Il 5 maggio scorso, le organizzazioni nazionali di cybersecurity di Regno Unito e Stati Uniti comunicano i tentativi di attacchi hacker diretti ai rispettivi sistemi sanitari. Nel mirino ci sono case farmaceutiche, università, centri di ricerca medica e governi locali. Stando ai pareri degli esperti, queste azioni, identificate con la definizione Advanced Persistent Threat (ATP), sarebbero finanziate da Paesi ostili con l’obiettivo specifico di rubare gli studi aggiornati sul vaccino per il Covid.
Già un mese prima, l’8 aprile, un comunicato congiunto del Cybersecurity and Infrastructure Security Agency (CISA) statunitense e dello United Kingdom’s National Cyber Security Centre (NCSC) britannico, riferisce di un preoccupante susseguirsi di attacchi in rete. Telelavoro e smartworking, si legge, hanno reso più vulnerabili i sistemi di aziende e istituzioni.
Pochi giorni dopo, il 23 aprile, l’Organizzazione Mondiale della Sanità lancia un allarme simile. «Dall’inizio della pandemia, l’OMS ha visto un deciso aumento nel numero di attacchi informatici diretti al suo staff, e in truffe via mail dirette al grande pubblico». All’incirca 450 indirizzi e-mail dell’organismo dell’ONU e le relative password, sono diffuse in rete. Vengono rivelate anche migliaia di altre caselle di posta elettronica, appartenenti al personale medico impegnato nella lotta al virus.
WHO urges vigilance after fivefold increase in cyber attacks since the start of the #COVID19 pandemic https://t.co/wJGzfJtPU3#coronavirus pic.twitter.com/zsNsPB2d15
— World Health Organization (WHO) (@WHO) April 23, 2020
Anche l’Italia, a modo suo, viene colpita da problemi sul web nei giorni della pandemia. Il 1 aprile, il database del sito dell’INPS va in crash a causa delle troppe visite dei cittadini, che da quel giorno possono fare domanda per ottenere i 600 euro dal governo. In questo caso, sostengono i tecnici, non si tratta di attori esterni, ma di un sovraccarico del sistema dell’istituto, verificatosi a seguito di 300 mila collegamenti avvenuti in contemporanea. Col risultato che per alcuni minuti il sito, andato in tilt, mostra a quanti compilano la propria richiesta i dati personali di altri utenti.
Un panorama complesso, quello legato alla cybersecurity e ai problemi che gli enti specializzati si trovano a fronteggiare, reso oggi ancor più difficile dalla convivenza con le difficoltà dovute all’epidemia. In particolar modo per l’Italia, caratterizzata da un basso grado di digitalizzazione fra i cittadini e le istituzioni.
Giulia Pastorella, responsabile per diversi anni della strategia a livello globale nelle politiche di cybersecurity per la multinazionale del tech HP, individua nella carenza di tecnologia nelle imprese, nella poca collaborazione a livello internazionale in campo tecnologico e nella frammentazione del potere decisionale in materia di cybersecurity policies le principali problematiche per il nostro Stato.
Guardando proprio alle cybersecurity policies nel contesto italiano, si nota la varietà degli organi istituzionali competenti. Da esperta del settore, qual è la situazione?
«Il caso italiano è particolare. In materia di politiche di sicurezza informatica c’è una frammentazione a livello di governance. L’unità organizzativa è stata parzialmente ricomposta grazie alla necessità di rispondere ai sempre più frequenti regolamenti europei, tra cui la direttiva NIS (la direttiva dell’Unione Europea volta a implementare e armonizzare i vari sistemi nazionali di sicurezza informatica, ndr).
Questo crescente interesse dell’Unione ha avuto come esito l’accelerazione del processo di miglioramento delle politiche nazionali di cybersecurity, fra cui quella dell’Italia. In generale, l’approccio utilizzato dalle istituzioni competenti è stato piramidale: partendo dal mettere in sicurezza i propri servizi informatici, passando quindi a mettere mano ai servizi critici nazionali, fino ad arrivare ultimamente ad occuparsi pian piano di tutti i dispositivi connessi tra i cittadini.»
Sembra mancare una diffusa consapevolezza del tema in una larga parte della popolazione. Come si sta muovendo lo Stato in questo senso?
«Si stanno facendo passi avanti. L’educazione alla tecnologia fin dalla scuola resta fondamentale, poiché, come spesso accade, l’anello debole della catena della sicurezza informatica è proprio l’essere umano. Sembra esserci anche un input nel migliorare le regole base della produzione e messa in commercio dei dispositivi tecnologici. Sia a livello nazionale sia a livello europeo si stanno dunque stabilendo regole basi di sicurezza che tutti i produttori di tecnologia devono rispettare.
Alcuni esempi in questa direzione sono evitare password standard, comunicare ai consumatori per quanto tempo verranno garantiti updates, sia generali che di sicurezza dei dispositivi, o con quanta tempestività le stesse aziende risolveranno eventuali falle nei propri sistemi (il cosiddetto “patching”, ndr). Anche in questo caso, il ruolo europeo è di vitale importanza per evitare una frammentazione dannosa. È l’Unione che, basandosi su criteri proposti dagli esperti delle associazioni di categoria e dagli enti di standardizzazione nazionali, ascoltando i bisogni delle associazioni consumatori, legifera in materia.»
Prima che un determinato metodo di regolamentazione relativo alla cybersecurity diventi legge, c’è quindi una fase di sperimentazione.
«Di certo c’è un periodo di consultazione e di valutazione dell’impatto di un’eventuale policy. Molto spesso si comincia con schemi volontari, al fine di incentivare le aziende a migliorarsi e verificare che i consumatori ne approfittino veramente. Questo accade sia a livello europeo che a livello nazionale. La Finlandia ad esempio ha proposto un sistema per cui se un produttore dimostra di aver rispettato una lista di criteri di sicurezze di base, ottiene dal ministero un’etichetta che dimostra al consumatore la sicurezza del prodotto.»
Il modello finlandese può rappresentare una soluzione estendibile in altri Paesi?
«È difficile che l’utilizzo di un metodo simile non susciti scetticismo. A differenza dell’etichettatura ambientale, che non varia nel tempo, per i dispositivi connessi è molto più complicato stabilire un grado di sicurezza. Entrano in gioco diverse componenti: le app che si istallano, quanto spesso si cambia la password e quant’altro. Ecco perché esiste il rischio di diffondere il mito di una falsa sicurezza. Quello che invece deve essere garantito è l’obbligatorietà, per i produttori, di rispettare un grado minimo di tutela.
Fermo restando che ci sono aziende più o meno sensibili all’argomento. Ancora una volta, è l’Unione Europea, attraverso la normativa del Cybersecurity Act, che fisserà gli standard minimi di sicurezza dei dispositivi, fornendo uno schema di certificazione dei prodotti e dei servizi. Compresi il 5G, i Cloud e gli IoT (Internet of Thigns, ndr).»
Del 5G, dopo gli screzi fra USA e Cina, si stanno ora perfezionando il suo uso e i rischi che ne conseguono. A che punto si è arrivati in questo campo?
«Bisogna evidenziare che, secondo gli esperti, il famoso 5G cinese non è meno affidabile del 5G di altri Paesi. La particolarità della Cina sta nelle figure dietro alle infrastrutture: alcune aziende spesso legate al governo di Pechino, il quale perciò potrebbe avere maggiore facilità ad acquisisce i dati degli utenti. Per quanto riguarda invece l’aspetto geopolitico, così come nella guerra fredda, anche oggi ci sono nazioni schierate con gli Stati Uniti e altre ad essi rivali.
Il Regno Unito è un caso recente di disobbedienza ai moniti statunitensi. Ed è interessante notare che Trump, dopo le proteste iniziali, si sia adattato alle richieste britanniche. Sul piano tecnologico, quindi, la logica geopolitica funziona parzialmente. L’alto grado di sviluppo della Cina nelle infrastrutture 5G e i costi competitivi fa sì che molti Stati europei scelgano quella tecnologia, seguendo interessi di natura tecnica e commerciale, e non politica.»
Rispetto ad uno scenario internazionale così complesso, l’Italia come e dove si pone in materia?
«L’Italia potrebbe sicuramente migliorare la collaborazione internazionale in campo tecnologico. Penso all’alleanza per la condivisione di informazioni di intelligence fra Australia, Nuova Zelanda, Stati Uniti, Canada e Regno Unito, la cosiddetta Five Eyes. Il nostro Paese è in ritardo, nonostante abbia studiosi di altissimo profilo all’interno e spesso ai vertici delle varie organizzazioni internazionali o estere. È il caso, ad esempio, di Roberto Viola, Direttore Generale della Commissione Reti di comunicazione, contenuti e tecnologie dell’Unione Europea. Per la messa a punto del 5G e per contrastarne gli eventuali rischi, lavorare con i partner europei rimane essenziale.
Un altro problema presente in Italia sta nella carenza tecnologica nelle aziende che non si occupano in senso stretto di tecnologia. Sembra valere l’atteggiamento secondo cui finché il Paese non è digitalizzato, è meno necessario concentrarsi su questo aspetto.»
A proposito del diffuso problema della mancanza di digitalizzazione fra le aziende italiane, quali conseguenze possono esserci, sia internamente alle società, sia per i dipendenti e i consumatori?
«Il punto è interessante, poiché nella tipica azienda non specializzata in informatica, la divisione dei compiti è ripartita fra chi decide riguardo al business e chi si occupa invece della tecnologia dell’informazione. E tra i due ruoli, spesso non c’è comunicazione. Quello che dovrebbe succedere è esattamente l’opposto, ossia che un rappresentante dell’IT partecipi alle decisioni d’impresa e di strategia. Si tratta pertanto di trasformare un modello di business da analogico a digitale e di proteggere, a livello informatico, i propri dati aziendali. Su quest’ultimo punto è più difficoltoso agire, poiché manca una coscienza comune rispetto alle modalità attraverso cui la sicurezza interna impatta sulla reputazione della società.
Rispetto a questo tema, in Italia, è anzi ancora diffuso un punto di vista diametralmente opposto. Una sorta di cultura della vergogna, secondo la quale per un’azienda è faticoso, tanto per citare una circostanza plausibile, ammettere di essere stati hackerati. Finché resiste questo limite, le imprese non potranno mai giovare del supporto tecnico che lo Stato già ad oggi mette a disposizione.»
Spostando l’attenzione sul rapporto fra aziende del tech e governi, come si svolge e che valore ha l’attività di lobbying nel campo della cybersecurity?
«In generale, il lobbying nel processo di formazione delle politiche deve essere formulato in modo trasparente ed è un’azione utile, in quanto permette ai legislatori di essere informati su argomenti specifici. Tanto più in ambito tecnologico, dove la legge è sempre un passo indietro ed è costretta a rincorrere l’innovazione tecnica. Bisogna poi tener presente la considerazione di cui godono i colossi social, visti dai cittadini alla stregua di servizi di utilità pubblica. Di conseguenza, anche se non è corretto poiché si tratta di piattaforme private, gli utenti esigono quasi gli stessi standard del settore statale. Interagire con i governi rappresenta quindi un compito sempre più lontano dalla classica attività di lobbying e sembra diventare un confronto fra sole attività pubbliche, mentre non è affatto così.»
Dall’altro lato, c’è l’eccessiva richiesta di alcuni Stati di entrare in possesso dei dati personali degli utenti dei servizi di comunicazione. Quali conseguenze ne possono scaturire?
«Il modello chiave in tal senso è la Cina, dove la separazione fra pubblico e privato è molto labile. C’è un sistema di credito sociale per cui, non lontano da quanto accade in alcune puntate della serie TV Blackmirror, le persone ricevono un punteggio che corrisponde a un giudizio del proprio comportamento, online e offline. Giudizio a cui lo Stato fa corrispondere ai cittadini punizioni, come il divieto di viaggiare. E lo stesso sistema viene applicato anche alle aziende, costrette a consegnare periodicamente dati finanziari, ambientali e relativi al personale.
Anche se più lontana dai riflettori, anche la Russia sta agendo in maniera simile. Una nuova legge impone che tutti i dispositivi che entrano nel mercato russo, debbano avere app pre-istallate volute da Mosca. Ampliando il discorso all’Occidente, dove la situazione è senza dubbio migliore, lo Stato è giustificato ad impossessarsi delle informazioni personali dei cittadini, solo nel momento in cui incombe un pericolo per la sicurezza nazionale. In questo ambito entra in gioco anche la questione del diritto all’anonimato online.»
A proposito di anonimato in Internet, quanto valgono i nuovi orizzonti offerti della tecnologia blockchain?
«Il presupposto è la definizione di blockchain: una maniera diffusa di assicurare l’integrità di un processo. Il suo utilizzo è vario e va ben oltre le transazioni finanziarie legate al cryptocurrencies. Una dimostrazione interessante del margine di azione di blockchain è la possibilità di tracciare l’impatto ambientale di un dato prodotto, ovvero rendere trasparenti tutti i passaggi della sua produzione, senza possibilità di alterazione.»
Spesso si parla di blockchain riferendosi all’Internet del valore, al recupero del concetto di scarsità e unicità sul web. È un fine perseguibile e auspicabile?
«Occorre prestare attenzione al modo in cui si giudica il valore. Un modello di questo genere presenta una difficoltà strutturale, proprio dal punto di vista della sostenibilità ambientale. Ci sono infatti problemi di ingombro fisico e di necessità crescente di energia, derivati dal continuo immagazzinamento di dati da parte dei giganti del tech. È una questione oggi semi sconosciuta, ma che verrà sempre più alla ribalta in futuro. Basti pensare ai data center collocati sul fondo dell’Oceano per mantenerli ad una temperatura adatta.»
Riassumendo, quali possono essere dei semplici consigli da dare a tutti noi che usiamo i dispositivi ogni giorno?
«Alla base di tutto sta la premessa di non pensare alla cybersecurity come ad un argomento troppo complesso per i non addetti. Qualcosa che sia perciò ad appannaggio esclusivo degli esperti. Non è così: ognuno di noi, responsabilizzandosi, può fare la differenza.
Un secondo valido accorgimento è lo sviluppo di un sano scetticismo nei confronti della tecnologia. Rendere ogni cosa una piattaforma digitale non è il rimedio a tutti i mali. Soprattutto bisogna smettere di considerare il web una realtà parallela ed eterea: oggi non c’è più distinzione fra online e offline. Di conseguenza, è necessario applicare alla rete le stesse norme etiche esistenti nella società civile. Sia da parte del cittadino che del legislatore.»