FRAGILITÀ E RESILIENZA: ATTENTI ALL’EFFETTO “SEMAFORO”
Intervista Vip con Alessandro Curioni
Dopo “Il giorno del Bianconiglio”, Alessandro Curioni manda in libreria un secondo romanzo. Metodo narrativo e Cyber security costituiscono un interessante metodo per innalzare la consapevolezza di istituzioni, imprese e cittadini su un grande tema del nostro tempo. Ne abbiamo parlato con l’autore, esperto di formazione e docente di “Sicurezza dell’informazione” presso l’Università Cattolica di Milano.
Prof Curioni, qual è il messaggio che vuole dare al grande pubblico un esperto di cyber security utilizzando la leva potente e immaginifica del racconto?
La dedica spiega molto bene: “A tutti quelli che non smettono di dubitare”. Tutte le volte che qualcuno ci presenta una soluzione miracolosa, un’innovazione che ci porterà magicamente in un mondo migliore, una medicina senza controindicazione che guarirà la malattia; in ognuna di queste situazioni dobbiamo porci delle domande. Oggi siamo travolti dalle straordinarie opportunità che ci offre l’intelligenza artificiale e proprio per la loro eccezionalità in ogni campo dello scibile umano dovremmo porci più di una domanda. Spero raccontando una storia, magari intrigante, di indurre le persone al pensiero critico.
“Tante morti non fanno rumore, eppure ci inquietano”. Quelle del Suo romanzo aprono il sipario su un mondo complesso, in cui il fitto intreccio di tecnologie e fattore umano genera inquietudine. Dobbiamo avere paura della rivoluzione digitale, che sta modificando l’individuo, la società e il contesto produttivo?
Dobbiamo riconoscere che laddove ci sono grandi opportunità ci sono rischi di pari dimensione. Gli orizzonti che ci aprono le nuove tecnologie sono straordinari e da esse dipende gran parte della transizione ambientale di cui tanto si parla e di conseguenza tanto del nostro futuro, ma se non riusciamo a gestire i rischi potremmo non avere quel futuro. Per la seconda volta nella storia dell’umanità, dopo la svolta nucleare, una tecnologia potrebbe portarci all’estinzione. Il primo segnale sarà quando non saremo più in grado di comprenderla, questo determinerà la nostra impossibilità di controllarla e a quel punto affronteremo il peggiore dei rischi: quello di cui non sappiamo l’esistenza.
Senza investimenti in cultura non potremo ridurre il rischio informatico
Cybersecurity Trends si focalizzerà, in questo numero, su due aspetti: Penetration Test e Automation Security. Alla luce della sua esperienza, su quali aspetti si dovrà insistere per rafforzare la capacità di difesa di aziende e istituzioni, riducendo i margini del rischio informatico?
Senza una cultura in materia non assisteremo mai a una riduzione sostanziale del rischio informatico. È la cultura che porta allo sviluppo della consapevolezza e senza di essa non sarà certo una tecnologia a metterci al riparo dai pericoli. Più di due decadi orsono, il celebre hacker Kevin Mitnick, durante un’udienza di fronte a una commissione del Senato statunitense, ebbe a dire: “si possono spendere milioni di dollari in tecnologie di sicurezza ma è del tutto inutile se è sufficiente chiamare una persona al telefono per convincerla a fare qualcosa che rende vana qualsiasi tecnologia”. Oggi siamo ancora in quella situazione. Purtroppo, le trasformazioni culturali sono lente, mentre la società dell’informazione viaggia veloce.
A seguito del recente attacco causato dal ransomware che ha compromesso i server di molti Paesi, dalla Francia che pare sia stato il paese più colpito, alla Finlandia, dall’Italia fino al Canada e agli Stati Uniti, l’Agenzia per la Cybersicurezza Nazionale ha invitato istituzioni e imprese ad aggiornare i sistemi che si sono rilevati più esposti. Come si spiega questa trascuratezza che poteva determinare conseguenze!molto gravi per milioni di utenti?
L’aggiornamento dei sistemi è una vera e propria croce, senza alcuna delizia. Le cause possono essere innumerevoli, da fattori molto umani come distrazioni e pigrizia a questioni tecniche che sorgono nel momento in cui l’aggiornamento di un sistema porta al mancato funzionamento di un altro. Vogliamo anche dire che i numeri remano contro? A seconda delle fonti si può stimare che ogni anno si scoprono tra le 20 e le 30 mila vulnerabilità ovvero tra le 50 e le 100 ogni giorno. Credo che queste cifre parlino da sole.
Il report 2022 della Polizia Postale ha mostrato un giro d’affari delle cyber truffe in esponenziale innalzamento.!Lo scenario è reso ancora più complicato dalle tensioni geopolitiche di questa difficile fase della storia europea. Quali contromisure andranno adottate su un fronte delicato che presenta implicazioni decisive per il futuro della democrazia?
L’Unione Europea ha scelto la strada della normazione attraverso una serie di interventi legislativi che puntano a regolamentare l’intera società dell’informazione. Da un lato si tratta del tentativo di porre un freno al “far west digitale”, dall’altro di compensare l’impossibilità di raggiungere una propria sovranità tecnologica visto il pluridecennale ritardo nell’ambito della ricerca e l’assenza di campioni europei nel settore delle tecnologie dell’informazione. A mio giudizio sarebbe opportuno concentrare gli sforzi su un vasto programma di educazione digitale. Cittadini consapevoli sono il pilastro sui cui è possibile edificare quella resilienza di cui tanto si parla, facendo però ancora piuttosto poco.
Il metaverso? La coperta di cui disponiamo per affrontarlo è forse troppo “corta”
Minacce ibride e rivoluzione del metaverso. Sono ambiti ancora poco conosciuti. Quali prospettive si aprono per chi si occupa di sicurezza informatica?
Direi da incubo. Esiste un problema quantitativo. I professionisti sono ancora troppo pochi e vengono richieste loro competenze trasversali al di là di quanto sia umanamente possibile: difficile essere contemporaneamente un bravo cardiologo, neurologo e dermatologo. Questa considerazione ci porta al problema qualitativo. Oggi non è più possibile essere tuttologi nell’ambito della sicurezza delle informazioni e della cybersecurity, è necessario specializzarsi, ma essendo in pochi la questione diventa un circolo vizioso. Insomma, la coperta è troppo corta.
Vita reale e vita digitale si fondono. Le performance di ChatGPT stanno generando, come ha recentemente scritto Federico Rampini su Repubblica, timori e inquietudini in tutto il mondo. C’è una nuova questione della lingua che si fa strada. Il filosofo Eric Sadin parla di lingua industrializzata, che ci parla imponendo scelte e valutazioni. Sul fronte della sicurezza quali indicazioni bisogna trarre da questo nuovo capitolo della “quarta rivoluzione”?
Qualcuno parla di “post-umano”, peccato che non abbiamo un’idea precisa di come finirà per configurarsi questa “post-umanità” e non saperlo rende il lavoro di chi si occupa di sicurezza molto difficile. Personalmente, penso che ci siano due questioni interdipendenti con cui dovremo fare i conti: la complessità e la fragilità. La prima deriva dalla fusione di reale e digitale. Parliamo di temi come la convergenza tra le tecnologie dell’informazione e quelle che governano in mondo industriale e degli oggetti, il possibile sviluppo di ambienti come i metaversi e le interazioni tra uomini e intelligenze artificiali. Le relazioni tra miliardi di uomini, macchine e oggetti produrrà triliardi di interazioni. Il risultato finale sarà un sistema in cui risalire la catena causale sarà impresa forse impossibile. Così se Lorenz negli anni Settanta, a proposito delle previsioni metereologiche, parlava dell’effetto farfalla, domani potremmo parlare di quello che ho chiamato “effetto semaforo”, ovvero: un guasto a un semaforo a Shangai può causare un black-out a Londra. In questo senso tutto potrebbe essere molto fragile con buona pace della resilienza.