domenica, Settembre 26

Il Governo vara la cyber-strategy

0

cyber-security

Google vi paga da 100 a 20mila dollari se le segnalate difetti dei suoi siti web che mettono a rischio i dati degli utenti. Anche Facebook, da 500 dollari in su. Per gli esperti di sicurezza informatica è un lavoro: trovare errori e vulnerabilità nei software e nelle reti di computer affinché siano corretti. Chi lo fa è un ‘cappello bianco’ (white-hat) in gergo, un hacker che aiuta aziende, forze dell’ordine ed enti governativi testando la sicurezza dei sistemi informatici o partecipando a operazioni contro i cyber criminali. Questi ultimi sono i ‘cappelli neri’ (black-hat), e violano i sistemi per sabotarli oppure per cancellare o rubare dati. I black-hat sono un rischio non solo per gli individui e le aziende ma anche per gli Stati, sia che agiscano in autonomia sia che operino per conto altrui (altri Stati o gruppi criminali e terroristici), per profitto o per una causa. I servizi segreti italiani tengono d’occhio la ‘cyber minaccia’ da tempo, e da ultimo le hanno dato ampio spazio nella loro relazione 2012.

Nel gennaio del 2013 un decreto del Presidente del Consiglio Enrico Letta ha ridisegnato l’organizzazione istituzionale nel settore della cyber-sicurezza e su quella base, nel corso dell’anno, gli esperti del governo hanno lavorato a una strategia, tirando le somme in due documenti adottati il 18 dicembre dallo stesso Letta su proposta del Comitato interministeriale per la sicurezza della Repubblica. Il ‘Quadro strategico nazionale per la sicurezza dello spazio cibernetico’ e il ‘Piano nazionale per la protezione cibernetica e la sicurezza informatica’, i cui dettagli non sono ancora noti, individuano gli strumenti e le procedure per combattere le minacce alle reti d’interesse nazionale e stabiliscono i compiti degli attori pubblici e privati in questo ambito, gli obiettivi e le priorità. Ne abbiamo parlato con Stefano Mele, avvocato specializzato in Diritto delle tecnologie, Privacy e Sicurezza delle informazioni e coordinatore dell’Osservatorio InfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici Niccolò Machiavelli, nonché consulente per organizzazioni nazionali ed estere in cyber-intelligence, cyber-terrorismo e cyber-warfare (‘guerra cibernetica’) e docente di queste materie in vari Istituti di formazione e ricerca nazionali ed esteri.

 

Professor Mele, adesso anche l’Italia ha una ‘cyber-strategy’. Che cosa cambierà?

Abbiamo due documenti, entrambi classificati: il Quadro strategico, documento di medio-lungo periodo che probabilmente varrà per cinque anni o più, e il Piano nazionale, di natura operativa e di durata più ristretta, probabilmente due o tre anni. È una tappa fondamentale: si sono dettate le linee guida per il governo e per i soggetti legati alla cyber-security che operano in ambito nazionale, incluse società d’infrastrutture come Telecom, Trenitalia ed Enel, che gestiscono reti informatiche prima ancora che reti di comunicazione, ferroviarie ed elettriche critiche per lo Stato. È un’ottima notizia, ma ora è necessario mettere in pratica il tutto. L’attuazione sarà una fase critica, potrebbero esserci difficoltà, perciò bisognerà mantenere alta l’attenzione e in questo i giornalisti avranno un ruolo essenziale.

Carenze statali nella cyber-sicurezza quali conseguenze concrete possono avere per i cittadini? Qualcuno potrebbe dire “Io ho già un ottimo antivirus”.

Dobbiamo considerare due livelli. Va bene l’antivirus, ma bisogna mettere in conto il fatto che siamo tutti connessi e attacchi di elevata fattura portati da gente assai preparata. Nel 2012 Saudi Aramco, la compagnia nazionale che produce energia in Arabia Saudita, ha visto formattati 30mila computer in un colpo solo a causa di un malware. Probabilmente fu opera di uno Stato. Ancora prima, nel 2010, una centrale per l’arricchimento dell’uranio in Iran fu fisicamente staccata con un altro malware. Anche questo probabilmente fu l’attacco di uno Stato, se crediamo a ciò che ha scritto in un libro il giornalista David Sanger. Questo non è cybercrime, ‘crimine cibernetico’, ma cyberwarfare, ‘guerra cibernetica’. La paura, più che fondata, è che non dobbiamo più fare i conti solo con il crimine, che comunque resta una minaccia fondamentale su Internet, ma con Stati che si fanno un particolare tipo di guerra attraverso le nuove tecnologie. È per questo che uno Stato deve dettare le linee strategiche. Se qualcuno penetra i sistemi informatici delle società di telecomunicazioni noi non parliamo più, se entra in quelli delle società elettriche non abbiamo più luce, e così via. È imperativo che i cittadini si preoccupino di questo. Ed è compito di tutti mantenere l’allerta. Se sono dipendente di una società di telecomunicazioni e ho una condotta imprudente, ad esempio apro allegati sospetti, posso creare un varco a chi vuole far danni. Altro rischio è lo spionaggio elettronico, una minaccia reale non solo per le imprese d’eccellenza che possono vedersi rubati marchi, brevetti e tecnologia ma anche per gli Stati e le loro informazioni riservate.

Da ciò che si sa sulla strategia italiana, è possibile fare un paragone con quelle degli altri Paesi?

In un’intervista sul quotidiano ‘Il Messaggero’, il 19 dicembre, il direttore del Dipartimento delle informazioni per la sicurezza della Repubblica, l’ambasciatore Giampiero Massolo, ha elencato sei princìpi del Quadro strategico. Sono in linea con quelli comuni agli altri 29 Paesi con cyberstrategia nota che ho individuato in una mia recente ricerca pubblicata sul sito web del Sistema d’informazione per la sicurezza della Repubblica. Si tratta di sviluppare i rapporti diplomatici e rafforzare le partnership internazionali, incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici, e rafforzare la condivisione delle informazioni anche tra pubblico e privato, l’early warning (allerta precoce nda) e le capacità di incident response (risposta a incidenti informatici nda).

Il quadro normativo italiano nel settore è adeguato?

Anche qui dobbiamo distinguere due livelli. Sul cyber-crimine le norme ci sono, funzionano e sono armonizzate a livello europeo. È necessario aggiornarle, comunque, perché la direttiva sul cybercrime è del 2001 e il mondo in questo campo viaggia a una velocità superiore a quella del legislatore. In quanto allo spionaggio e al cyberwarfare, invece, noi e il resto del pianeta paghiamo le lacune pesantissime del diritto internazionale, il quadro giuridico di riferimento di Internet. In questi ambiti siamo in un Far West normativo ed è ancora più preoccupante quando uno Stato sa che non può essergli addebitato un comportamento particolarmente scorretto e ha i mezzi per farlo. Pensiamo agli Stati Uniti. In casi del genere deve saltar fuori uno Snowden (Edward Snowden, informatico statunitense che ha svelato programmi di sorveglianza di massa dei governi di Stati Uniti e Gran Bretagna, nda) per farti capire che ti sei spinto troppo in là con lo spionaggio. Vale la legge della giungla, vince chi è piu forte e ricco e può investire nella sicurezza nazionale. Chi è del settore immaginava che gli Usa potessero superare certi limiti, ma certo quando lo vedi con le prove è un’altra cosa. Già negli anni ’80, comunque, film come ‘Nemico pubblico’ avevano mostrato che la National Security Agency (l’agenzia statunitense per la sicurezza interna, nda) era in grado di spiare chiunque. Tutto ciò non riduce la gravità dello spionaggio generalizzato, ovviamente.

Ma l’Italia quanto è soggetta a cyber-attacchi?

Difficile dirlo con precisione, perché c’è una scarsa attenzione per il fenomeno che dal livello governativo ricade a cascata su tutta la filiera. Nei Paesi i cui Stati sono attenti al problema da tanti anni – negli Stati Uniti la prima strategia per la protezione delle infrastrutture da attacchi informatici è del 2000 – ogni giorno sui giornali si legge che qualcuno è stato attaccato, ad esempio aziende o ambienti militari. Non vedo perchè in tutto il mondo debbano esserci molti attacchi e proprio in Italia no. O ce ne accorgiamo e li teniamo in un cassetto per proteggere gli affari, perché ad esempio per una grande azienda il furto di gran quantità di dati è un danno all’immagine incalcolabile, oppure, ed è peggio, non ce ne accorgiamo, perché da noi manca una cultura della protezione informatica. Uno degli elementi strategici a cui credo si farà più attenzione è proprio aumentare questa cultura.

Di che tipo di attacchi si tratta e quali sono i bersagli?

A livello internazionale i più comuni o mirano a un’attività di disturbo, come il Denial of Service (attacco informatico che rende impossibile erogare un servizio, nda) distribuito, ed è il caso ad esempio dell’hacktivismo come filosofia di vita del gruppo di hacker Anonymous, oppure puntano allo spionaggio elettronico, al furto d’informazioni riservate delle aziende, marchi, brevetti e progetti. Non è un caso che l’aereo cinese J31 sia esteticamente identico all’F35, cambiando solo i colori. Si va dalla borsa Gucci ai database dei clienti fino alle banche e agli armamenti aerei.

Sarebbe possibile anche in Italia un attacco massiccio in grado di bloccare molti server governativi e commerciali, come accaduto in Estonia nel 2007?

In linea teorica sì, ma sarebbe molto più complesso farlo in Italia o anche altrove perché l’Estonia è il Paese più digitalizzato in Europa e, azzarderei, nel mondo. Ovunque vai, anche nel baracchino che vende panini, si paga con la carta di credito. Certo, l’Estonia è principalmente la capitale Tallin, ma resta un esempio di Paese digitalizzato, il futuro verso il quale andiamo, e non è un caso che il centro della Nato per la cyberdifesa sia lì. Per questo è contato anche, ovviamente, il fatto che l’Estonia sia stato il primo Paese in cui un attacco a strutture governative ha avuto successo e ha fatto danni. In Italia sarebbe più difficile, come dicevo, ma anche un semplice attacco di Denial of Service contro reti del governo può provocare disagi ai cittadini rendendole irraggiungibili, dunque impedendo ad esempio pagamenti o estrazioni di documenti. Andiamo verso la digitalizzazione spinta delle città e preoccuparsi della sicurezza è una cosa intelligente. Comunque, non escluderei sia già stato tentato un attacco contro il nostro Paese, e non mi stupirei di un attacco massiccio a più strutture italiane.

Come sono le nostre difese attuali?

Le Forze armate sono molto attente alla cybersicurezza, stanno lavorando bene e da molto tempo. Anche nelle società private c’è attenzione. Nella pubblica amministrazione, invece, la cura è minore. Ciò che manca è l’attenzione a questi problemi da parte della politica e del governo. L’approvazione della strategia è importante perché dà un segnale che la politica ha capito che non si può più scherzare con il cyberspazio, che è alla base di ogni benessere economico e finanziario.

 

L’informazione che non paghi per avere, qualcuno paga perché Ti venga data.

Hai mai trovato qualcuno che ti paga la retta dell’asilo di tuo figlio? O le bollette di gas, luce, telefono? Io no. Chiediti perché c’è, invece, chi ti paga il costo di produzione dell'Informazione che consumi.

Un’informazione che altri pagano perché ti venga data: non è sotto il Tuo controllo, è potenzialmente inquinata, non è tracciata, non è garantita, e, alla fine, non è Informazione, è pubblicità o, peggio, imbonimento.

L’Informazione deve tornare sotto il controllo del Lettore.
Pagare il costo di produzione dell’informazione è un Tuo diritto.
"L’Indro" vuole che il Lettore si riappropri del diritto di conoscere, del diritto all’informazione, del diritto di pagare l’informazione che consuma.

Pagare il costo di produzione dell’informazione, dobbiamo esserne consapevoli, è un diritto. E’ il solo modo per accedere a informazione di qualità e al controllo diretto della qualità che ci entra dentro.

In molti ti chiedono di donare per sostenerli.

Noi no.

Non ti chiediamo di donare, ti chiediamo di pretendere che i giornalisti di questa testata siano al Tuo servizio, che ti servano Informazione.

Se, come noi, credi che l’informazione che consumiamo è alla base della salute del nostro futuro, allora entra.

Entra nel club L'Indro con la nostra Membership

Condividi.

Sull'autore

End Comment -->