La rivoluzione digitale sta portando a profonde transizioni nel campo della produzione di nuovi asset tecnologici e di nuovi standard comunicativi e transazionali ad essi associati. Tra questi campi, uno dei settori in cui è più importante valutare le innovazioni è quello della sicurezza. Se da un lato l’era del 5G e delle nuove reti di telecomunicazione la corsa al disaccoppiamento tra hardware e software promossa da alleanze come O-Ran porterà a una maggiore focalizzazione degli operatori sulle aree di maggiore specializzazione tra quelle critiche per la realizzazione delle nuove infrastrutture, dall’altro i nuovi dispositivi dovranno confrontarsi con profili di rischio crescenti.

E in questo contesto il ramo software appare il maggiormente attaccabile, dato che ad esso si associa sia la parte principale del valore aggiunto per le nuove reti che la capacità tecnologica “abilitante” data dalla gestione e dalla garanzia dei flussi dati nelle infrastrutture di ultima generazione. La minaccia cyber, chiaramente, è quella tenuta maggiormente sotto analisi dai decisori, ma si devono tenere in considerazioni anche nuove forme di minacce ibride distribuite su tutta la rete, compresa la “forabilità” delle reti tradizionali o di quelle nuove a 5G, la violazione dei dati personali degli utenti, i furti di identità e via dicendo.

Le compagnie del settore tecnologico e le telco stanno reagendo in diversi modi alle nuove richieste di sicurezza e tutela dei propri asset imposte dal mercato e dall’innovazione. In primo luogo esse procedono adottando il cosiddetto approccio security by design, che permette loro di garantire che in sede di implementazione di nuovi software oltre ai requisiti funzionali, la progettazione e lo sviluppo del codice debba tenere in considerazione anche la sicurezza e la tutela da attacchi portati con strumenti infidi come malaware e ransomware. “Esistono ambienti per la scrittura e la verifica di specifiche formali per molti dei principali linguaggi di programmazione, come ad esempio C e Java”, nota il portale Cybersecurity360, che approfondisce la questione sottolineando anche l’attenzione di molti attori del settore al tema: “altri sono invece veri e propri prodotti sviluppati da importanti attori industriali, come ad esempio Spec# di Microsoft”, campione del big tech che si è contraddistinto per decisi investimenti in sicurezza informatica.

Un’ulteriore modalità d’azione, che non esclude ma è bensì complementare alla precedente, si focalizza a livello di controllo dei processi critici e, partendo da un ecosistema architetturale capace di avere la sicurezza come cardine, promuove lo sviluppo di best practices volte al periodico controllo degli aggiornamenti richiesti dal software, dell’interazione tra processi delle reti e ambiente circostante, della relazione tra dispositivi.

Esistono, su scala internazionale, diversi processi di analisi e certificazione di questo approccio. Uno di quelli ritenuto più validì è il Building Security In Maturity Model (Bsimm), promosso dagli esperti del Synopsys Software Integrity Group a partire dal 2006, che si fonda sull’analisi di dati e parametri connessi all’evoluzione dei processi di messa in sicurezza dell’integrità e dell’operatività dei software all’aumentare della complessità delle informazioni gestite, delle sfide e delle minacce.

Il numero di aziende partner dell’iniziativa Bsimm è arrivata a quota 130, includendo colossi come Aetna, Bank of America, Cisco, Fidelity, Johnson & Johnson, PayPal, e Verizon, e nei suoi studi Synopsys ha potuto mettere in evidenza la presenza di metodologie d’azione comuni da parte delle aziende ad alto tasso di innovazione per contrastare le minacce ai software. Una di queste è la cosiddetta DevOps, che si fonda su un processo circolare di comunicazione, collaborazione e integrazione tra sviluppatori (developers) e addetti alle attività di messa in campo dei nuovi codici (operations). Un principio che richiama quello che nel mondo industriale è definito il kaizen, il metodo miglioramento continuo e la minimizzazione degli sprechi nel processo produttivo ideato dalla Toyota, e che si fonda sulla necessità di costruire organizzazioni (e software) flesibili e adatti al cambiamento.

Non si può negare che il metodo DevOps sia in tal senso cruciale per rafforzare la tecnologia 5G, che proprio per la sua natura di abilitatore della rivoluzione tecnologica e la sua presenza al cuore degli ecosistemi informativi destinati a guidare la digitalizzazione del futuro necessita di aggiornamenti, ristrutturazioni e rafforzamenti continui in un contesto di innovazione aperta e dinamica. Che non può prescindere dalla sicurezza. E non deve dunque sorprendere che le aziende all’avanguardia nel 5G contemporaneo siano a loro volta quelle che i rapporti Bsimm indicano ai vertici nella classifica della sicurezza: l’undicesima rilevazione sulle compagnie aderenti al progetto, recentemente pubblicata, lo testimonia. Rispetto a tutti i partecipanti al Bsimm11, in particolare, a spiccare è Zte, azienda che ha messo la sicurezza al cuore del suo ruolo nella trasformazione digitale. Zte nel Bsimm11 raggiunge prestazioni eccellenti in 10 pratiche su 12 con punteggi ben superiori alla media sia sul fronte della gestione dei network di accesso per le onde radio che nella governance della rete centrale, dell’orchestrazione 5G e del cloud 5G.

Non può esistere 5G senza questi processi di controllo e messa in sicurezza del software. Nella consapevolezza che qualsiasi falla nell’immateriale (la rete dati) ricadrà e produrrà danni anche nel reale (l’ecosistema creato dai dispositivi interconnessi). E che la sicurezza da fonte di vantaggio competitivo per le compagnie è diventato asset strategico per le compagnie tecnologiche. Immerse in un ambiente contraddistinto da cicli impetuosi di innovazione che vanno governati evitando l’insorgere di minacce impreviste.

Nel campo comunista di Goli Otok
SOSTIENI IL REPORTAGE