Immaginiamo una città in un giorno qualsiasi.
All’improvviso, in centrale operativa, gli operatori notano rallentamenti: alcune telecamere non caricano, il sistema di gestione ticket va a singhiozzo, gli allarmi da certe zone non arrivano. In parallelo, l’help desk del Comune riceve segnalazioni di difficoltà ad accedere a determinati servizi online. In assenza di strumenti e processi strutturati, la rilevazione di un incidente del genere può richiedere ore, se non giorni: studi internazionali stimano che molte organizzazioni impieghino in media oltre 160 ore (quasi una settimana) per rilevare, indagare e contenere un incidente di sicurezza, con solo una piccola minoranza capace di reagire nei famosi “1‑10‑60 minuti”. Le realtà che implementano un modello di monitoraggio e incident response dedicato riescono invece a ridurre questi tempi a pochi minuti, limitando la finestra in cui l’attaccante può muoversi indisturbato.
Un piano di incident response ben costruito prevede già chi fa cosa in queste situazioni.
Ci sono soglie e regole che determinano quando un’anomalia deve essere innalzata a “incidente di sicurezza”; ci sono team misti – IT, IoT, comunicazione, direzione – che vengono attivati; ci sono procedure per raccogliere rapidamente evidenze (log, traffico, comportamenti dei sistemi) e capire se si tratta di un guasto o di qualcosa di intenzionale. In caso di conferma di attacco, scattano le azioni di contenimento: limitare l’accesso dall’esterno, isolare parti di rete, disattivare servizi non critici per salvaguardare quelli essenziali. Qui il tempo è letteralmente denaro: le stime sui costi di downtime indicano valori medi di centinaia di migliaia di euro all’ora per organizzazioni di medie e grandi dimensioni, con alcuni settori che superano facilmente il milione di euro l’ora quando vengono fermati sistemi centrali. Ogni ora guadagnata in questa fase può evitare disservizi per migliaia di utenti e ridurre danni economici che, per certi servizi, arrivano rapidamente nell’ordine delle decine o centinaia di migliaia di euro.
Parallelamente si lavora al ripristino: ripulire sistemi compromessi, ripristinare da backup, cambiare credenziali, rafforzare regole di filtraggio, monitorare con attenzione i segnali che possono indicare persistenze malevole. Tutto questo deve avvenire mentre la città continua a funzionare: è spesso impossibile “spegnere tutto” fino a problema risolto. Servono quindi piani graduali, che identifichino quali servizi tenere sempre attivi, quali si possono sospendere temporaneamente, quali alternative comunicare a cittadini e imprese. L’esperienza di alcune città colpite da ransomware mostra quanto una risposta improvvisata possa costare: nel famoso caso di una grande città statunitense, l’attacco SamSam ha generato costi complessivi stimati intorno ai 17 milioni di dollari fra ripristino, sostituzione di sistemi, nuovi servizi e consulenze, a fronte di una richiesta di riscatto di poche decine di migliaia di dollari. Le organizzazioni che svolgono esercitazioni periodiche di risposta agli incidenti riportano in genere riduzioni del 30–50% nei tempi di coordinamento e decisione durante eventi reali, proprio perché ruoli e procedure sono già stati testati.
Dopo l’emergenza, un buon modello di incident response prevede una fase di post: analisi approfondita delle cause, delle vulnerabilità sfruttate, dei tempi di reazione; revisione delle procedure; interventi strutturali per ridurre la probabilità che lo stesso scenario si ripeta. È il momento in cui si aggiornano runbook, si migliorano i playbook di risposta, si definiscono nuove metriche di MTTD (Mean Time To Detect) e MTTR (Mean Time To Resolve), passando da valori di giorni a obiettivi di ore o minuti. Coinvolgere in questo processo non solo tecnici ma anche decisori, responsabili di servizio e – quando opportuno – cittadini e stakeholder, aiuta a costruire una cultura della sicurezza più matura. Per una smart city, la domanda non è se capiterà un incidente, ma quanto sarà pronta la città a reagire. Un piano di risposta solido, testato e aggiornato è la migliore assicurazione per proteggere la continuità dei servizi essenziali, contenere gli impatti economici e mantenere la fiducia delle persone nelle infrastrutture digitali che usano ogni giorno.
