Firenze – Un tema di scottante attualità quello della cyber security e degli attacchi informatici. Serena Lisi, docente a contratto di analisi e pianificazione delle Operazioni di pace all’Università di Firenze, esperta di digital security e tecniche rubber hose
Cyber security. Quali sono i maggiori pericoli degli attacchi informatici ?
“Nell’epoca del cosiddetto IoT (Internet of Things – Internet delle Cose), le minacce cyber ci circondano. Il mondo viertuale, infatti, è a-spaziale, a-temporale e onnipresente ma, alla fine, segue, seppur per strade nuove, l’evoluzione di traffici e transazioni della vita quotidiana. Spesso, nelle conferenze e nelle lezioni universitarie, sentiamo parlare di minacce strategiche alle infrastrutture critiche. Questa minaccia è sicuramente reale e tangibile, benché proveniente da una dimensione a-spaziale e a-temporale, la quinta dimensione, quella cyber. Le infrastrutture critiche sono il cuore pulsante delle nostre società, poiché fanno riferimento ai nostri sistemi economico-produttivi, di difesa e sanitari. Un attacco a tali infrastrutture può causare danni gravissimi a livello globale, come dimostrato dall’attacco “dimostrativo” del 2007 all’Estonia, dove un DDoS (Distributed Denial of Service) mise in ginocchio comunicazioni e transazioni dell’intero Paese, o dal “monito” lanciato all’Iran con il worm Stuxnet (2010) che bloccò le turbine nucleari di Natanz, o dal “dispetto” ai danni dell’Ospedale Gradenigo di Milano (2013), dove un attacco semantico rimescolò i dati di tutti i pazienti, con conseguenze ben immaginabili, fino alla recente minaccia di Wanna Cry.
Tuttavia, le minacce provenienti dal mondo cyber non possono essere liquidate così. Il mondo cyber, già tanti anni fa, ai tempi della nascita dell’informatica giuridica, fu definito come un “Giano Bifronte” dal giurista Giovanni Sartor: esso, infatti, si sviluppa tra le leggi della vita quotidiana umana e nuove leggi, di un universo ancora da scoprire così come era il lontano West ai tempi della corsa all’oro”.
Ma quali sono le minacce del mondo cyber che permeano la nostra vita quotidiana?
“Sarebbe troppo lungo enumerarle tutte….forse sarebbe impossibile. ma vorrei presentare qui tre casi paradigmatici:
– il primo è il fenomeno di Blue Whale, leggasi “la triste balena blu” (“blue”, in inglese, significa sia blu che triste), social-gioco piuttosto pericoloso, diffuso tra adolescenti e non solo, in cui i partecipanti devono compiere gesti estremi, talora anche di autolesionismo: diverse persone sono morte o hanno rischiato la vita e, paradossalmente, alcune di loro, salve per miracolo, hanno detto che NON avevano giocato a Blue Whale (excusatio non petita, accusatio manifesta…);
– il secondo è il caso di tutte quelle app, con server ovviamente locati al di fuori dell’Italia, che permettono di fare le cosiddette prank calls, ossia gli scherzi telefonici: esse si basano su una tecnica denominata spoofing, che permette di nascondere il proprio numero di telefono, deviando i messaggi e le telefonate in uscita su un server nazionale o estero che mostrerà un insospettabile numero di telefono fisso; le app, naturalmente, nascono solo per essere divertenti, come per riprodurre le “zingarate” di “epici” film quali “Amici Miei” di Monicelli/Germi/Loy o “Ilaureati” di Pieraccioni; purtroppo, però, qualcuno ha pensato di usarle per scopi illeciti, poiché, tra gli scherzi disponibili, esistono chiamate che simulano richieste di risarcimento per fantomatiche auto danneggiate o richieste di mora da parte di compagnie elettriche e Agenzia delle Entrate…un modo perfetto per estorcere denari agli ingenui, che riprende, in versione telematica, le vecchie truffe porta a porta….e non finisce qui…poiché la risposta può essere anche ascoltata! Confesso che qualcuno ha fatto uno scherzo del genere anche a me, ma, come si suol dire, è “caduto male”, perché, prima di realizzare che si trattasse di uno scherzo telefonico, ho detto che avrei fatto segnalazione alla Polizia Postale e….tale segnalazione è stata poi davvero spedita!
– il terzo caso di interesse riguarda l’uso di tecniche cosiddette “rubber hose”, ossia di violenza psicologia perpetrata attraverso internet: ci sono tanti modi, dalla minaccia alla suasione sottile e spesso tali tecniche mettono in serio imbarazzo gli utenti che possono sentirsi messi “alle strette” da avvisi allarmistici (ivi compresi quelli per realizzare le ormai note azioni di “phishing”) o da richieste poco comprensibili ma molto allettanti”.
Riguardano gli apparati statali, le aziende, ma anche i singoli utenti
“Come dicevamo, dunque, le minacce cyber riguardano tutti. Il punto è proprio questo: spesso, le grandi aziende ed anche le strutture statali cominciano ad avere i mezzi per proteggersi. Talora anche le PMI li hanno. Tuttavia, non esiste una formazione dei singoli utenti a livello globale. Ad esempio, non esiste, in materia cyber, l’equivalente dei corsi RSPP e ex l.81 per la sicurezza dei lavoratori nelle aziende, nè esiste un equivalente dei corsi HACCP (quello che serve per chi tratta gli alimenti). Da una parte, è normale che sia così, perché internet circonda tutto e tutti e sarebbe impensabile obbligare i cittadini a sobbarcarsi costi per corsi di cyber security o obbligare lo Stato a erogarne per tutti. Però la situazione è questa: spesso anche chi lavora in enti, pubblici o privati, dotati di ottimi sistemi di sicurezza, non è preparato e rischia di causare il cosiddetto “errore umano” che vanifica tutto quanto. In pratica, è come se alcuni enti facessero guidare in autostrada di notte un’auto di lusso di altissima cilindrata ad un neopatentato che dovrebbe guidare una utilitaria in città ed in pieno giorno!”
E come si possono contrastare?
“Queste minacce si possono contrastare, a mio avviso, solo se:
– smettiamo di parlare aulico e di massimi sistemi e cominciamo a chiamare le cose con il proprio nome, come diceva il buon Don Milani (che poco sapeva di cyber ma molto sapeva della vita) e se cominciamo ad educare i giovani fin dalla scuola elementare; così come per i cibo 2.e per lo sport, dobbiamo insegnare le buone pratiche da subito;
– dobbiamo smetterla di affidarci solo a normative-quadro e collegare ad esse oppurtuni provvedimenti a livello nazionale. Qualcuno obietterà che in molti stati, ivi compresa l’Italia, cominciano a nascere framework e programmi di protezione nazionale. Beh, io non sto parlando di questo: sto parlando dei decreti attuativi (che spesso arrivano dopo anni, come nel caso di quello che, nel 2008, ha finalmente messo in pratica in italia il framework europeo risalente al 2000) e dello studio di vere e proprie fattispecie astratte, da introdurre nel codice civile e nella normativa nazionale, così da riscontrare le fattispecie concrete, così come è stato fatto, seppur ancora in nuce, per il cyberstalking, che perlomeno è punito dall’art 612bis c.p.”.
Lo spazio cirbernetico tra esigenze di sicurezza e tutela libertà individuali come conciliarle?
“Come ho già affermato in precedenza, il problema consiste nel conciliare le esigenze di sicurezza con la tutela della privacy e delle libertà individuali da una parte e la sicurezza dall’altra. Questo problema è noto in relazione all’uso di telecamere in rete e sistemi di monitoraggio nelle cosiddette “smart cities”, come la statunitense Oxnard e la spagnola Barcellona. Lo stesso problema riguarda la libertà di espressione. Oggi, è diventato difficile definire con certezza alcune fattispecie, come ad esempio l’apologia di reato: sto pensando alle misure di rimozione – e in qualche caso di punizione – di frasi inneggianti al terrorismo in rete. Anche in questo caso, però, un semplice sistema di monitoraggio e diveti, tipica espressione della tensione fra libertà e controllo, non è sufficiente a garantire un uso appropriato dei mezzi informatici nè la loro sicurezza. Siamo di fronte ad un dilemma paradossalmente molto simile a quello che vive oggi la sanità italiana in relazione alle vaccinazioni nelle scuole primarie: a mio avviso, il problema non risiede nell’obbligatorietà di una pratica o nella libertà di scelta, ma piuttosto nella cosiddetta “situational awareness”, termine molto caro in ambito militare, ma riferito più che altro alle operazioni di peace keeping e non al quotidiano. Anche in questo caso abbiamo bisogno di consapevolezza e informazione”.
Potrebbe fare un esempio?
“Un esempio metodologico potrebbe esserci fornito da un tipo di monitoraggio, discreto ma efficace, compiuto in molti settori della vita quotidiana da uffici statistici quali l’Astat della Regione Trentino Alto Adige. L’Astat monitora tutte le attività dei cittadini sia grazie ad una rete di esperti e di panels, sia grazie a ciò che, fin dagli anni settanta, viene definito senso civico (civicness) dei cittadini, educati a dare e avere, senza timore di sentirsi “spiati”. E’ vero, nel mondo cyber, con i big data, un simile tipo di monitoraggio può essere molto più difficle, ma esistono comunque dei cosiddetti “hot spots”, dei punti caldi, che possono essere presi come campionesemplare. Esistono, inoltre, molti metodi per trattare i big data. Diverso tempo fa, nel 2011, insieme ad un amico e collega, il Dr. Sergio Bedessi, proposi una possibile soluzione per il trattamwnto dei big data, sia per scopi strategico-economici (esempio: delocalizzazione di aziende in paesi extraeuropei), sia per il trattamento di grandi moli di dati riguardanti sicurezze ed emergenze. Eravamo a Sorrentoall’11° Convegno sulla AHP (Analytic Hierarchy Process) e decidemmo di presentare un sistema ibrido, basato su reti neurali e sistemi gerarchici, per gestire grandi moli di dati, per esempio per creare una banca dati di crimini ed emergenze con relative tipologie di intervento, in modo da facilitare l’operato tempestivo delle competenti autorità. Questo metodo era basato anche sulla RAT (routine activity theory), una teoria che, come quella della finestra rotta di Wilson e Kelling, spiega che chi delinqu va “dove si trova bene” e segue alcuni schemi, anche quando non lo immagineremmo. Un lavoro simile potrebbe essere fatto perlomeno per una parte dei crimini informatici”.
Questa esigenza di sicurezza nazionale sta impegnando non solo le forze dell’ordine ma anche le forze armate….
“E’ vero, questa esigenza ci impegna tutti. Accanto all’ormai nota polizia Postale, anche le Forze Armate si stanno dotando di organi e di expertise tali da contrastare la minaccia cyber, nonché di sistemi adatti a gestire dati vitali. Esiste una struttura di cyber defense di forza armata, basata, fondamentalmente su vari livelli: strategico (dove Capo e Sottocapo di Stato Maggiore di ciascuna Forza Armata interagiscono con gli altri vertici), operativo (dove si interagisce a livello di CERT – Computer Emergency Response Team – nazionale), tattico (dove si interagisce a livello di CIRT – Computer Incident Response Team – locale), tecnico (dove si interagisce a livello di NURII – Nucleo di Risposta agli Incidenti Informatici – a livello dei singoli comandi o distretti). Inoltre, è del 6 giugno scorso la notizia che è stato firmato un accordo tra leonardo Finmeccanica, storico partner delle Forze Armate e NATO Communication and Information Agency per la sicurezza cibernetica di dati e comunicazioni in ambito strategico. Un prodromo di questo accordo si è visto, seppur non pienamente realizzato, nell’operazione EUNAVFOR MED, un’azione contro i trafficanti di esseri umani messa in piedi nel 2015”.
Quali problemi restano da affrontare?
“In tutto questo, però, c’è una nota dolente: a fronte del grande impegno profuso dalle Forze Armate per garantire un livello di protezione cyber sempre più alto, combattiamo ancora con vecchi problemi. Non tutte le strutture e infrastrutture, infatti, sono ancora pienamente ammodernate e la formazione del personale non è svolta a livello globale: ci sono ancora molte strutture che viaggiano su vecchie linee telefoniche o con collegamenti a mezzo antenna e ci sono ancora dipendenti, civili e militari, da soldato semplice/marinaio ad altissimo dirigente, che non sono adeguatamente informati sui rischi del mondo cyber. E poi c’è la bestia più nera: la solitudine, l’aspetto psicologico. Molti dei nostri militari all’estero, nonostante l’impegno della forza armata, non sono adeguatamente seguiti sotto il profilo psicologico: spesso vengono sottovalutati fattori come nostalgia della famiglia e ostilità dell’ambiente e qualcuno rischia di rifugiarsi in amicizie virtuali e social networks, cedendo così, dati strategici importanti. Il problema non sussiste solo durante la permanenza in teatro operativo, dove magari possono essere messi in piedi adeguati mezzi per garantire il filtraggio e la messa in sicurezza delle comunicazioni. Questi problemi vengono portati a casa, nella vita di tutti i giorni, una volta terminata la missione, quando nessuno vede più cosa fanno e cosa pensano i nostri ragazzi. In fondo, non abbiamo poi imparato molto dal Vietnam”.
Lei è comunque fiduciosa?
“Personalmente sono fiduciosa e penso che, via via, tutte queste lacune potranno essere colmate, ma diffido fortemente da chi, al giorno d’oggi, “canta vittoria” solo perché Italia ed Europa hanno finalmente un quadro strategico in materia di cyber security. Anche perché dobbiamo ricordare quanto segue: sebbene, ultimamente, sia stato dedicato un budget alla sicurezza cibernetica, si richiede che mo vitlte azioni continino ad essere fatte “a euro zero”, come previsto dal primo decreto, pur importantissimo del 2013. E questo non aiuta. Vorrei porre un ultimo caveat, infine: spesso si parla di cybersecurity in ambito giudiziario e di uso di prove telematiche. Sicuramente, questo campo è molto interessante e pieno di opportunità. Ma credo che sia necessario diffidare dai cosiddetti “casi di scuola”. Nella vita reale, anche dove la presenza dell’immateriale dimensione cyber è importante, i casi di scola sono molto pochi e dobbiamo ricordare che, anche quando ricorrono elementi “tipici” di un certo crimine, ogni caso umano è un caso a sé stante e non è la replica di un circuito di rame e plastica”.
Foto : Serena Lisi