1. Con la cybersecurity assistiamo a una transizione nel concetto di sicurezza: fino a non molto tempo fa essa doveva essere garantita dallo Stato per tutti i residenti all’interno dei suoi confini, attraverso il monopolio legittimo della forza. La cybersecurity è invece “diffusa”: imprese e singoli cittadini devono adottare misure in modo autonomo per difendersi dalle aggressioni virtuali. Come cambiano i rapporti tra cittadini, imprese e stato?
In un certo senso, la cybersecurity non è mai stata garantita dagli Stati. Perché le minacce alla sicurezza informatica sono sempre state un fenomeno liquido e transnazionale, che superava i confini e le legislazioni statali, e che era in grado di abbattersi su singoli individui e organizzazioni senza colpire direttamente i rispettivi governi. E senza che le vittime capissero bene da dove arrivava il colpo.
Queste caratteristiche erano presenti fin dall’inizio, ma con gli anni sono diventate ancora più pregnanti, e oggi abbiamo milioni di cittadini e aziende nel mondo che possono essere ricattate da un cybercriminale che sta in un altro continente, e contro il cui ricatto, almeno finché l’attaccante non viene individuato, il proprio Stato può fare poco. Questo perché gli attaccanti sfruttano una tecnologia tale da permettere un rapporto di potere asimmetrico: con un piccolo investimento e le giuste capacità tecniche un singolo individuo è in grado di bloccare le attività o i dati di un’azienda di un altro Paese, ad esempio con un ransomware che cifra i file, senza che questa possa fare molto per recuperare autonomamente i dati, se non avere un backup. E tralasciamo il fatto che oggi, diversamente dal passato, più che singoli individui abbiamo spesso anche reti se non gruppi di cybercriminali che lavorano assieme o mettono in comune risorse.
Dunque, come dicevi tu, la cybersecurity diventa (o dovrebbe diventare) una priorità diffusa, dal cittadino fino all’azienda, anche se ovviamente lo Stato gioca un ruolo importante, soprattutto in termine di regole, di protezione di infrastrutture critiche, di raccolta dati e coordinamento.
Anzi, negli anni è proprio cresciuta l’importanza del ruolo delle aziende private nella cybersecurity di uno Stato, per due ordini di motivi. Primo, molte aziende private (o pubblico-private) svolgono un ruolo critico, si occupano di dati sensibili, o di infrastrutture, e un cyberattacco contro di loro avrebbe un impatto sulla collettività e su servizi essenziali. Dunque, il loro livello di sicurezza sarà quello di cui beneficeranno i cittadini che ricevono i loro servizi. Per capirci: se un’azienda che gestisce una rete elettrica viene attaccata, il possibile blackout si riversa sui loro utenti, che si tratti delle case di privati o di un ospedale (è successo in Ucraina).
Secondo, poiché lo Stato non è riuscito finora a dotarsi internamente di tutte le risorse tecniche necessarie, si affida sempre di più a privati e fornitori esterni. Da Big Tech ad aziende magari anche minuscole, che però fanno una cosa molto specifica. Si parla molto di sinergie e partnership pubblico-private, e immagino che dove necessarie siano anche una buona idea, a patto che siano affrontati e non rimossi i nodi di un simile outsourcing (per fare un esempio, pensiamo alla questione intercettazioni e captatori informatici in Italia).
2. La globalizzazione ha effetto anche sulla cybersecurity: il software usato per attaccare e per difendersi è a suo modo soggetto alle global value chains. Come queste catene di produzione/modifica possono impattare sulla sicurezza nazionale/delle imprese? Il dibattito sulla divisione delle linee di produzione causata dallo scontro USA-Cina gioca un ruolo?
Siamo arrivati a un punto in cui le tecnologie che usiamo sono singolarmente e inestricabilmente collegate a diverse aziende, Paesi, siti produttivi, software, hardware con un livello di complessità impossibile da districare a ritroso.
Ora una serie di governi e intelligence hanno iniziato a porsi il problema della catena di approvvigionamento in termini di sicurezza, e non solo di economia. Ma il retroterra è ancora lo scontro economico-commerciale, e la lotta per il predominio tecnologico, che in questo momento vede due soli attori, Cina e Stati Uniti. Con l’Europa che si pone anche la questione del dominio americano della Rete attraverso le aziende della Silicon Valley, e pensa a un suo cloud, o ad altre forme di sovranità digitale.
La questione esiste ma non credo sia risolvibile con un semplice “ban” indirizzato a una specifica azienda o nazione. Certamente è più facile da attuare il ban che affrontare il tema di come gestire e mitigare il rischio di tecnologie fornite da terzi, o di come controllare la filiera. Che però andrebbe affrontato invece.
3. Dal punto di vista di una impresa, come è possibile ridurre il rischio di mettere in pericolo i propri clienti, in un contesto di crescente digitalizzazione dei servizi? E come è possibile recuperare fiducia dopo un eventuale danno di credibilità causato da un cyber attacco?
La sicurezza dei propri clienti e dei loro dati non può che essere prioritaria, e deve essere parte del modello di business, invece di essere considerata una sorta di palla al piede. E non solo perché ormai c’è un quadro normativo che sanziona eventuali inadempienze (come il GDPR), ma perché il danno reputazionale collegato è sempre più ampio e le conseguenze di un attacco pesante e riuscito hanno un ampio margine di imprevedibilità cui un’azienda non vuole esporsi, a meno di non giocarsela in una sorta di roulette russa. Gli incidenti informatici sono frequenti e non eliminabili del tutto, il punto è cercare di mitigarne il rischio prima, prendendo le misure di prevenzione necessarie, e di ridurne l’impatto dopo, avendo anche un piano di risposta pronto. Come si risponde a un attacco (in che tempi, con quale livello di preparazione e con quale atteggiamento) farà la differenza. La trasparenza, la chiarezza e la disponibilità a fornire informazioni nei confronti dei clienti su un attacco e su come questo possa riguardarli è fondamentale. Ci sono tanti pessimi esempi ma anche qualche caso che ha riscosso plausi unanimi, come ha fatto Norsk Hydro nella gestione di un pesante attacco ransomware.
4. Nella “Relazione annuale sulla politica dell’informazione per la sicurezza” 2019 viene evidenziato che tra i target degli attacchi continuano ad esserci in maniera preponderante i sistemi informatici delle PA. Secondo lei da cosa dipende questa asimmetria tra pubblico e privato? È plausibile pensare che il privato abbia acquisito una maggiore consapevolezza dei rischi, o che la PA – anche per mancanza di fondi – continui a non prestare un’adeguata attenzione al fenomeno?
Molti attacchi a siti della PA, specie a quelli ministeriali o a siti collegati, sono frutto di azioni hacktiviste, che essendo azioni politico-dimostrative tendono a colpire di più (anche se non in modo esclusivo) il pubblico e le istituzioni. E ad essere molto visibili. In generale è vero che le aziende più grandi negli ultimi anni si sono preparate meglio in termini di cybersicurezza rispetto a una buona parte della PA e alle aziende medio-piccole. Però, secondo me, in ambito privato c’è anche tanto sommerso, fatto di incidenti che passano o sono fatti passare sotto traccia, GDPR permettendo. Per non parlare degli incidenti che non vengono proprio rilevati. In generale, è buona norma che aziende e organizzazioni si dotino di canali di comunicazione chiari con cui ricevere segnalazioni su falle, vulnerabilità, ecc dei loro siti, app e servizi. Anche se poi, queste segnalazioni, devono saperle gestire.
Carola Frediani ha iniziato a lavorare come giornalista digitale e tech alla agenzia Totem guidata da Franco Carlini. Con altri colleghi ha cofondato l’agenzia giornalistica Effecinque. Poi a “La Stampa” come social media editor, e successivamente nel team inchieste. Nel mentre ha scritto di cybersicurezza, privacy, sorveglianza e diritti digitali per varie testate nazionali e internazionali. I suoi ultimi libri sono i saggi Guerre di Rete (Laterza) e #Cybercrime (Hoepli), finalista al Premio Galileo, oltre al thriller a sfondo sorveglianza digitale Fuori Controllo (Venipedia). Attualmente lavora come Cybersecurity Awareness Manager in una azienda di ecommerce internazionale. Nel tempo libero cura una newsletter gratuita che tratta temi di cybersicurezza e diritti, intitolata Guerre di Rete (https://guerredirete.substack.com/).