Cambia il mondo, cambia la sicurezza? Calcolare il rischio, investire in resilienza Matteo Villa Osservatorio Europa ISPI – Milano 21 aprile 2015 Il contesto internazionale: un mondo di crisi? I conflitti alle porte I conflitti alle porte Fonte: Knoema Aumentano i paesi in conflitto… % di paesi «in conflitto» (1946 - 2013) Fonte: UCDP / PRIO … e la loro intensità? Fonte: UCDP / PRIO Intanto l’America arretra… … l’Europa è divisa… … e le minacce si diversificano Minacce, rischio, incertezza • Non esiste la protezione assoluta, o la «sicurezza infinita»: esiste il rischio calcolato: dobbiamo considerare i costi e i benefici delle azioni che accrescono la sicurezza. • Il beneficio di una spesa per la sicurezza è funzione della probabilità che assegniamo a un rischio da cui intendiamo proteggerci: Beneficio = riduzione attesa del danno – costo atteso= = riduzione del danno – (costo totale * probabilità dell’evento) Minacce, rischio, incertezza • L’aumento delle minacce non tradizionali aumenta anche la difficoltà di assegnare delle probabilità ai rischi. • La complessità del mondo moderno rende difficile valutare interazioni ed effetti a cascata. • Diventa più difficile valutare i benefici degli investimenti in sicurezza, anche per le imprese. Un caso studio: migrazioni e terrorismo islamico • Distinguere tra cause differenti può essere molto complicato • Il giudizio soggettivo modifica le decisioni sulla sicurezza • Cosa succede se aumentano gli eventi HILP Siria: un conflitto senza fine? Siria e Iraq: le conseguenze del conflitto Radicalizzazione: IS è un «pull factor» Emergenza migratoria: la grande invasione? Italia: i numeri dell’emergenza Arrivi via mare in Italia (2008 - 2015) 180000 170757 160000 140000 120000 100000 80000 60000 40000 20000 4406 0 2008 2009 2010 2011 2012 2013 2014 2015 Dati: Ministero dell’Interno e IOM Italia: l’emergenza è difficile da prevedere Arrivi via mare in Italia (2015-2016) 160.000 2015 2016 120.000 13 maggio 2015: la Commissione europea propone l'Agenda europea sulla migrazione 80.000 40.000 18 aprile 2015: naufragio nel Canale di Sicilia: 700/900 morti 0 Dati: IOM Anche in Grecia: 5 mesi, 750 mila arrivi Arrivi via mare in Grecia (2015) Dati: IOM Distinguere tra «contagio» e cause strutturali Arrivi via mare in Italia 60% 54% 48% 36% 40% 25% 20% 5% 0% 2014 siriani 2015 primi 4 paesi Africa subsahariana Dati: Ministero dell’Interno, IOM 1% gen-mar 2016 Terrorismo, migrazioni, probabilità L’emergenza migratoria è un fenomeno che vediamo accadere contemporaneamente a un altro (radicalizzazione + esercizio effettivo di violenza in Europa). Tuttavia i terroristi degli attentati in Francia e Belgio a oggi identificati erano nati in Europa. Quando sono stati all’estero, sono tornata in Europa prima di questa ondata migratoria. Hanno usato l’aereo, non i barconi. Eppure potenziali terroristi potrebbero nascondersi tra le persone che approdano sulle nostre coste, approfittando del caos. Forse è già successo. Quest’ultima argomentazione ci sembra «di buon senso». Perché? Terrorismo, migrazioni, probabilità Il terrorismo (in Europa) è un tipico caso di evento high impact / low probability (HILP). In Francia ci sono circa 4 milioni di musulmani 1% A rischio radicalizzazione Radicalizzati 40.000 200.000 5% 1% 400 Atto terroristico 5% 10.000 5% 1% 4 500 Lo stesso ragionamento può valere per i migranti (?) Terrorismo, migrazioni, probabilità Il terrorismo (in Europa) è un tipico caso di evento high impact / low probability (HILP). 1372 1400 1200 "terroristi" 1000 864 800 600 500 400 200 0 256 4 32 1% 2% 108 3% 4% 5% probabilità 6% 7% En passant: sicurezza energetica La stessa difficoltà di valutare costi e benefici di investimenti in prevenzione si ritrova nella letteratura sulla sicurezza energetica: • Diversificare fonti di gas naturale equivale a investire in resilienza • Ma quanto farlo, e a che costo? Capacità di importazione e consumi di gas naturale in UE (2015) 700 600 179 Gmc/anno 500 400 300 620 441 200 100 0 capacità consumi 2015 Sicurezza oggi: alcune grandi questioni Quanto e come dobbiamo investire in resilienza? • Come misuriamo il rischio, per confrontarlo con la sua parte «accettabile», in un contesto in cui proliferano eventi HILP? • Qual è il ciclo di vita della minaccia? (ha senso investire oggi?) • È così sbagliato «inseguire la sicurezza»? Learning by doing (per es. hacking contests, antivirus, …) Simulazioni / esercitazioni per awareness • Come identificare i «bersagli paganti» che potrebbero essere presi di mira? Sicurezza oggi: alcune grandi questioni È fattibile investire in resilienza? • I sistemi sociali, tecnologici, infrastrutturali, mutano di continuo: cosa ci aiuta ad aumentare la sicurezza nell’era ICT? Ci sono variabili che possiamo controllare? • È inevitabile che nei processi decisionali politici e privati si privilegino atteggiamenti di tipo reattivo rispetto ad altri di tipo preventivo? Cyber attacks giustificano meno investimenti che «cyberwarfare»? Sicurezza oggi: alcune grandi questioni La sicurezza di un sistema non è mai superiore a quella del suo punto più debole • È così anche in cybersecurity? • Quanto conta il fattore umano? (la famosa chiavetta di Stuxnet) • Ma allora è meglio investire in formazione? • O forse meglio limitare al massimo l’accesso a info sensibili? Grazie per l’attenzione!