Negli ultimi anni la cyber security ha sviluppato una sorta di riflesso condizionato: quando si parla di attacchi, si pensa immediatamente a malware, ransomware, vulnerabilità software o campagne di phishing. Il rischio viene quasi sempre interpretato come qualcosa di digitale, invisibile, confinato dentro il perimetro logico delle reti e dei sistemi informativi.

Eppure, il recente episodio che ha coinvolto un data center di Amazon negli Emirati Arabi Uniti, colpito da oggetti lanciati durante un attacco nell’area circostante, riporta brutalmente l’attenzione su una realtà che, nel dibattito sulla sicurezza informatica, sembra essere stata progressivamente dimenticata: l’infrastruttura digitale è prima di tutto infrastruttura fisica.

Server, cavi, data center, stazioni di atterraggio dei cavi sottomarini, nodi di rete, centrali elettriche, impianti di raffreddamento: tutto ciò che rende possibile il mondo digitale esiste in luoghi reali, vulnerabili e potenzialmente esposti a incidenti, sabotaggi, eventi geopolitici o anche semplicemente errori umani.

Il cloud non vive nel cyberspazio

Il cloud viene spesso raccontato come qualcosa di etereo, quasi astratto. Una “nuvola”, appunto. In realtà è una gigantesca infrastruttura industriale distribuita, composta da edifici, sistemi energetici, apparati di rete, fibre ottiche e personale operativo.

Ogni workload che migriamo nel cloud non scompare in un limbo tecnologico: viene eseguito su un server installato in un rack, dentro un edificio, alimentato da energia elettrica e collegato al resto del mondo da chilometri di cavi.

Questo significa che anche il rischio associato al cloud non è esclusivamente cyber.

Un evento fisico può produrre effetti operativi identici, o addirittura peggiori, rispetto a un attacco informatico: indisponibilità dei servizi, perdita di connettività, interruzione di processi critici, impatti economici e reputazionali.

Se un data center può essere colpito indirettamente da un evento bellico o da atti di sabotaggio, l’intera architettura della nostra economia digitale diventa improvvisamente più fragile di quanto siamo abituati a pensare.

La sicurezza dimenticata

Negli ultimi vent’anni la sicurezza informatica ha fatto passi giganteschi sul piano tecnologico. SIEM, EDR, SOC, threat intelligence, zero trust, identity governance: il livello di sofisticazione delle difese digitali è cresciuto enormemente.

Ma nello stesso periodo il tema della sicurezza fisica delle infrastrutture digitali è rimasto spesso confinato in un ambito separato, gestito da funzioni diverse e raramente integrato nelle valutazioni di cyber risk.

Molte organizzazioni hanno sviluppato modelli di gestione del rischio estremamente maturi sul piano informatico, ma continuano a trattare la sicurezza fisica come un problema logistico o di facility management.

È un errore concettuale.

La sicurezza fisica non è un layer separato dalla cyber security: è uno dei suoi presupposti fondamentali.

Un data center senza energia elettrica, senza sistemi di raffreddamento, senza accessi protetti o senza connettività fisica è vulnerabile quanto, se non più, di un sistema privo di patch.

Il ritorno delle infrastrutture critiche

Il contesto geopolitico degli ultimi anni sta riportando al centro dell’attenzione un tema che per molto tempo era rimasto ai margini: la resilienza delle infrastrutture.

Cavi sottomarini, data center, nodi internet, satelliti, dorsali energetiche e hub logistici rappresentano oggi la spina dorsale dell’economia digitale globale.

Non si tratta solo di infrastrutture tecnologiche, ma di veri e propri asset strategici.

Interrompere uno di questi nodi può generare effetti a cascata su servizi finanziari, trasporti, sanità, telecomunicazioni e pubblica amministrazione. In altre parole: sul funzionamento stesso delle società moderne.

Ed è proprio per questo che negli ultimi anni il legislatore europeo ha iniziato a muoversi in modo sempre più deciso sul tema della resilienza.

Normative come la NIS2 e la direttiva CER stanno progressivamente spostando l’attenzione dalla sola sicurezza informatica alla protezione complessiva delle infrastrutture critiche, includendo esplicitamente anche il rischio fisico.

Il messaggio è chiaro: non basta difendere i sistemi informatici, bisogna proteggere l’intero ecosistema infrastrutturale che li sostiene.

Dal cyber risk al “multi-risk”

L’episodio che ha coinvolto il data center Amazon è interessante proprio perché rompe una narrazione molto diffusa nel settore: quella secondo cui il rischio digitale sarebbe principalmente di natura informatica.

In realtà il rischio che colpisce le infrastrutture digitali è sempre più spesso ibrido.

Può essere cyber, fisico, geopolitico, energetico o ambientale. Spesso è una combinazione di più fattori.

Pensiamo, ad esempio, a scenari che fino a pochi anni fa sarebbero stati considerati improbabili: interruzioni della connettività internazionale dovute a danni ai cavi sottomarini, data center coinvolti in aree di conflitto, attacchi alle infrastrutture energetiche che alimentano le piattaforme digitali, sabotaggi logistici o atti di guerra ibrida contro nodi critici della rete.

Tutti questi eventi producono lo stesso risultato operativo: l’interruzione dei servizi digitali su cui si basa una parte sempre più ampia della nostra economia.

Una questione di governance, non solo di tecnologia

Il vero punto, quindi, non è tanto tecnologico quanto di governance del rischio.

Le organizzazioni devono iniziare a ragionare sulle proprie infrastrutture digitali con una logica più ampia rispetto alla sola cyber security.

Quando si progettano architetture cloud, strategie di business continuity o modelli di resilienza, la domanda non dovrebbe essere solo “come proteggiamo i sistemi dagli attacchi informatici?”, ma anche:

• dove si trovano fisicamente le infrastrutture che utilizziamo
• quali sono le dipendenze energetiche e logistiche
• quali sono i rischi geopolitici delle regioni in cui operano i provider
• quanto sono ridondanti le connessioni di rete e le infrastrutture di trasporto dati

In altre parole, il rischio digitale deve essere analizzato in modo sistemico.

Perché la trasformazione digitale ha creato un paradosso: più il mondo diventa digitale, più dipende da infrastrutture fisiche estremamente complesse.

Il cloud resta sicuro. Ma non è invulnerabile

Tutto questo non significa che il cloud sia insicuro. Al contrario: i grandi hyperscaler hanno livelli di sicurezza, resilienza e ridondanza spesso superiori a quelli che molte organizzazioni potrebbero permettersi internamente.

Ma significa riconoscere una verità che nel settore tecnologico tendiamo spesso a dimenticare: nessuna infrastruttura è immune dal contesto fisico in cui opera.

La sicurezza non è solo una questione di firewall, patch e sistemi di rilevamento delle intrusioni. È anche, e sempre di più, una questione di infrastrutture, energia, geografia e resilienza.

Ed è proprio qui che la cyber security, per rimanere rilevante, dovrà imparare a dialogare molto più strettamente con il mondo della sicurezza fisica e della gestione delle infrastrutture critiche.

Perché il cyber spazio, in fondo, non esiste davvero, esiste solo un mondo fisico sempre più connesso.