La cyber security e la volpe nel pollaio
Se per voi non è un problema il fatto che una qualche agenzia di un qualche Stato possa spiarvi dal vostro televisore sudcoreano, non proseguite nella lettura, ché questo è un post complicato e noioso.
Se invece mentre imbottite allegramente le vostre case e le vostre cose di decine di sensori vi inquieta l’ennesimo leak che ci precipita in una puntata di Black Mirror, allora sappiate che io non sono affatto sicuro che le politiche dei governi occidentali in tema di sicurezza informatica siano corrette e rassicuranti. Dopo aver letto il bel libro Guerre di Rete di Carola Frediani il dubbio diviene certezza.
Parto dall’Italia. Il 17 febbraio scorso il Presidente del Consiglio ha adottato durante la riunione del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) un nuovo decreto che sostituisce il DPCM 24 gennaio 2013 (c.d. Decreto Monti), disegnando una nuova architettura nazionale per la sicurezza cibernetica.
Per quanto è dato apprendere dai vari comunicati stampa (ho atteso a scrivere questo pezzo nella speranza che il Decreto trovasse la luce sui siti istituzionali, ma invano) la nuova architettura prevede un significativo incremento di competenze del DIS, il Dipartimento delle Informazioni per la Sicurezza che coordina le agenzie di intelligence italiane, AISE e AISI, che sono poi i vecchi servizi segreti. Nel nuovo decreto il Nucleo Sicurezza Cibernetica (NSC) viene ricondotto all’interno del DIS e al suo Direttore Generale, attualmente il Prefetto Pansa, viene attribuito il compito di “definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità”.
Anche a livello europeo la prossima attuazione della Direttiva NIS (Network and Information Security) lascia intravvedere, sull’onda di un cyber terrorismo che per la verità – e per fortuna – per ora nessuno ha visto, un significativo rafforzamento del ruolo delle varie agenzie di intelligence; agenzie che in generale nella società dell’informazione e dei BigData stanno vivendo una seconda giovinezza sull’onda del concetto, assai insidioso per le democrazie, della “prevenzione”.
Si badi, io non dubito delle capacità informatiche e di analisi dei nostri servizi di intelligence, che tra l’altro stanno coinvolgendo a livello tecnico, nel cosiddetto Comitato Scientifico, le Università, i Centri di Ricerca e le imprese private, e non dubito del fatto che in Italia il DIS svolga al meglio e (credo) nel pieno rispetto delle regole, il suo mandato.
Il punto è che il mandato delle agenzie di intellegence è quello di raccogliere, archiviare e trasmettere ai vari organi dello Stato ogni dato utile per l’ampia finalità della sicurezza nazionale: i servizi di intelligence spiano e sorvegliano per finalità istituzionale, senza che occorrano particolari ragioni di sospetto; raccolgono dati e li elaborano nell’interesse della sicurezza della nazione; e basta leggere la relazione annuale del DIS al Parlamento per capire che dentro la “sicurezza nazionale” ci può stare davvero di tutto, e non sempre è chiara la distinzione tra sicurezza nazionale e ordine pubblico demandato alle forze di polizia.
A complicare la situazione il fatto che in generale le agenzie di intelligence, che dipendono politicamente solo dai Governi, anzi in Italia dal solo Presidente del Consiglio, agiscono e spiano un po’come pare a loro, con regole (quando ci sono) piuttosto lasse e usualmente secretate (un po’ segreti lo sono ancora i nostri servizi!). La licenza di uccidere gli 007 l’hanno solo nei film ma gli agenti dei servizi godono davvero di ampie scriminanti in fatto di reati commessi in sevizio e possono anche delinquere per raggiungere il loro scopo.
In epoca digitale ciò che le intelligence fanno è la DNI “digital network intelligence”, termine coniato dall’NSA e che fa purtroppo metaforicamente rima con internet e sorveglianza.
Siamo dunque sicuri che sia una buona idea conferire a queste agenzie ruoli direttivi, esecutivi o peggio autoritativi in tema di cyber security?
E qui forse è opportuno chiarirsi sul concetto di sicurezza informatica.
Così come nel concetto di sicurezza stradale includiamo unicamente la sicurezza delle infrastrutture (strade e ponti) e della circolazione dei veicoli e dei pedoni, e nulla c’entrano i reati di strada, le rapine o i furti compiuti sulla pubblica via, che sono un problema di ordine pubblico e non di sicurezza stradale, così la sicurezza informatica dovrebbe riferirsi unicamente alla sicurezza fisica e logica di reti e hardware e alla tutela e riservatezza dei dati, ovvero delle informazioni e dei software, siano essi sistemi operativi o applicativi.
Invece spesso, e non solo sui media, nel concetto di cyber security si include ogni possibile illegalità commessa in rete, dalla pedo-pornografia alla propaganda jihadista, dal cyber bullismo all’hate speech, sino alle fakenews.
Nel cyber spazio tutto sembra diventare un problema di cyber sicurezza e questo giustifica pratiche di prevenzione, indagine e repressione on-line che nulla hanno a che vedere con la sicurezza informatica, ed anzi ne costituiscono un vulnus: a giustificazione della prevenzione e repressione di illeciti vari o per ragioni appunto di “sicurezza nazionale” si giustificano pratiche che di fatto indeboliscono e minano la sicurezza dei sistemi informativi.
Nella cyber security il punto nodale è la riservatezza del dato e la sicurezza dei software, e ogni vulnerabilità, ogni codice maligno, ogni tentativo di accesso non autorizzato da parte di chicchessia, criminale o poliziotto, agente segreto o Pubblico Ministero, ogni tentativo di indebolire i sistemi cifrati o l’anonimato in rete costituiscono oggettivamente un attacco alla sicurezza informatica.
Se debbo immaginare un’autorità che abbia a cuore la sicurezza informatica, non me la immagino fatta da agenzie il cui fine istituzionale è quello di spiare e raccogliere informazioni con ogni mezzo.
Tutelare la sicurezza informatica significa blindare le reti e i dispositivi da qualsivoglia accesso non autorizzato e garantire l’anonimato e il più ampio uso della crittografia, non passare il tempo a trovare il modo di infilarsi nelle case digitali altrui, quale che sia la buona ragione per farlo.
Per capire le mie perplessità sul ruolo delle agenzie di intelligence in tema di cyber sicurezza basta legger la cronaca quotidiana o le inchieste ed il già citato libro di Carola Frediani “Guerre di rete”. E’una cronaca affascinante ed impietosa del mondo senza regole della cyber (in)sicurezza, in cui criminali e agenzie governative hanno obiettivi comuni: render la rete insicura per avere accesso al patrimonio informativo del cyber spazio. I criminali per motivi abbietti, le agenzie statuali per fini istituzionali e talvolta per nobili ragioni. Ma cambia poco se parliamo di sicurezza informatica.
Ad alimentare il mercato più o meno sommerso dell’armamentario del buon hacker sono principalmente i governi attraverso le loro agenzie, che ammassano nei loro arsenali digitali vulnerabilità ed exploit spesso in grado di minare la sicurezza dell’intera rete.
Invece di segnalare ogni vulnerabilità nota al produttore per consentire rimedio e garantire la sicurezza, le agenzie di intelligence ne alimentano il mercato e le mantengono segrete. La ragione è intuitiva e comprensibile posto che è più facile ed efficace infilare un trojan in un server che compiere una operazione di intelligence sul terreno.
Davvero dobbiamo conferire a siffatte agenzie ruoli centrali sul tema della cyber security? Solo io vedo un evidente conflitto di interessi?
L’intelligence avrà anche un ruolo fondamentale per la nostra sicurezza, ma in tema di cyber security è un po’ come mettere la volpe a guardia del pollaio.
P.S.: chi volesse approfondire il tema del ruolo (e dei limiti) dei servizi di intelligence nei vari stati dell’Unione Europea suggerisco il bel report del 2015 (in inglese) Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU