L’intervista all’amministratore delegato Emanuele Iannetti , oggi su Digit.Economy.24, il report Luiss Business School e Il Sole 24 Ore
«La sicurezza delle reti 5G e in generale di tutte le infrastrutture critiche è fondamentale. La sicurezza cibernetica e la sicurezza nazionale sono due aspetti indissolubilmente legati». E’ la posizione di Ericsson, secondo quanto spiega l’ad Italia, Emanuele Iannetti, in un’intervista a DigitEconomy.24 (report di Radiocor e Luiss Business School), condividendo la linea del Copasir nel dibattito sulla nuova tecnologia. Mancano pochi giorni, alla scadenza europea del 30 aprile per l’applicazione del toolbox europeo, la cassetta degli attrezzi messa a punto dalla Ue che prevede misure per mitigare i rischi, per progettare e implementare le reti 5G in modo sicuro. Guardando al nostro Paese, sottolinea Iannetti, «senza entrare nel merito delle decisioni prese, è evidente che l’Italia si sia mossa con anticipo rispetto agli altri Paesi europei, dimostrando forte attenzione al tema. Occorre tuttavia accelerare sulla costituzione del team di esperti e sulla definizione delle procedure». Questo è inoltre il momento di puntare sulle reti che si sono dimostrate cruciali nell’emergenza: «Riteniamo – afferma – che gli investimenti sulle reti non si possano fermare proprio ora, e che anzi vadano prese delle misure urgenti, a livello istituzionale, per consentire agli operatori una implementazione rapida delle reti di nuova generazione».
In vista della scadenza europea del 30 aprile, qual è la posizione di Ericsson sulla sicurezza delle reti 5G in Europa?
Ericsson accoglie con favore il pacchetto di strumenti concordato dagli Stati membri dell’Unione Europea, che intende affrontare i rischi di sicurezza connessi alla introduzione della tecnologia 5G, già identificati dall’assessment europeo. Agli Stati membri viene ora chiesto di compiere i prossimi passi insieme, prendendo in considerazione sia le misure tecniche, sia quelle strategiche, sulla base di valutazioni oggettive dei rischi e delle misure di attenuazione necessarie in Europa. La sicurezza tecnica passa attraverso un approccio olistico che deve tener conto della mitigazione in quattro aree specifiche: standard, prodotti e processi di sviluppo, implementazioni e configurazioni della rete. Messe insieme, queste quattro aree definiscono lo stato di sicurezza delle reti live e quindi, di fatto, l’esperienza di sicurezza dell’utente finale. Basandosi sulle raccomandazioni tecniche presenti nel toolbox, i singoli governi potranno evitare di sviluppare approcci nazionali specifici, come ad esempio test e certificazioni aggiuntive che provocherebbero una frammentazione del mercato, ritardi nell’implementazione delle tecnologie ed incoerenze tra mercati, con il rischio di minare la fiducia nei sistemi di collaudo e certificazione. Avvalersi di standard globali e di best practice condivise e riconosciute è fondamentale per consentire la gestione efficiente delle minacce, generare economie di scala, evitare la frammentazione e garantire l’interoperabilità dei sistemi europei. Le giurisdizioni che finora hanno adottato decisioni sulla sicurezza nazionale in merito al 5G hanno designato Ericsson come un fornitore di fiducia. In tutte le situazioni, Ericsson viene considerato un fornitore estero che ha soddisfatto con successo tutte le valutazioni indipendenti per quanto riguarda sia i criteri tecnici, sia non tecnici.
Rispetto alla cornice europea ci sono altri strumenti necessari per tutelare le reti 5G?
Le minacce alle reti 5G non si limitano al software e anche le mitigazioni tecniche hanno i loro limiti. Garantire la sicurezza delle infrastrutture di telecomunicazioni – e quindi, la fiducia – richiede un approccio omnicomprensivo su standard, attrezzature, software, implementazioni di rete e sicurezza operativa. Alcuni Paesi hanno proposto di eseguire test post-sviluppo software o di avere accesso al codice sorgente come soluzione per garantire la sicurezza e l’integrità delle reti 5G. Ma i moderni sistemi di telecomunicazioni vengono sviluppati continuamente e di conseguenza il software viene aggiornato frequentemente. Quindi qualsiasi test post sviluppo venga effettuato si presenterà sempre come un’analisi di sicurezza del software o dell’hardware in quel determinato momento, in quella specifica configurazione di test. Anche la consegna del codice sorgente non è una garanzia di sicurezza per dei sistemi che vengono aggiornati continuamente come le reti di telecomunicazioni e non comprende la valutazione delle vulnerabilità. Naturalmente se queste decisioni che spettano ai regolatori verranno attuate in un determinato Paese ci vedranno aderire nel pieno rispetto delle norme che verranno definite. Aumentare gli investimenti degli operatori e dei fornitori su nuove funzionalità tecniche di sicurezza deve poter procedere di pari passo con la capacità del mercato di riconoscere e remunerare tutte quelle iniziative volte ad accrescere la sicurezza e la resilienza dei sistemi. Una maggiore visibilità sugli investimenti in sicurezza potrebbe introdurre nuovi elementi di premialità del mercato, oggi troppo polarizzato sul parametro del costo.
L’Italia ha un sufficiente quadro normativo entro il quale operare dopo il perimetro di sicurezza adottato di recente?
Senza entrare nel merito delle decisioni prese, è evidente che l’Italia si sia mossa con anticipo rispetto agli altri Paesi europei, dimostrando forte attenzione al tema. Occorre tuttavia accelerare sulla costituzione del team di esperti e sulla definizione delle procedure, in modo da garantire un risultato utile in tempi certi e dare agli operatori elementi decisionali definitivi circa la selezione dei partner tecnologici con i quali si stanno avviando le attività operative. Osserviamo, inoltre, che il toolbox dell’Unione Europa ha riconosciuto limiti alle mitigazioni tecniche e questo ha comportato la necessità di introdurre misure strategiche che riguardino, ad esempio, l’adozione di una supply chain diversificata, con più fornitori e misure per mitigare i rischi individuali dei fornitori sulla base di fattori non tecnici. A tal fine, Ericsson è già stata sottoposta a tali valutazioni in altri Paesi extra UE, e finora in tutte le situazioni è stata sempre designata come fornitore sicuro e affidabile.
Prima dell’esplodere della pandemia, il Copasir ha invocato nuovamente rassicurazioni da parte del Governo italiano sulla sicurezza delle reti 5G. Condividete questa posizione?
Assolutamente. La sicurezza delle reti 5G e in generale di tutte le infrastrutture critiche è fondamentale. La sicurezza cibernetica e la sicurezza nazionale sono due aspetti indissolubilmente legati. Qualsiasi decisione sulla sicurezza nazionale di un paese membro dell’UE deve essere presa in modo autonomo e indipendente. Nel contesto dell’UE, le valutazioni non tecniche devono essere applicate in modo obiettivo sulla base di criteri per la valutazione del rischio definiti a livello europeo. Questo è necessario per garantire un ambiente normativo prevedibile e armonizzato in tutta Europa.
Per la crisi in corso stanno rallentando gli investimenti sul 5G?
Le infrastrutture italiane si sono rivelate affidabili grazie agli ingenti investimenti realizzati dagli operatori di telecomunicazioni in questi anni. L’emergenza Coronavirus ha reso più lampante l’importanza cruciale delle infrastrutture di rete e la necessità di potenziare ancor più le reti a banda larga e ultra-larga. È grazie alle reti, sia mobili sia fisse, che oggi milioni di cittadini possono continuare a studiare, lavorare e comunicare con i propri cari. Riteniamo che gli investimenti sulle reti non si possano fermare proprio ora, e che anzi vadano prese delle misure urgenti, a livello istituzionale, per consentire agli operatori un’implementazione rapida delle reti di nuova generazione. La pandemia in corso rende inoltre ancora più evidente che in un mondo in rapido cambiamento e ad alta volatilità, la capacità di adattamento delle organizzazioni e delle filiere industriali è un fattore di successo imprescindibile. Con riferimento agli impatti anche sul mercato, possiamo affermare che la supply chain di Ericsson è resiliente e pensata per essere sempre vicino ai clienti. La nostra strategia prevede, infatti, la presenza di siti produttivi in più paesi, come ad esempio Stati Uniti, Cina, Estonia, Polonia, Romania, Brasile, Messico e India. Abbiamo inoltre una strategia di sviluppo software globale. Gli ingegneri che lavorano al codice sono presenti in tutto il mondo, ma il software Ericsson è verificato, firmato e distribuito centralmente dalla Svezia. La vocazione europea di Ericsson è poi testimoniata da un dato non di poco conto: il 60% dei nostri 25.000 ricercatori si trova in nove Paesi Europei, tra cui l’Italia, dove abbiamo ben tre centri di Ricerca e Sviluppo.
23/04/2020
