Dopo industria 4.0 È venuta l’ora di lanciare il piano security 1.0
Un universo completamente interconnesso la debolezza di una componente si traduce immediatamente nella debolezza di tutti. Il tema del prossimo futuro, spiega nell’intervista Alessandro Curioni, editore e imprenditore, esperto di sicurezza informatica, sarà legato alla protezione delle infrastrutture critiche e alla relazione che molte di esse avranno con il mondo dell’Internet of Things. Fondamentale l’aspetto culturale ed educativo: perciò occhio ai nativi digitali, senza perdere di vista gli utenti più maturi ormai proiettati in una dimensione digitale che devono imparare a vivere e conoscere.
Partirei da una sua riflessione che riassume bene la filosofia dei suoi ultimi interessanti saggi: “Questa casa non è un hashtag!” e “Come pesci nella rete”: “Informatica e e sicurezza sono cose diverse. La prima dipende da quanto ne sai, la seconda da chi sei”. In sintesi possiamo spiegare il senso di questa affermazione?
Immaginiamo due persone al volante di un’auto. La prima è un formidabile pilota e meccanico, esperto in guida acrobatica, ma forte delle sue abilità tende a non rispettare il codice della strada. La seconda è un normale guidatore e conosce lo stretto indispensabile del funzionamento del veicolo, ma è molto attento alla segnaletica e ai limiti di velocità. Quale dei due potrebbe causare un incidente? Credo che la risposta sia scontata. Il rapporto tra sicurezza e informatica non è poi tanto diverso. Chi si occupa della prima deve sapere con esattezza cosa la tecnologia è in grado di fare ma deve avere un approccio che potrei riassumere parafrasando una celebre frase del protagonista del film Blade Runner a proposito dei replicanti: “l’informatica è come ogni altra macchina: può essere un vantaggio o un rischio. Se è un vantaggio non è un problema mio”.
Gli esperti che operano nella security sia nella sfera pubblica che privata sono consapevoli di questa sottile ma fondamentale differenza?
Sul fatto che questa differenza sia trasparente agli esperti di security non sono tanto convinto perché troppo spesso tendono ad avere un approccio basato semplicemente sulle soluzioni tecnologiche, dimenticandosi i temi dell’organizzazione e soprattutto le esigenze degli utenti.
Il monaco Tze deve leggere “i segnali del Tutto, perché la sicurezza diventa il viaggio più che il punto d’arrivo”. La scelta di una figura così eccentrica per essere protagonista in un saggio sulla sicurezza, da quale esigenza è stata dettata?
È un richiamo all’importanza dell’astrazione, che ci deve portare non all’infallibilità che di fatto è impossibile, ma a non commettere gli stessi errori. Imparare la lezione che ci viene inflitta ogni volta che sbagliamo significa ricavare dal particolare una verità generale, che vuol dire produrre una regola astratta che poi andremo ad applicare in altre circostanze. Come dire… “Il Tutto è l’Uno, ma anche l’Uno è il Tutto”.
Quanto è importante trovare il giusto modulo narrativo per attuare un progetto di formazione efficace e per entrare nell’universo articolato e complesso della sicurezza?
Il problema è sempre quello di arrivare alla testa e al cuore delle persone, quindi riuscire a fare in modo che il tema della sicurezza sia percepito in primo luogo come un problema personale. Il linguaggio deve essere semplice, perché se è vero che piace a tutti utilizzare la tecnologia, risulta quanto mai noioso approfondirne la conoscenza. In particolare è utile far sì che la lettura, per un libro, o l’ascolto, nel caso di un corso, possa diventare un’esperienza da ricordare. Credo molto nell’ironia sia nel caso in cui il messaggio è scritto, sia quando mi trovo a tenere dei corsi in aula. In fondo una risata fissa il ricordo ancor meglio che una bacchettata sulle mani, con il vantaggio che non fa male.
Il bisogno di una Governance globale della sicurezza
La sicurezza è considerato il valore numero uno. Semplici risparmiatori, utenti privati, aziende, istituzioni, gli stessi partiti politici sono preda di attacchi informatici. C’è una categoria che rischia più di altre?
Come nella vita ogni vittima ha il suo criminale. Se il singolo utente trova nei malware la propria nemesi, aziende e istituzioni sono oggetto di attacchi più articolati. Non è diverso dal rapporto tra la microcriminalità, dedita a borseggi e piccole truffe, e quella più organizzata, come le bande di rapinatori e truffatori. Poi esiste un mondo dell’information warfare, dove operano i manipolatori dell’opinione pubblica, e quello ancora più oscuro del cyber warfare, in cui gli Stati combattono la loro guerra virtuale, ma neppure tanto, attraverso gruppi mercenari. Ognuno è esposto a diversi rischi e questo dovrebbe stimolare un sistema di governance della sicurezza se non mondiale almeno internazionale.
Quali azioni occorre mettere in campo per sviluppare una strategia globale della sicurezza informatica?
Su questo terreno i problemi sono molti, per questo ho usato prima il condizionale. Una strategia efficace potrebbe essere quella che si persegue a livello europeo che punta attraverso Regolamenti e direttive finalizzate a obbligare tutte le organizzazioni pubbliche e private ad innalzare il livello medio della sicurezza. Due esempi sono il Regolamento Europeo in materia di protezione dei dati e la direttiva NIS per la sicurezza delle reti e dei sistemi informativi. È chiaro che bisogna superare molte difficoltà per arrivare a un governo globale. In primo luogo i diversi Paesi dovrebbero condividere informazioni che non di rado riguardano temi di “sicurezza nazionale”, in secondo luogo i tempi di risposta agli attacchi dovrebbero essere misurabili “in minuti” e non in giorni, terzo aspetto le operazioni dovrebbero essere coordinate da una realtà che abbia un effettivo potere di azione sovrannazionale. Questo per citare soltanto alcuni degli ostacoli più evidenti.
Dopo molti anni di impegno aziendale, è riuscito a farsi un’idea precisa delle maggiori vulnerabilità che mettono sotto scacco il business e le aziende?
Da sempre il fattore umano rappresenta la prima vulnerabilità alla quale negli anni si è aggiunto il “time to market”. La società dell’informazione ha esasperato i tempi entro i quali i prodotti devono essere immessi sul mercato, soprattutto quando si parla di tecnologia. Il risultato è la rimozione di tutte quelle verifiche che potrebbero rallentare lo sviluppo. Al primo posto tra questi che vengono definiti “ostacoli” le organizzazioni individuano proprio la sicurezza. I controlli richiedono tempo e talvolta producono come effetto collaterale complicazioni in quella che tutti chiamano la user experience. In questo modo arrivano sul mercato centinaia di sistemi vulnerabili che finiscono per essere usati in un contesto, quello della Rete, che nelle sue logiche profonde non prevede la sicurezza. Come ho scritto in uno dei miei libri: fare atterrare un Boeing 747 su un’autostrada è possibile ma non è normale, tanto quanto non è normale comprare una lavatrice on line.
Quali sono le modalità più diffuse di cyber attacchi?
Devo dire che la fantasia della criminalità informatica non conosce limiti. Tuttavia il punto di ingresso, anche degli attacchi più sofisticati, è spesso l’essere umano. Messaggi di spear phishing accuratamente confezionati sono molte volte il vettore principale. Chi ragiona pensando che il nemico è già nelle nostre case probabilmente avrà messo a punto le strategie più efficaci.
Quali competenze deve avere oggi un esperto di security?
Premesso che non esiste un percorso di studi che prepara a questa professione, diciamo che si tratta di un uomo o donna “capace di appartenere a due mondi” perché deve riuscire a combinare competenze umanistiche a quelle tecnologiche. Un esperto deve conoscere come funzionano i sistemi informatici e avere un’ottima conoscenza di quello che le tecnologie finalizzate alla sicurezza possono e soprattutto non possono fare. Per contro deve dimostrare altrettanta competenza in materia normativa. Per esempio deve avere cognizione di come funziona un firewall e, allo stesso tempo, non può non sapere cosa sia il regolamento Europeo in materia di protezione dei dati e quali vincoli impone.
Sta nascendo un partito anti web, molti invocano il diritto alla disconnessione. Questa improvvisa “marcia indietro” ha a che fare con il diffondersi delle truffe on line, delle frodi, dei furto di identità, e di altri fenomeni che stanno destabilizzando la tranquillità dei cittadini e degli operatori economici?
Non sono tanto convinto che sia la paura di truffe e frodi a spaventare i cittadini, se così fosse sono certo che starebbero molto più attenti, come fanno quando salgono i metropolitana e si tengono ben stretti borse e portafogli. In realtà vedo due altri elementi. Da una parte mi sembra di rivivere le polemiche attorno alla televisione che per anni è stata considerata alternativamente mezzo di manipolazione o strumento di alienazione dalla realtà. Quanto volte le mamme di un tempo intimavano ai figli: “smetti di guardare la televisione che poi diventi stupido!”.Il secondo tema è un po’più sottile.
A cosa si riferisce?
A quello che chiamo “effetto Grande Fratello”. Sempre più persone iniziano ad avere la sensazione che nulla di quanto facciano in Rete sia privato. Premesso che hanno assolutamente ragione, perché se si utilizzano abbastanza servizi di un operatore come Google, alla fine il sistema saprà tutto di noi. Per questi “navigatori” è difficile barattare la propria vita privata con una manciata di servizi.
Probabilmente bisognerebbe riuscire a rassicurarli, dicendo loro che possono scegliere fino a che punto spingersi nel mare di Internet. Allo stesso modo si dovrebbe lavorare sul tema della protezione dei contenuti della Rete, soprattutto da distorsioni e manipolazioni, penso alle fake news.
L’Italia nel suo complesso può definirsi un Paese sicuro?
L’Italia non è un paese sicuro tanto quanto gli altri per il semplice fatto che la forza della sicurezza è pari a quella del suo anello più debole. Di conseguenza in questo mondo completamente interconnesso la debolezza di uno diventa immediatamente di tutti. Il tema del prossimo futuro sarà legato alle infrastrutture critiche e alla relazione che molte di esse avranno con il mondo dell’Internet of Things.
Per alzare il livello di protezione degli asset strategici le istituzioni e le imprese che cosa dovrebbero fare?
Le aziende del settore energy, come anche dei trasporti e sanitarie stanno interconnettendo tramite Internet sistemi che fino a ieri erano isolati. Mi riferisco ai cosiddetti sistemi di controllo (SCADA) e ai sistemi industriali (ICS) che governano oggetti piuttosto grossi come centrali elettriche, dighe e via dicendo. Si stratta di sistemi spesso basati su tecnologie non di rado “antiche” con sistemi operativi che risalgono alla fine degli anni novanta o agli inizi del nuovo millennio, con tutte le considerazioni in materia di sicurezza che derivano. Una situazione di questo genere dovrebbe fare riflettere sull’opportunità di incentivare un piano di investimenti serio sul rinnovamento di questi sistemi. Dopo Industria 4.0, sarebbe necessario lanciare il piano Security diciamo 1.0 visto che ci troviamo di fronte a qualcosa che non è mai stato fatto.
La “trincea” della scuola e i “nativi digitali”
Guardiamo ai nativi digitali. Come si fa a imporre una dieta regolare e soprattutto sicura di cellulare e pc alle giovani generazioni che vivono dentro le nuove tecnologie?
Credo che la dieta migliore sia quella in cui si mangia un po’ di tutto, ma con moderazione. Tuttavia spesso ci riferiamo a una dieta dallo smartphone, non è corretto, perché si tratta di un oggetto che mette insieme un intero mondo. In quella scatoletta non ci sono soltanto i social network, le chat, ma anche quello che per la generazione precedente erano lo stereo, la televisione, la macchina fotografica, la sveglia, l’enciclopedia e l’elenco potrebbe diventare ancora più lungo. Da genitore non mi preoccuperei se i miei figli hanno sempre lo smartphone in mano, quanto piuttosto se guardano compulsivamente il loro profilo sui social, se trascorrono le nottate in chat o se passano più di tre ore consecutive a giocare on line. Insomma la dieta dovrebbe essere selettiva. Se parliamo di sicurezza, invece, molto dipende dalla capacità dei genitori di fare in modo che i figli non li tengano allo scuro di quello che vivono oltre quel piccolo schermo.
I social hanno cambiato il profilo della rete, rendendola meno sicura. Esistono delle contromisure per invertire la tendenza?
Purtroppo temo di no, almeno non dal punto di vista tecnologico. I social sono pericolosi perché le persone disprezzano la propria privacy e non si rendono conto che tutte le informazioni che riversano in queste pubbliche piazze possono essere usate contro di loro. Non è possibile scrivere una legge che imponga a liberi cittadini, cosa possono o non possono pubblicare sui social della loro vita privata. Certo esiste un regolamento che impone la protezione dei dati, ma da solo non basta. A questo tema ho dedicato un libro: “La privacy vi salverà la vita – Internet, social, chat ed altre mortali amenità”, che spiega come siamo bravissimi a farci del male da soli anche senza bisogno dell’aiuto dei criminali.
La scuola è una trincea, come si vede dalle cronache di questi giorni. Il cyber bullismo e la violenza amplificata dal web sono fra i pericoli più gravi. Si può contrastare una deriva così pericolosa?
Il bullo c’era in passato, c’è e ci sarà sempre. Esistono oggi due problemi: l’amplificazione dell’umiliazione subita dalla vittima e l’apparente anonimato che garantisce la Rete a tanti “Leoni da tastiera”. Sul primo punto poco si può fare, sul secondo invece basterebbe mostrare quanto è facile essere individuati. Non scordiamoci che su Internet è difficile trovare qualcuno soltanto se non sappiamo chi cercare. Il resto è un problema di educazione, per cui dovremmo tutti cominciare a parlare finalmente di strategie culturali.
Tutti “bambini” in cammino verso il futuro
Lei si rivolge a sua figlia più volte nel corso della trattazione. La comunicazione tra generazioni può aiutare ad alzare il livello di conoscenza reale degli strumenti digitali?
Assolutamente sì. Imparo continuamente nuove cose da mia figlia, soprattutto il modo in cui un’intera generazione utilizza le nuove tecnologie, scoprendo anche le potenzialità più nascoste. Per quanto riguarda il versante opposto spero di fare bene il mio mestiere di genitore, magari aiutandola a non commettere nel mondo del virtuale errori commessi nel mondo reale. In fondo il mondo oltre lo schermo riproduce tante delle dinamiche e delle situazioni della nostra tangibile realtà.
“Come pesci nella Rete” si conclude con il capitolo “Venti anni nel futuro”. “Questa casa non è un hashtag” ha come epilogo una sezione titolata: “Pochi mesi nel passato”. Vuol dire in sintesi che i giovani devono recuperare il valore della memoria e i vecchi impegnarsi a respirare un lembo di futuro?
Diciamo che ho fatto un pensiero di questo tipo: per noi anziani il futuro è quello che per i giovani è il presente pur vivendo nello stesso momento. In fondo chi ha passato i quaranta guarda con un certo stupore alcune innovazioni tecnologiche (mia nonna avrebbe parlato delle “diavolerie” dei tempi moderni), mentre un diciottenne le considera già parte integrante del suo vissuto quotidiano. Tutto sommato sembriamo più bambini noi quando, osservando un televisore di ultima generazione, esclamiamo: incredibile! che non loro quando si impossessano del telecomando e armeggiando si lamentano: “Bah! Che televisore avete comprato, ha quattro app messe in croce!!!”. In modo diverso tutti noi siamo ancora veramente dei bambini.
Autore: Massimiliano Cannata
Biografia
Alessandro Curioni, editore, imprenditore e giornalista. Nel 2003, dopo due anni di studio, pubblica per Jackson Libri il volume Hacker@tack, dedicato alla sicurezza informatica. Nel 2008 fonda DI.GI. Academy, azienda specializzata nella formazione e nella consulenza nell’ambito della sicurezza informatica. Nel 2015 riprende la sua attività pubblicistica per diverse testate cartacee e on line. Nel 2016 esce per Mimesis Come pesci nella Rete – Guida per non essere le sardine di Internet, un manuale che incontra l’interesse di numerose testate giornalistiche e che, nell’agosto dello stesso anno, figura tra i dieci saggi più venduti secondo la classifica settimanale de “La Lettura”.