Un articolo che ho intercettato l’altro giorno grazie all’ottimo servizio fornito da Google Alert riporta all’attenzione il tema della sicurezza cibernetica nazionale, così definita dai media forse perché non hanno ancora capito granché sul tema o forse perché la corretta definizione “sicurezza delle informazioni” non vende abbastanza. Nell’articolo apparso su Agenda Digitale, lo storico pioniere dell’hacking ed esimio collega Raoul “Nobody” Chiesa si sfoga in merito alla grave e pericolosa carenza di cultura che pervade tutto il panorama nazionale sul tema, partendo dai ministeri e dalla pubblica amministrazione, fino alle grandi aziende, alle PMI e ai cittadini.
Una carenza di cultura in tema di sicurezza delle informazioni che non riusciamo a colmare a causa della immobilità e dell’inconcludenza croniche che contraddistinguono da sempre chi deve costruire qualcosa nella nostra penisola, che sia un’infrastruttura telematica o una grande opera urbanistica. È vero, come dice Raoul, che “viviamo nella società più digitale di sempre”, che diverrà sempre più digitale, ampliando a dismisura il divario verso il modello ideale e, soprattutto, verso gli altri paesi europei e mondiali che i propri passi li fanno.
L’immobilità e l’inconcludenza sono degnamente rappresentate dal nostro governo, che ha sì creato le citate “poltrone” – vedi DIS, AISE, AISI, CISR, ecc. – ma non si è più preoccupato di riempire di contenuti e di servizi reali le caselline ostentate negli organigrammi. L’assenza di un CERT governativo, già denunciata nel rapporto Clusit 2013 (un anno fa), rappresenta la classica ciliegina rancida sulla torta avariata. Fra l’altro non sarebbe nemmeno semplice né conveniente realizzare un CERT sul modello di Croazia, Qatar e Svizzera prima di aver innescato e conseguito un’adeguata evoluzione culturale a 360 gradi sul tema.
Oggi veniamo a conoscenza delle violazioni alla sicurezza di PA e aziende attraverso due soli canali: le segnalazioni dei cittadini (come ha giustamente detto Raoul) o le rivendicazioni e i leakage di gruppi di hacker come Lulzsec e Anonymous. Posso personalmente confermare che le aziende non denunciano mai alcuna violazione (pare brutto) e sono certo che nella stragrande maggioranza dei casi non se ne accorgono nemmeno, se non dopo un bel po’ di tempo. Magari grazie a segnalazioni esterne, e anche in quel caso preferiscono coltivare il dubbio che non sia mai successo. La pubblica amministrazione non è da meno, tanto che spesso e volentieri, sempre a causa della scarsa cultura di sicurezza (e di fornitori e consulenti impreparati e senza scrupoli), i dati di cittadini e pazienti vengono diffusi volontariamente e inconsapevolmente.
Il documento di National Cybersecurity Strategy potrebbe apparire come un luce in fondo al tunnel, nonostante sia stato partorito anch’esso con grave e colpevole ritardo rispetto al resto del mondo. Purtroppo l’esperienza mi dice che ha tutta l’aria di quei documenti la cui stesura viene storicamente affidata al consulente-filosofo di turno in quanto costretti ad ottemperare a precisi requisiti di legge o di regolamentazioni di settore. Documenti che finiscono inesorabilmente con l’occupare byte nei portali delle aziende senza avere alcun seguito in termini di disegno e realizzazione di quanto promesso. Con buona pace delle infrastrutture critiche e della salute dei cittadini.
Com’è possibile, d’altronde, aspettarsi qualcosa di fatto, finito e funzionante nel paese degli appalti truccati, dei subappalti a raffica, degli ingaggi al minor costo possibile e dei progetti a lunghissimo termine abbandonati dopo aver succhiato tutti i fondi possibile? Com’è possibile attendersi una qualsiasi iniziativa fattiva da parte di un apparato statale che da qualche lustro non fa che aspettare direttive dall’Europa perché di proprie non ne ha? L’enorme ritardo dell’Italia in tema di sicurezza delle informazioni e di protezione del perimetro informatico nazionale non è tecnico, è culturale. Il rischio di effetti devastanti e d’immobilità per l’intero paese, già paventato pubblicamente da Mario Monti un anno fa, rimane intatto e cresce inesorabilmente con l’avanzare di tecnologie e connettività.
Ancora oggi, noi professionisti dell’information security siamo visti con un certo fastidio, perché spesso siamo costretti a dare brutte notizie in merito alla situazione rilevata e a quello che c’è da fare per rimediare. È vero che veniamo sempre più spesso chiamati per consulenze e supporto, ma è vero anche che il più delle volte i buoi sono ormai ben lontani dalla stalla, le situazioni sono a dir poco disastrose e, aspetto da non sottovalutare, molti di coloro che chiamano si aspettano che la soluzione ai loro problemi stia dentro una scatola prelevata dallo scaffale di un negozio di informatica. Poi, quando sei costretto a spiegare che il loro problema non sono gli strumenti ma il fatto che non sono minimamente in grado di dominarli e di utilizzarli in sicurezza, ecco che appare l’inevitabile fastidio. Ed ecco perché molti professionisti del settore mollano i remi e scelgono di cambiare ruolo o azienda.
Un consiglio: quando chiamate un professionista di sicurezza, non fatelo per assolvere ad una precisa incombenza di conformità legislativa o regolamentare, né per farvi installare l’ultimo ritrovato della tecnologia sulla vostra rete, nella maggior parte dei casi sarebbe inutile. Chiamatelo per abbeverarvi da una sana e remunerativa cultura di salvaguardia delle informazioni, per costruire a poco a poco quella forma mentale che, come un terzo occhio, vi consentirà finalmente di vederci chiaro lì dove prima era buio e costituirà le fondamenta sulle quali potrete iniziare a costruire una vera e propria sicurezza delle informazioni, con i giusti requisiti di velocità, semplicità, dinamicità ed efficacia.
Purtroppo è vero che la sicurezza delle informazioni è tuttora vista come un mero costo e una gran rottura di scatole, ma continuare a considerarla tale, nella società digitale di oggi, equivale a preoccuparsi se la mano che ti sta salvando dalla caduta nel burrone è sudata. Nei miei interventi ripeto sempre:
“la sicurezza non è costituita da un prodotto, essa è una forma mentis, uno stato mentale fatto di consapevolezza e comportamenti corretti”.
Security by design, certo Raoul, ma a partire dai processi mentali, ecco ciò che serve veramente: consapevolezza, educazione e formazione sui concetti fondanti della sicurezza delle informazioni.
Iniziando fin dalla scuola, poiché è chiamata anch’essa ad evolversi verso l’adozione delle moderne tecnologie digitali e della giusta cultura informatica e di sicurezza. Parlerò di questo in un prossimo articolo: nel frattempo venite ad ascoltarmi giovedì 10 aprile presso l’Istituto Comprensivo “Donatello” di Padova dove presenterò il programma “I nativi digitali e l’avventura nella grande rete” e cercherò, nel mio piccolo, di far passare sempre lo stesso messaggio: consapevolezza, educazione e formazione. Vi aspetto!
Ettore Guarnaccia