BCI European Awards
BCI European Awards
Il 10 maggio 2018 a Milano si è tenuta la cerimonia di consegna dei BCI European Awards, un prestigioso riconoscimento assegnato a persone e realtà imprenditoriali che hanno contribuito in modo significativo nella società alla promozione della Capacità di gestione del rischio e della Capacità di resilienza delle aziende pubbliche e private. Paola Girdinio, professoressa e ricercatrice dell’Università di Genova e Presidente dell’Osservatorio Nazionale per la Cyber Security, Resilienza e Business Continuity dei Sistemi Elettrici, è l’unica Italiana che ha concorso a vincere il premio arrivando seconda.
Paola Girdinio
Paola Girdinio, laureata in fisica all’Università di Genova, ha ricoperto in Ateneo diversi incarichi prestigiosi, tra i quali quello di Preside della Facoltà di Ingegneria.
Girdinio è stata il primo preside donna di una facoltà in cui la disparità tra uomini e donne è significativa: decisamente una donna fuori dagli schemi, la si potrebbe definirei una visionaria e un’innovatrice.
“Cerco di fare della mia vita una testimonianza dell’importanza di vedere oltre ciò che già c’è, di pensare cose che altri non hanno ancora pensato e di provare a migliorare quel che posso in qualunque ambito mi trovi.”
Autrice di numerose pubblicazioni scientifiche su riviste nazionali ed internazionali; Paola Girdinio è stata nel CdA di Ansaldo STS, di Ansaldo Energia, del Distretto ligure delle tecnologie marine, di Banca Carige. Attualmente è membro del Cda di Enel e presidente del comitato scientifico del progetto “Smart City" promosso dal Comune di Genova, nonché membro del comitato scientifico di Eurispes. Dal 2015 è presidente del ”Osservatorio Nazionale per la Cyber Security, la resilienza e la business continuity dei sistemi elettrici”, di cui fanno parte alcune delle più importanti aziende nazionali del settore. Unica italiana tra i tre possibili vincitori del BCI European Awards: un importante riconoscimento alla sua carriera che in molteplici ambiti ha sempre avuto come stella polare la gestione del rischio.
10 domande per Paola Girdinio
Si parla di resilienza, cosa significa?
“La resistenza alle sollecitazioni di disturbo o di danno ossia la possibilità di tornare alla situazione iniziale dopo aver avuto un grave danno. Nel caso di un’azienda o un ente pubblico si tratta di una caratteristica indispensabile: ogni fornitore di servizi essenziali deve essere resiliente al danno ambientale e ad eventuali attacchi terroristici o cyber.”
Perché è così importante?
“Oggi tutte le realtà sono connesse alla rete internet e sono dunque sempre più esposte a cyber-attacchi. In Ucraina in un quarto d’ora, a causa di un attacco cyber, si sono spente sei centrali: in un sistema elettrico si crea un effetto domino per cui con un black out significativo potrebbe rimanere senza energia un paese intero, con danni incalcolabili. Si parla infatti di resilienza delle infrastrutture critiche. Quando una struttura rientra in questa categoria, già in sede di progettazione deve essere pensata in modo da essere protetta da qualsiasi tipo di attacco naturale o informatico e di rispondere in maniera adeguata. Tra le infrastrutture critiche, quella energetica è la più critica, in quanto in mancanza di alimentazione non funzionerebbero neanche i sistemi di protezione delle altre infrastrutture critiche alimentate attraverso l’energia elettrica.”
C’è un modo semplice di spiegare come un’infrastruttura si possa difendere da un attacco cyber?
“No, non c’è un modo semplice…soprattutto in ambito industriale dove con l’avvento della digitalizzazione interagiscono due mondi prima separati tra loro, l’operation tecnology: i cui sistemi di protezione erano prima chiusi e l’information tecnology. Questa interazione fa sì che l’operation tecnology non abbia più sistemi chiusi. Descrivere come difenderli è molto complesso. Purtroppo nel mondo industriale non vi è ancora piena coscienza di quanto sia importante la cybersecurity anche nel mondo civile e non solo quello militare. Ogni giorno le società sono soggette a numerosi tentativi di attacco. Vi sono grandi multinazionali che subiscono anche 1 o 2 milioni di attacchi al giorno.”
Sono davvero numeri importanti…
“Certamente, ed inoltre è importante sottolineare come in questo campo alcuni attacchi siano finalizzati a veri e propri ricatti alle aziende: ad esempio alcuni hacker possono entrare nel sistema di gestione di un’azienda, bloccarne alcune funzioni vitali o rubare informazioni, ricattando infine l’azienda chiedendo denaro per lo sblocco o per farsi restituire le informazioni.”
Possiamo definirli ricatti e riscatti 4.0. Come si procede per gestire in modo consapevole il rischio?
“Come già detto è fondamentale rendere resiliente il sistema; nel caso in cui l’attacco diventi effettivo occorre essere in grado di fronteggiarlo: avere la capacità di reagire e ripristinare la situazione di corretto servizio. Ad esempio il problema idrogeologico: si può rendere più resiliente il territorio, grazie all’utilizzo di sensoristica avanzata unito alle previsioni meteo, se però questo non basta, nel caso in cui si verifichi un evento catastrofico, la gestione corretta del ripristino si realizza al meglio possedendo una corretta cultura della business continuity, da non confondere con il ripristino del servizio. La business continuity infatti è una vera e propria scienza che tratta la gestione del rischio a tutto tondo, mettendo a sistema tutti gli attori coinvolti: ossia prevede l’esistenza di un orchestratore che sappia gestire diverse professionalità, il business continuity manager, in grado di gestire il processo di gestione del rischio e del danno da ogni angolazione; in questo modo il ripristino delle condizioni può avvenire il più velocemente ed efficientemente possibile.”
Lei ha portato la sua esperienza sul campo in diverse aziende ed enti pubblici: si può applicare questa capacità di adattamento in tutti i campi?
“È una cultura fondamentale, sia per gli enti pubblici che per le aziende che forniscono servizi; infatti la crisi può si può verificare per differenti motivi, disastri naturali, per un attacco al sistema informatico oppure a causa di un attentato: in ognuno di questi casi non si può pensare di agire efficacemente senza avere una visione d’insieme. In casi di disastri naturali particolarmente drammatici, un corretto ed efficace coordinamento di tutti gli attori coinvolti (tutti i sindaci dei territori interessati, il presidente della regione, la protezione civile, l’anas) accelererebbe gli aiuti alla popolazione ed il ripristino di alcuni servizi fondamentali. Tutte le aziende e gli enti locali dovrebbero avere un sistema di gestione emergenze di questo tipo.”
L’Italia è un po’ indietro su questo tema, ma lei è la dimostrazione vivente che qualcosa si muove anche qui: su tre persone selezionate a livello europeo, una è lei.
“Quando ho capito l’importanza della gestione organizzata del rischio in tutte le sue forme, istintivamente ho cercato di divulgare il più possibile questa cultura, diffondendola in ogni luogo, in ogni azienda dove ho lavorato: occupandomi nella mia attività di ricerca di reti per la distribuzione dell’energia elettrica, ovviamente ho sviluppato una forte sensibilità al tema, ho quindi cercato di divulgare il più possibile questa cultura sia tra i miei studenti di ingegneria elettrica, sia nelle aziende con cui ho collaborato. Inoltre, vista la sempre maggiore digitalizzazione delle reti ho intuito l’importanza di mettere a sistema varie aziende che costituiscono la fileira dell’energia elettrica, realizzando l’ ”Osservatorio Nazionale per la Cyber Security, la resilienza e la business continuity dei sistemi elettrici” il cui scopo è sviluppare una gestione unificata della cybersecurity, promuovere e realizzare iniziative di collaborazione, attraverso il coinvolgimento di partners pubblici e privati. Questo affinché si trovi una linea comune sulle policy per la sicurezza. all’interno delle quali è fortemente valorizzato il tema della business continuity.”
Questa sua iniziativa è uno dei motivi che le hanno consentito di essere tra i tre finalisti del BCI European Award.
“Sì, è stato il mio punto di forza. Sono stata una delle tre persone scelte in Europa, ne sono orgogliosissima perché questo osservatorio, che ha la sede all’Università di Genova, è diventato modello per altri stati ed altre aziende a livello europeo...Il tema della sicurezza ce l’ho nel dna: quando ero Preside di Ingegneria ho organizzato con l’Ente Fiera di Genova un convegno internazionale sulla protezione delle infrastrutture critiche. È in questa occasione ho scoperto il tema della business continuity. Genova infatti è un laboratorio naturale come test per le infrastrutture critiche, in quanto purtroppo è molto soggetta a rischio idrogeologico, ha il porto e l’aeroporto all’interno della città, è una città posizionata tra monti e mare, con viabilità complessa: non a caso Genova si è candidata come centro di competenza nazionale sulla protezione delle infrastrutture critiche 4.0. Io credo fortemente che dovremmo proseguire su questo tema.”
In Italia è difficile essere seguiti quando si parla di porre figure aggiuntive di controllo, forse perché il pensiero comune è che si tratti di mera burocrazia?
“Sì, è vero ed è un preconcetto sbagliatissimo. In realtà il Business Continuity Manager è una figura molto operativa e non formale. Sono consapevole che il terrore di molte aziende sia quello di dover compilare una quantità infinita di documenti: ma non possiamo prescindere dal creare una cultura del rischio.”
Per creare una nuova cultura occorre partire dai giovani, dalla loro formazione, come si può fare?
“L’Università di Genova organizza un corso specifico: il corso in Engineering for natural risk management un corso che per ora è incentrato sui rischi idrogeologici, ma che dovrà in futuro essere completo di tutti i temi di gestione dei rischi, divenendo sempre più multidisciplinare. Durante i miei corsi io dedico diverse ore di lezione a creare un contatto con le aziende presso cui gli studenti potrebbero lavorare, in modo che capiscano come inserirsi nel mondo del lavoro, e cosa è realmente l’economia digitale. Sempre all’Università di Genova è attivo anche il master Cybersecurity and critical infrastructure protection.”
Un’ultima battuta:
“A proposito di giovani e di formazione vorrei far passare questo messaggio: la vera ricchezza, il nostro “oro nero” oggi sono i dati, ed è fondamentale preoccuparsi della loro sicurezza. Per questo abbiamo il dovere morale di far evolvere la nostra cultura in funzione dei cambiamenti della società e del mondo: è un dovere verso i ragazzi di cui il mondo accademico si deve far carico.”