Cybersecurity? È una questione di fiducia
#CybersecurityCafé
di Pier Luca Montessoro, Università di Udine
Oggi vorrei parlarvi di fiducia e di consapevolezza. Se queste due parole non vi sembrano abbastanza in tema cybersecurity, vi invito a ripensarci. È arrivato il tempo di sdoganare la sicurezza dal territorio dei problemi tecnici e considerarlo come un problema sociale, per la sua dimensione e per la profondità con cui permea il nostro quotidiano.
Dobbiamo renderci conto che, al di là degli aspetti tecnologici, la sicurezza risiede in una catena di fiducia che va da chi progetta hardware, software o servizi a chi li utilizza ed è importante aumentare la consapevolezza dei rischi potenzialmente presenti in ciascuno degli anelli. Partendo dal cuore della tecnologia, il progettista deve essere consapevole delle criticità di sicurezza fin dall’inizio del lavoro: questo perché la sicurezza è un ingrediente che deve essere parte del progetto, non una funzionalità aggiunta a posteriori. Ma anche il manager responsabile del progetto stesso e dell’attività del progettista deve esserne consapevole, perché sviluppare sistemi considerando i possibili problemi di sicurezza ha un costo e si devono fornire allo sviluppatore adeguate risorse in termini economici e temporali.
Consapevolezza deve esserci poi in chi utilizza la tecnologia per offrire servizi, come ad esempio i cosiddetti “system integrator” e i service provider. Anch’essi, come committenti e acquirenti delle tecnologie, devono chiedere opportune garanzie e, di nuovo, essere disposti a pagare per ottenerle.
Consapevolezza deve esserci infine nell’utente finale, che, collocato in fondo alla catena, è costretto a dare fiducia a tutti i soggetti precedenti, pur essendo tipicamente inesperto e spesso sprovveduto. Ciononostante, non può permettersi di non sapere che certi comportamenti sono a rischio. Oggi, più che all’attacco informatico fondato su espedienti tecnici, i rischi maggiori sono legati alla social engineering, cioè alla capacità di indurre nelle persone comportamenti che poi potranno essere utilizzati come breccia per aggirare le misure di sicurezza. È il caso degli attacchi, dai più ingenui a quelli anche molto raffinati, che mirano a impersonare un interlocutore diverso (e a cui attribuiamo fiducia) da quello con cui abbiamo in realtà a che fare.
Di questi aspetti devono occuparsi due mondi trasversali: la normativa e la politica.
A livello legale, lo strumento fondamentale per realizzare una catena della fiducia è rappresentato dai Service Level Agreement. Questi però dovrebbero essere concepiti per obbligare a soluzioni tecniche e organizzative atte a fornire garanzie che le cose funzionino, e non con l’idea di rivalersi nel caso questo non succeda. Si tratta di una questione largamente culturale, prima ancora che normativa. I Service Level Agreement giocano infatti un ruolo fondamentale nell’outsourcing: una pratica comune e vantaggiosa che però limita ancora di più la nostra capacità di controllo. Così, spesso si finisce per riporre la fiducia in qualcuno in modo sconsiderato, semplicemente perché i passaggi sono tanti e non sempre ne siamo a conoscenza o dedichiamo risorse adeguate per analizzarli. Del resto, anche quando i controlli sarebbero possibili a livello teorico risultano spesso del tutto impraticabili: basti pensare che sistemi relativamente piccoli come le recenti versioni di Windows o Ubuntu sono composte da oltre 50 milioni di linee di codice, senza arrivare a Google con i suoi circa 2 miliardi. Una vulnerabilità data da un errore o inserita ad arte con intenti più o meno disonesti diventano così il classico ago nel pagliaio e la possibilità di controllo diretto resta un fatto meramente teorico: è comunque necessario riporre fiducia nei numerosi soggetti responsabili di tali controlli. Questo è particolarmente evidente nel mondo dell’open source, in cui si ripone fiducia nella collettività degli sviluppatori, ma dove i sistemi sono anche più esposti allo sfruttamento di eventuali vulnerabilità.
Tutto questo ha anche delle conseguenze a livello di politiche nazionali: per poter circoscrivere la fiducia a soggetti conosciuti e controllabili sarebbe necessario promuovere lo sviluppo interno delle tecnologie. Non è nemmeno più un problema di sicurezza in senso stretto, ma di politiche industriali: quando tutto è basato sui servizi di altri, il problema diventa la fragilità delle condizioni con cui si accede a un servizio (vedi Google). Nello stesso tempo, tutto è talmente connesso e complicato che non è nemmeno pensabile realizzare una sorta di autarchia. Al contrario, il sistema Internet è tale da spingere verso il monopolio o perlomeno l’oliogopolio: Google può permettersi di fare Google perché tutto il mondo lo finanzia e per opporsi a Google dovrebbe esserci un soggetto simile che avrebbe anche lui bisogno di essere finanziato da tutto il mondo – e dovrebbe convincere il mondo, sostanzialmente, a finanziare un doppione di una cosa che funziona già, senza alcuna garanzia né di far meglio né di essere maggiormente degno di fiducia. Siamo tornati di nuovo, dunque, alla questione della fiducia.
Nel mondo digitale il problema della fiducia emerge anche in altri aspetti legati alla nostra vita quotidiana: la privacy, l’esposizione a soggetti malintenzionati, il bullismo (e non solo nei giovanissimi). La domanda è: quando concediamo la nostra fiducia, come sviluppatori, committenti, fornitori di servizi, ma soprattutto utenti, lo facciamo consapevolmente?
Oggi purtroppo non sempre è così e c’è bisogno di correre ai ripari. Bisogna arrivare sia alle fasce della popolazione ormai fuori dal sistema scolastico, sia ai giovani ancora raggiungibili tramite le scuole: un faro in questo senso è rappresentato dalle iniziative promosse, per esempio, dalla Polizia Postale e delle Comunicazioni, con le numerose iniziative online e programmi per la formazione degli insegnanti. Tuttavia le nostre scuole non sono ancora abbastanza ricettive e spesso chi avrebbe più bisogno di consapevolezza e formazione è talmente inconsapevole da non riconoscere neppure il proprio bisogno.
La verità è che nel momento che si entra a far parte di una rete i nostri comportamenti non mettono a rischio solo noi stessi ma possono danneggiare anche gli altri e in modo potenzialmente grave: è come guidare un autoveicolo e come per quello, ci vorrebbe la patente!