Cambia il mondo, cambia la sicurezza? Calcolare il rischio, investire in resilienza Matteo Villa Osservatorio Europa ISPI Milano 21 aprile 2015
Il contesto internazionale: un mondo di crisi?
I conflitti alle porte
I conflitti alle porte Fonte: Knoema
Aumentano i paesi in conflitto % di paesi «in conflitto» (1946-2013) Fonte: UCDP / PRIO
e la loro intensità? Fonte: UCDP / PRIO
Intanto l America arretra
l Europa è divisa
e le minacce si diversificano
Minacce, rischio, incertezza Non esiste la protezione assoluta, o la «sicurezza infinita»: esiste il rischio calcolato: dobbiamo considerare i costi e i benefici delle azioni che accrescono la sicurezza. Il beneficio di una spesa per la sicurezza è funzione della probabilità che assegniamo a un rischio da cui intendiamo proteggerci: Beneficio = riduzione attesa del danno costo atteso= = riduzione del danno (costo totale * probabilità dell evento)
Minacce, rischio, incertezza L aumento delle minacce non tradizionali aumenta anche la difficoltà di assegnare delle probabilità ai rischi. La complessità del mondo moderno rende difficile valutare interazioni ed effetti a cascata. Diventa più difficile valutare i benefici degli investimenti in sicurezza, anche per le imprese.
Un caso studio: migrazioni e terrorismo islamico Distinguere tra cause differenti può essere molto complicato Il giudizio soggettivo modifica le decisioni sulla sicurezza Cosa succede se aumentano gli eventi HILP
Siria: un conflitto senza fine?
Siria e Iraq: le conseguenze del conflitto
Radicalizzazione: IS è un «pull factor»
Emergenza migratoria: la grande invasione?
Italia: i numeri dell emergenza Arrivi via mare in Italia (2008-2015) 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 4406 170757 2008 2009 2010 2011 2012 2013 2014 2015 Dati: Ministero dell Interno e IOM
Italia: l emergenza è difficile da prevedere 160.000 Arrivi via mare in Italia (2015-2016) 2015 2016 120.000 80.000 13 maggio 2015: la Commissione europea propone l'agenda europea sulla migrazione 40.000 0 18 aprile 2015: naufragio nel Canale di Sicilia: 700/900 morti Dati: IOM
Anche in Grecia: 5 mesi, 750 mila arrivi Arrivi via mare in Grecia (2015) Dati: IOM
Distinguere tra «contagio» e cause strutturali 60% Arrivi via mare in Italia 54% 48% 40% 36% 25% 20% 0% 5% 1% 2014 2015 gen-mar 2016 siriani primi 4 paesi Africa subsahariana Dati: Ministero dell Interno, IOM
Terrorismo, migrazioni, probabilità L emergenza migratoria è un fenomeno che vediamo accadere contemporaneamente a un altro (radicalizzazione + esercizio effettivo di violenza in Europa). Tuttavia i terroristi degli attentati in Francia e Belgio a oggi identificati erano nati in Europa. Quando sono stati all estero, sono tornata in Europa prima di questa ondata migratoria. Hanno usato l aereo, non i barconi. Eppure potenziali terroristi potrebbero nascondersi tra le persone che approdano sulle nostre coste, approfittando del caos. Forse è già successo. Quest ultima argomentazione ci sembra «di buon senso». Perché?
Terrorismo, migrazioni, probabilità Il terrorismo (in Europa) è un tipico caso di evento high impact / low probability (HILP). In Francia ci sono circa 4 milioni di musulmani A rischio radicalizzazione Radicalizzati 1% 5% 40.000 200.000 1% 5% 400 10.000 Atto terroristico 1% 5% 4 500 Lo stesso ragionamento può valere per i migranti (?)
Terrorismo, migrazioni, probabilità Il terrorismo (in Europa) è un tipico caso di evento high impact / low probability (HILP). 1400 1372 1200 "terroristi" 1000 800 600 400 200 0 864 500 256 108 4 32 1% 2% 3% 4% 5% 6% 7% probabilità
En passant: sicurezza energetica La stessa difficoltà di valutare costi e benefici di investimenti in prevenzione si ritrova nella letteratura sulla sicurezza energetica: Diversificare fonti di gas naturale equivale a investire in resilienza Ma quanto farlo, e a che costo? Capacità di importazione e consumi di gas naturale in UE (2015) 700 600 500 179 Gmc/anno 400 300 200 620 441 100 0 capacità consumi 2015
Sicurezza oggi: alcune grandi questioni Quanto e come dobbiamo investire in resilienza? Come misuriamo il rischio, per confrontarlo con la sua parte «accettabile», in un contesto in cui proliferano eventi HILP? Qual è il ciclo di vita della minaccia? (ha senso investire oggi?) È così sbagliato «inseguire la sicurezza»? Learning by doing (per es. hacking contests, antivirus, ) Simulazioni / esercitazioni per awareness Come identificare i «bersagli paganti» che potrebbero essere presi di mira?
Sicurezza oggi: alcune grandi questioni È fattibile investire in resilienza? I sistemi sociali, tecnologici, infrastrutturali, mutano di continuo: cosa ci aiuta ad aumentare la sicurezza nell era ICT? Ci sono variabili che possiamo controllare? È inevitabile che nei processi decisionali politici e privati si privilegino atteggiamenti di tipo reattivo rispetto ad altri di tipo preventivo? Cyber attacks giustificano meno investimenti che «cyberwarfare»?
Sicurezza oggi: alcune grandi questioni La sicurezza di un sistema non è mai superiore a quella del suo punto più debole È così anche in cybersecurity? Quanto conta il fattore umano? (la famosa chiavetta di Stuxnet) Ma allora è meglio investire in formazione? O forse meglio limitare al massimo l accesso a info sensibili?
Grazie per l attenzione!