moltitudine di aspetti.

Enisa ha iniziato a esplorare le specifiche legate alla sicurezza del 5G https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-5g-networks/at_download/fullReport ed è interessante notare come le problematiche analizzate siano molto simili a quelle riscontrate nelle analisi per le NFV (Network Function Virtualization) del resto pesantemente utilizzate in ambito 5G per generare e gestire i servizi.

In quest’ottical’approccio geopolitico assume un valore decisamente inferiore, anche sepoliticamente più facile da spendere.

La realtà è che qualunquesia la nazione in cui risiede il vendor che produce tecnologie 5G, i rischi diinterferenza sono presenti, indipendentemente dallo schieramento geopolitico. Inaltre parole, se il problema è chi ci spia, beh, la risposta è chiunque.

Ridurre il problema allospionaggio è però una pericolosa semplificazione della reale esposizione alrischio di queste nuove tecnologie, e sempre in termini di spionaggio vale lapena di ricordare che anche in questa area ci si deve proteggere anche daglialleati geopolitici come Prism[1]o ANT[2]hanno largamente dimostrato nel recente passato. Vale la pena di ricordare, peraltro, che proprio il catalogo ANT esemplifica come non occorra una influenzadiretta del governo nei confronti di una azienda per interferire sui suoiprodotti.

In termini di sicurezza benpiù pressante ed utile sarebbe garantire che le nuove tecnologie seguisseroseriamente i principi della privacy e security by design and by default, salvotrovare una maniera per verificare che ciò venga applicato indipendentementedalla provenienza.

Allora hanno senso legrida contro le interferenze cinesi?

Sì e no, il rischio diinterferenza del governo Cinese esiste, anche se né ZTE né Huawei hanno legamidiretti né un diretto interesse a diminuire la loro possibilità di espansionesul mercato. E’ anche vero che il governo cinese ha “aiutato” le proprie aziende,ma lo stesso si può dire per quasi tutti gli stati che hanno protetto aziendeconsiderate critiche.

Il punto è che data lanatura critica che il 5G potrebbe prendere nel prossimo futuro un approccio piùcorretto sarebbe, ad esempio, simile a quello inglese di definire aree criticheove tecnologie straniere non dovrebbero essere utilizzate o utilizzarel’approccio tedesco che si focalizza sul controllo di tali tecnologie.

Entrambi gli approcci richiedonoperò una infrastruttura che sia in grado da un lato determinare quali siano glielementi critici da proteggere (che vanno ben al di là della semplice fornituradi device HW) e quali siano i parametri minimi di sicurezza da monitorare cosache comporta la creazione di organismi tecnici di certificazione e validazione credibilida un punto di vista tecnico ed economico.

Se non siamo in grado diaffrontare i reali punti critici della messa in sicurezza delle reti 5G lascelta geopolitica di bloccare il 5G Cinese risponde a logiche diverse, comprensibilima che poco hanno a che fare con un approccio ragionato sulla security equesto, in termini di sicurezza, può essere estremamente rischioso.

Non identificarecorrettamente il perimetro di rischio rischia di non produrre i risultatidesiderati ma, al contrario, creare un falso effetto di sicurezza. Purtroppo,la storia ci ha insegnato che questo approccio può essere fatale, come la lineaMaginot ha mostrato nella seconda guerra mondiale.


[1] PRISM è un programma di sorveglianza elettronica,cyberwarfare e Signal Intelligence, classificato come di massima segretezza,usato per la gestione di informazioni raccolte attraverso Internet e altrifornitori di servizi elettronici e telematici. È stato posto in attività dallaNational Security Agency (NSA) fin dal 2007. PRISM è il nome in codice sceltodal governo statunitense per US-984XN, ispirandosi al prisma ottico (“unmezzo trasparente alla luce che ha la capacità di alterare la visione dellarealtà osservata attraverso di esso”). I documenti pubblicati da EdwardSnowden (ex impiegato di una società informatica che lavora per la NSA) nelgiugno 2013 descrivono il programma PRISM come abilitato alla sorveglianza inprofondità su comunicazioni dal vivo di gran parte del traffico Internetmondiale e delle informazioni

[2] Il catalogo NSA ANT è un documento classificato di 50 pagine disponibileper la National Security Agency (NSA) Tailored Access Operations (TAO) delladivisione Advanced Network Technology (ANT) per aiutare nelle attività di cybersorveglianza. La maggior parte dei dispositivi è descritta come già operativa edisponibile per i cittadini statunitensi e i membri dell’alleanza Five Eyes.Secondo Der Spiegel, che ha pubblicato il catalogo al pubblico il 30 dicembre2013, “L’elenco si presenta come un catalogo per corrispondenza, dal qualedipendenti del NSA possono ordinare tecnologie dalla divisione ANT persfruttare i dati dei loro obiettivi”. Il documento è stato creato nel2008. Gli exploit descritti nel documento sono principalmente rivolti adispositivi fabbricati da società statunitensi, tra cui Apple, Cisco, Dell,Juniper Networks, Maxtor, Seagate e Western Digital, sebbene nel documento nonvi sia nulla che indichi che le società fossero complici.