Il blog di Archicad Italia

I progetti sviluppati con il metodo BIM tengono conto di una grande mole di dati e informazioni. Per questo è fondamentale avere una buona capacità di gestione e di protezione di questi dati (oltre che una buona conoscenza dei termini informatici). Approfondiamo questi temi e perché è importante costruire il piano di valutazione del rischio e della sicurezza fin dall'inizio del progetto, seguendo le linee guida della norma ISO 19650 - parte 5.

Questa mattina, nei pressi dell'auto parcheggiata di fianco alla mia, noto una chiavetta USB a terra. Tra me e me penso: i dati, Santo Cielo, i dati…

Avrebbe potuto essere una chiave con dati crittografati ma anche alla portata di chiunque avesse avuto voglia di dare un’occhiata al suo contenuto. I dati, soprattutto per chi lavora in ambito BIM, sono importanti e dobbiamo esserne ben consapevoli.

Level of Information Need

• Quali sono le informazioni minime necessarie per un determinato obiettivo;
• Chi sta chiedendo quelle informazioni e chi le fornisce;
• Quali informazioni sono necessarie ad ogni fase di progettazione;
• Come identificare gli oggetti con un sistema di classificazione.

Per descrivere un oggetto, ad esempio, abbiamo una serie di informazioni che concorrono alla sua descrizione. Potremmo scrivere un tema su un complemento d'arredo d'autore, ma nel caso del BIM non è la strada giusta. Sebbene le caratteristiche che andremmo a indicare saranno tutte corrette, dobbiamo suddividere le informazioni in base al loro scopo: le misure generali sono adatte a descrivere un progetto di massima; la spesa e i tempi di consegna vanno segnalate nella gestione dei costi; i materiali e i colori serviranno per l'interior design; e così via.

Ciò che manca in questo discorso è la sicurezza: lo scudo contro la perdita, o peggio, il furto dei dati del nostro studio di progettazione.

Il concetto di protezione dei dati fa riferimento alla salvaguardia delle informazioni digitali da intrusioni non autorizzate, danneggiamenti o furti per l'intera durata del loro ciclo di utilizzo. Questo concetto abbraccia tutte le dimensioni della sicurezza delle informazioni, spaziando dalla protezione fisica dell'hardware e dei dispositivi di stoccaggio, fino alla gestione degli accessi e dei controlli amministrativi, nonché alla sicurezza logica delle applicazioni software. 

Bisogna tenere in considerazione che non si tratta solo di protezione, ma anche di trattamento dei dati, della loro tutela e conservazione in ambito aziendale: i concetti di questo articolo valgono sempre, non solo in caso di attacco informatico.

Entra qui in gioco la parte 5 della ISO 19650, dal lungo titolo "Organizzazione e digitalizzazione delle informazioni relative all’edilizia e alle opere di ingegneria civile, incluso il Building Information Modelling (BIM) – Gestione informativa mediante il Building Information Modelling – Parte 5: Approccio orientato alla sicurezza per la gestione informativa".

Si tratta di una norma internazionale adottata in Europa, pubblicata nel 2020 ed entrata a far parte del nostro ordinamento nel dicembre del 2022. È stata richiamata espressamente nel c.d. "Decreto Baratono" del 2021 all'articolo 7, comma 5 bis, sottolineando l'importanza di questa direttiva nella promozione della standardizzazione nel mondo BIM.

GDPR e sicurezza informatica

In realtà, la norma non introduce nulla di particolarmente nuovo, soprattutto alla luce del GDPR e del ruolo che abbiamo come gestori di dati personali e sensibili.

Oltre a nominare un Responsabile per il trattamento dei dati personali, il GDPR impone di mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio con sistemi di autenticazione: sistemi di protezione (antivirus e firewall), sistemi di copiatura e conservazione di archivi elettronici, nonché sistemi informatici per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. Inoltre, i dati personali forniti dal Cliente verranno conservati in modo adeguato per il periodo temporale legato allo svolgimento dell’incarico professionale nonché agli obblighi di legge (contabili, fiscali e previdenziali) connessi.

D'altronde, la parte 5 della UNI 19650 non cerca di essere esaustiva sulla questione della sicurezza informatica. Essendo un argomento abbastanza complesso, richiede approcci multidisciplinari (proprietà intellettuale, gestione del rischio, leggi dell'informatica e diritto).

Ciò però non ci esime da redarre un piano di valutazione del rischio e un piano di sicurezza fin dalle prime fasi di un progetto. Già solo pensare di dover redigere uno di questi piani porta a un livello di conoscenza della propria struttura informatica che consente di fare valutazioni di aggiornamento informatico nel corso del tempo, essendo questi tra l'altro strumenti che si evolvono dinamicamente, coprendo tutte le fasi dalla progettazione iniziale al facility management. 

Da un punto di vista legale, la norma promuove l'uso di contratti ben strutturati per definire ruoli e responsabilità. Questi contratti rappresentano un primo passo nella prevenzione dei rischi e, nel caso di controversie, della loro gestione. A titolo esemplificativo, vi lascio scaricare i facsimile messi a disposizione dagli Ordine degli Architetti di Torino in tema di privacy da sottoporre al Cliente, sia per lo studio singolo che lo studio associato.

Rischi informatici nell'architettura

Per queste ragioni, un architetto non può più permettersi di non conoscere i termini informatici e i concetti a cui sono legati. Anzi, le Facoltà di Architettura dovrebbero iniziare a implementare il BIM come strumento di base per la progettazione e introdurre corsi accademici di programmazione di base. Così facendo la programmazione GDL o l'approccio a Rhino sarebbero decisamente più semplici, con enormi vantaggi in termini di efficacia e produttività per tutti.

Dal punto di vista strettamente informatico, bisogna iniziare a entrare in contatto con alcuni termini tecnici come crittografia, parola dietro alla quale si cela l'utilizzo di un algoritmo per trasformare i normali caratteri di testo in un formato illeggibile e di chiavi di crittografia che criptano i dati in modo che solo gli utenti autorizzati possano leggerli.

Se pensate che basti cancellare i dati una volta utilizzati per risolvere il problema, non siete sulla strada giusta. Bisogna utilizzare tecniche di Data Wiping che, oltre a cancellare il dato sul dispositivo di memorizzazione, sovrascrivono le aree logiche in cui erano memorizzati i dati che si vogliono cancellare.

Perché bisogna entrare in contatto con questi e altri termini informatici che riguardano la sicurezza dei dati? Per il semplice fatto che Il GDPR, all’articolo 32, impone che il responsabile del trattamento dei dati si assuma l’onere della valutazione continua dei rischi, onere che ricade sul singolo professionista se non si appoggia a personale esterno.

La questione è di assoluta rilevanza per chi lavora con modelli BIM infarciti di dati. Clusit (Associazione Italiana per la Sicurezza Informatica) nel rapporto del 2022, mostra che gli attacchi informatici sono aumentati del 53% dal 2018 (da 745 a 1.141). In quattro anni e mezzo la media mensile di attacchi gravi a livello globale è passata da 124 a 190: numeri che vanno di pari passo con i continui avvisi di Data Breach di aziende e/o amministrazioni pubbliche avvenuti in questi anni. La cosa interessante è che la categoria vittima di intrusioni informatiche racchiuse in "Professional/Scientific/Technical", con il peso del 2,8% sul totale, ha registrato un decremento degli attacchi del 36%.

Anche il servizio di monitoraggio dei gruppi ransomware DRM ha indicato nel report Q2 2023 la conferma di un trend in crescita, e che ancora non si registra una diminuzione degli attacchi. Prendendo in considerazione un arco temporale che parte dal 2020, anche il 2023 si conferma in aumento rispetto al Q2 2022 di oltre il 51%. 

Sperando che nessuno ci abbia mai avuto a che fare e che non li conosca se non per sentito dire, i ransomware sono un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione.

Tornando al report, possiamo vedere che il settore "Architettura" è tra le prime venti posizioni per distribuzione dei ransomware per settori lavorativi. Nelle prime cinque posizioni del podio, troviamo i settori produttivi industriali, settore tecnologia, settore sanitario, settore costruzioni, settore finanziario.

Passiamo ora alla parte relativa alle Pubbliche Amministrazioni.

Atto organizzativo BIM

Il tema della gestione dei dati si può trovare anche nell'Atto Organizzativo BIM implementato dalle pubbliche amministrazioni. Questo atto definisce le norme e le istruzioni che devono essere seguite per la gestione dei dati, la condivisione delle informazioni, e la cooperazione tra le diverse parti coinvolte nel ciclo di costruzione.

Dal punto di vista normativo, l'Atto Organizzativo BIM si fonda su disposizioni emanate a livello nazionale e internazionale che favoriscono l'implementazione del BIM nelle opere pubbliche. Questi includono il Decreto BIM (D.M. 560/2017) e il più recente Codice degli Appalti (D.Lgs. 36/2023), che nell'allegato I.9 stabilisce le direttive per la digitalizzazione nel settore delle costruzioni. Inoltre, l'Atto Organizzativo stabilisce i requisiti informativi che devono essere rispettati dalla Pubbliche Amministrazioni prima dell'emissione del capitolato informativo di gara. Di conseguenza, il capitolato deve essere coerente con quanto stabilito nell'Atto Organizzativo.

Parliamo di Gestione dei dati, Condivisione delle informazioni e di Collaborazione tra le figure coinvolte dove, parlando di dati, non possiamo non pensare alle linee guida accennate in precedenza e/o al GDPR ed ai rispettivi ruoli delle varie figure professionali BIM (Specialist, Coordinator, Manager e CDE Manager)

Per adottare la nuova metodologia BIM, la Pubblica Amministrazione dovrebbe:

• Creare le fondamenta per il progressivo sviluppo delle competenze e della cultura professionale del suo personale;
• Pianificare consapevolmente la disponibilità dell'hardware e del software necessari;
• Rivedere e riorganizzare i propri processi digitali e integrarli pienamente nelle strutture e nelle pratiche organizzative esistenti;
• Strutturare efficacemente la sicurezza dei dati.

Il Codice degli Appalti richiede che l'Atto Organizzativo sia costituito da documenti che specifichino i requisiti informativi della stazione appaltante o dell'amministrazione concedente. A tal fine, l'Atto deve includere le regole per l'Utilizzo del BIM e la Gestione dei Dati, con istruzioni chiare sull'uso del BIM e sulla gestione dei dati. Inoltre, contiene disposizioni sull'utilizzo dell'Ambiente di Condivisione dei Dati, garantendo l'accesso alle informazioni e alla sicurezza dei dati.

Come gestire la sicurezza dei tuoi dati

Non si tratta solo di stare attenti a perdere chiavi USB, ma di avere la chiarezza mentale di analizzare la propria struttura informatica e di intervenire nel miglior modo possibile affinché non ci siano perdite di dati e che siano conservati in sicurezza. Fatto questo, non bisogna mai dimenticare di avere un piano B nel caso di perdita di dati.

• 3 sta per tre versioni dei dati che intendete salvare, ossia l’originale su cui state lavorando più due copie;
• 2 sta per due diversi tipi di supporto da utilizzare per salvare i dati, ad esempio un disco rigido e un cloud;
• 1 sta per una copia “off-site”, ossia un set di dati salvato su un supporto che non si trova all’interno degli stessi locali o nello stesso luogo in cui sono archiviate anche le altre copie.