la Repubblica
Mauceli, Microsoft: "Per la Pa gli ultimi tre mesi come trent'anni"
by SIMONE COSIMIMILIONI di lavoratori costretti alla digitalizzazione forzata. Un aumento impressionante delle opportunità di reinventare il mondo del lavoro e della produttività ma anche dei rischi. Il contributo dell'intelligenza artificiale. Il supporto di piattaforme di collaborazione, come Teams, che non solo traghettano l'ufficio o l'azienda online ma ne potenziano gli strumenti. Di questo, e altro, si occupa in MicrosoftCarlo Mauceli, National digital officer della filiale italiana. La sua missione è definire una politica tecnologia funzionale alla digitalizzazione del territorio tessendo i rapporti con il governo, le università e i decisori pubblici. Una sfida ancora più stringente, in tempi di distanziamento fisico, di lavoro in remoto, di transizione digitale a cui tutti - imprese, amministrazioni, cittadini nel loro rapporto con queste due categorie di organizzazioni - devono partecipare. Per uscire finalmente "contemporanei" dall'epidemia.
Mauceli, ingegnere elettronico nel gruppo dal 1998, ha il profilo ideale per tenere insieme tutti i pezzi del puzzle: quello tecnologico, quello politico e quello strategico. Il suo obiettivo è d'altronde anche supportare istituzioni ed enti governativi nazionali e locali nelle loro scelte sull'ICT, ovviamente spiegando quale può essere il contributo di Microsoft. Il suo incarico rientra d'altronde nel più ampio impegno di Microsoft per supportare l'innovazione del paese attraverso un piano di sviluppo nazionale fatto di digitale, formazione giovanile e nuove opportunità per i cittadini.
Quali sono state le prime mosse di Microsoft Italia all'esplosione dell'epidemia?
"Da sempre seguiamo una procedura che simula situazioni di criticità che possono nascere da fenomeni di ogni genere, dai terremoti ai disastri idrogeologici passando per gli attacchi informatici a infrastrutture critiche di paesi e aziende fino alle pandemie. Eravamo quindi pronti dal punto di vista delle capacità reattive. La prima mossa è stata dire: si lavora da casa. D'altronde per Microsoft è una consuetudine, sono anni che facciamo smart working. Che in fondo è lo stesso tipo di attività che svolgeremmo in condizioni normali, di qualsiasi tipo si tratti. Soprattutto nei confronti dei clienti. Mai come stavolta le indicazioni del comitato che a livello centrale definisce le pratiche da sviluppare in queste condizioni sono state utili".
Cosa sta facendo Microsoft in Italia per accompagnare Pa, aziende e cittadini in questa digitalizzazione forzata?
"Molte cose. E sono orgoglioso di queste azioni. Anzitutto abbiamo cercato di capire quali fossero le esigenze primarie delle aziende. C'è ovviamente una distinzione fra pubbliche e private, e in questo secondo caso fra quelle più o meno tecnologicamente avanzate. Abbiamo messo a disposizione servizi cloud con procedure veloci con sei mesi di uso gratuito per certi settori. Penso alle scuole: l'incremento di Teams è stato mostruoso, più o meno del 700% con 90mila docenti formati. Basti pensare che il 70% delle università svolge lezioni sulla piattaforma. Internamente, una task force di dipendenti si è volontariamente dedicata a rispondere alle richieste degli istituti. Alle Pa abbiamo invece messo a disposizione le suite di Office 365 per collaborazione, comunicazione e videoconferenze. In questo caso anche oltre 40 partner ci hanno aiutato attraverso il progetto solidale Flexible Working. Ancora, alla sanità abbiamo fornito soluzioni di telemedicina attraverso Microsoft Teams (per esempio al San Giovanni Addolorata di Roma e all’Asl Napoli 3 Sud) e ad alcuni ospedali abbiamo proposto dei bot per semplificare l’autovalutazione dei sintomi del Covid ed efficientare l'accesso ai servizi ospedalieri (per esempio allo Spallanzani, oltre che alle due strutture già citate). In questi mesi la Pa ha fatto un corso accelerato di digitalizzazione, l'equivalente di trent'anni".
Quali sono i rischi, in termini di cybersicurezza, in una dinamica simile. Pensiamo allo smart working ma non solo?
"Di sicurezza informatica ne parlano tutti. Negli anni in cui viviamo non è la sfida centrale. Che è un'altra, più sfumata: quella delle minacce informatiche. Un aspetto diverso che si inserisce nella 'security' in senso lato. Il 2019 è stato l'anno peggiore dal punto di vista degli attacchi, con un 7% di crescita sull'anno prima. E sono aumentati quelli gravi, quelli in grado di distruggere un'azienda o mettere in ginocchio un'infrastruttura critica. Parliamo di attacchi sferrati da gruppi criminali assoldati da multinazionali e da governi per creare le condizioni attraverso le quali la vita civile viene messa a rischio. Cos'ha aggiunto il Covid in questo contesto? Senz'altro lo stress delle infrastrutture dei clienti che erano già critiche in precedenza e si sono indebolite a causa di un carico enorme. Alcune ovviamente: soprattutto le infrastrutture private, le cosiddette "on-premises", su configurazioni magari non al massimo dell'efficienza fin da prima. Alcune delle vulnerabilità emerse sono state risolte anche dai partner. Certi attacchi sono stati molto specifici: per esempio almeno tre aziende sono state attaccate dal gruppo rinominato Parinacota sfruttando vulnerabilità del 'remote desktop protocol'. Il Covid è stato dunque un amplificatore di quello che già esisteva".
Intelligenza artificiale: in che modo potenzia la sicurezza delle infrastrutture?
"Aiuta la capacità predittiva e di simulazione di attacchi che possono nascere e di cui ancora non si conosce la natura. I sistemi di protezione di cui disponiamo per le piattaforme sono tutti "cloud-driven". Il concetto degli antivirus ormai obsoleto, infatti, non risolve molto. Oggi occorre mettersi nell'ottica di pensare proprio come chi potrebbe attaccarti e in fondo di sentirsi sempre sotto attacco. Bisogna maturare capacità di analisi in tempo reale. Queste capacità te le dà il machine learning che raccoglie informazioni e segnali dagli "endpoint" delle aziende o da device di ogni tipo come console o altri gadget, quindi anche dei consumatori, impara da sé e aumenta il proprio bagaglio di conoscenza. Sistemi di apprendimento che si abbeverano anche di altre soluzioni e dalle realtà che collaborano con noi. Per capire che cosa sta avvenendo e potrà avvenire in termini di sicurezza informatica l'unico modo è alimentare un continuo scambio informativo. La nostra forza sta nell'integrazione: ogni elemento si nutre del meglio dell'altro. Una logica del tutto diversa rispetto alla verticalizzazione".
Quali sono le garanzie offerte da Teams?
"Teams è una soluzione all'interno di una piattaforma, più che un prodotto. Se vuoi usare Teams devi autenticarti. Il sistema capisce se sei veramente tu, l'utente che si sta autenticando, e risolve alla base un bel pezzo dei problemi di sicurezza. Anche nel caso del coinvolgimento via link c'è sempre bisogno di essere invitati e si atterra nella sala d'attesa dove l'amministratore può verificare l'ospite esterno. Se invece l'utente è interno all'organizzazione, l'autenticazione vale per tutti i partecipanti. La protezione dell'identità è la base per una convivenza sicura e distante ma al contempo vicina, anche nell'uso e nella condivisione dei documenti. I livelli di amministrazione all'interno di Teams sono due: di anagrafica, per esempio di autenticazione e dei tool di accesso, e poi l'amministrazione di team e canali specifici. Da un punto di vista di comunicazione i dati sono completamente criptati con protocollo https. In generale, quello che manca nella cultura delle persone è l'attenzione ai dettagli: quando offro un servizio devo dare anche le funzionalità per lavorare con i privilegi minimi. Chiaramente se qualcuno prende la mia identità a quel punto mette in crisi l'intera organizzazione".
Quale consiglio darebbe a un'organizzazione completamente a digiuno che dovesse digitalizzare le sue attività in modo sicuro?
"Partirei da un fattore determinante che è quello di capire il proprio business. Capire dunque ciò che devo difendere, il mio prodotto di punta. Che sia il servizio di un ente o qualsiasi altra cosa. Considerando i budget spesso limitati toglierei tutto quello che non riguarda il mio business, la commodity, e suggerirei un salto mentale che spesso in questo paese sembra complicato. Insomma, bisogna capire che affidandosi al cloud alcune responsabilità si spostano verso altri, come appunto il cloud provider, che tiene al sicuro l'infrastruttura. Di modo che l'organizzazione possa concentrarsi su una dimensione più piccola del problema, i suoi dati. Quindi spingerei verso il cloud. Ma quale cloud? Quello di Microsoft ha una grande quantità di punti di forza che ruotano intorno a privacy, sicurezza e compliance. Un servizio sicuro "by design". E soprattutto personalizzabile, applicando le proprie policy. Penso a una soluzione come Azure Blueprints che serve a dare l'opportunità di massima configurazione del proprio spazio cloud. Non è più il nostro, è il tuo. Dei dati non ci interessa, mettiamo a disposizione le piattaforme attraverso cui proteggerle, come le leggi europee e nazionali richiedono. La fiducia non nasce dalla simpatia, nasce da basi solide, dagli impegni che abbiamo e dai risultati raggiunti nella 'giungla' del cyberspazio".