Addetto delle monete virtuali?Attenzione! È appena apparsa una minaccia di ultimo grido… ancora rara ma che potrebbe rivelarsi una vera pandemia in futuro. Nel 2016, un team di ricercatori aveva già rivelato che persino gli antivirus, durante la loro messa a giorno, potevano essere vettori di… virus. Ora, uno studio viene a dimostrare che esiste un fenomeno nascente anche se era già stato anticipato dagli osservatori più acuti: l’uso di ”zombiecoins”. Il testo viene a dimostrare come funziona un botnet con meccanismo di command- and-control se viene impiantato sulla rete Bitcoin. I ricercatori sono infatti riusciti ad implementare ”ZombieCoin bots” e a diffonderli sulla rete Bitcoin. La problematica maggiore che l’articolo vuole sottolineare è la fiducia totale che hanno gli utilizzatori del sistema Bitcoin, un elemento-chiave che rende l’intero sistema estremamente attraente per i criminali sebbene rimane molto difficile da attaccare. Il merito dell’articolo è certamente di suonare a tempo l’allarme su di una minaccia che è ancora sottostimata benché si percepisce che diventerà una delle maggiori sfide del futuro prossimo. Questa infiltrazione si rivela estremamente polivalente, come illustra questo lavoro, perché gli esempi di vulnerabilità scoperte nel modus operandi dei Bitcoin potrebbero essere utilizzati anche contro altri sistemi. È tra l’altro il motivo principale che ha già spinto le massime autorità ad osservare il fenomeno da vicino: ”Interpol researchers at the Black- Hat Asia conference recently demonstrated a malware which downloads specific coded strings from the Bitcoin blockchain (where they are stored as transaction outputs) and stitches them together into one command and executes it”.
Hans de Bruijn, Marijn Janssen, Building cybersecurity awareness: The need for evidence-based framing strategies, in Government Information Quarterly 34 (2017), pp. 1–7
Ben lungi da essere utile solo ai policy-makers, questo articolo è una dimostrazione delle ragioni dell’impatto ridottissimo di molte campagne di prevenzione nel campo della cyber security. Affrontando prima i problemi legati al modo digitale e poi quelli, più recenti, degli ecosistemi IoT, gli autori sottolineano che ci troviamo davanti ad un ”Pandora’s box”di paradossi (fig. 1), che costituisce ormai la principale sfida nel costruire una campagna di prevenzione efficace. Vengono poi a proporre una soluzione ideale per non perdersi nella trappola di questo labirinto multiforme, semplicemente… evitandolo!
Adattando il messaggio al modo dei film e delle immagini nel quale viviamo tutti, suggeriscono di adottare il modello-base delle trame hollywoodiane: lo schema Victim-Villain-Hero (VVH). Per fare ciò, identificano cinque criteri che augurano il successo: ”Frames are catchy; We intuitively agree with frames; Frames contain a villain; Frames challenge your opponent’s core values; Frames tap into social undercurrents ”. Questo punto di vista, apparentemente riduttore, aiuta invece e facilita grandemente la definizione dei bisogni e dei pubblici per potere poi concepire le strategie adeguate profilando persone, istituzioni e fatti reali nello schema VVH (fig. 2). Questo testo apre così tante porte a ricerche specifiche per campagne di prevenzione mirate a pubblici diversi, offrendo un quadro semplice che permette ai dirigenti di basarsi sugli effetti vitali dell’impatto primordiale (choc visivo) destinato a suscitare la curiosità e l’interessa del pubblico. I decision-makers ne sono ben consapevoli, essendo usi ad indirizzare messaggi (scritti o orali) al pubblico, un mondo dove l’entrata in materia è cruciale e dove, se questa è sbagliata, ogni sforzo successivo è inutile. Non possiamo che raccomandare la lettura di questo testo appassionante anche ai dirigenti privati ed ai CISO/CSO, perché darà loro molteplici idee di come dare una nuova forma ai messaggi che destinano ad un’utenza larga (dai propri impiegati al pubblico esterno).
Internet Infrastructure Security Guidelines for Africa. A joint initiative of the Internet Society and the Commission of the African Union, 30 May 2017, 30 pp.
https://www.internetsociety.org/sites/default/files/ AfricanInternetInfrastructureSecurityGuidelines_May2017.pdf
Queste linee guida, e specialmente il modo nel quale sono state pensate, sono un capolavoro di ciò che dovrebbe essere implementato – anche in Europa – per costruire fondamenta di una serie di buone pratiche mirate a rinforzare la sicurezza dell’ecosistema digitale di una nazione. Contrariamente a numerose linee- guida, strategie o direttive recentemente fatte pubbliche, l’Unione Africana (AU) addita le buone pratiche più rilevanti (NIST, ENISA, OECD), ma inizia con una presa di posizione ben diversa, perfettamente in sinergia con la realtà del web di oggi: ”it is difficult to clearly differentiate between Internet infrastructure security, and network security and traditional information assurance practices”.
Su questo punto, il capitolo 2 (ivi specialmente il punto 3), dedicato ai policy-makers del continente africano responsabili dall’elaborazione di strategie nazionali di cyber security, è estremamente chiaro. All’opposto dei testi occidentali che danno ancora un’enfasi al lato tecnologico del problema e agli investimenti in questo campo, l’ordine delle priorità definiti dall’AU nel presente volume conferisce all’umano il ruolo centrale. Così, i quattro principi secondo i quali si devono costruire le strategie sono: prevenzione, responsabilità, cooperazione, diritti e proprietà fondamentali nel mondo digitale.
La prevenzione (che qui racchiude anche l’educazione, le formazioni continue, le valutazioni) come punto di partenza è, a nostro avviso, un passo enorme verso il futuro se paragonato con tutti i documenti ufficiali che considerano questo mezzo tra le ultime – e quasi collaterali – misure da prendere nell’ordine delle priorità urgenti di difesa.
La responsabilità è considerata come l’obbligazione da parte dei CISO/CSO statali e privati di ”take into account the potential impacts of one’s actions or inactions on other stakeholders before taking action”, mentre la cooperazione punta una delle grandi fragilità degli Stati moderni, anche i più avanzati: la poca propensione a lavorare in gruppo e ad assumere una ”collective responsibility among all stakeholders, not just the government and a selected number of stakeholders”.
La spiegazione del principio di diritti e proprietà fondamentali nel mondo digitale è anch’essa molto esplicita: ” voluntary collaboration, open standards, reusable technological building blocks, integrity, permission-free innovation, and global reach”.
Come osserviamo, con la scelta di dibattere dell’infrastruttura in un campo separato, la Commissione dell’AU offre ai suoi membri la possibilità, indipendentemente del loro livello di ricchezza, di migliorare rapidamente la loro resilienza investendo nel fattore umano e nella collaborazione. Sperando che questo testo promuova la nascita di strategie nazionali che porteranno il suo spirito, ci auguriamo che venga letto ampiamente anche in Europa, da dirigenti pubblici come privati, perché in sole 30 pagine riesce ad inquadrare perfettamente l’insieme dei rischi e a portare soluzioni reali e rapidamente implementabili proprio sul punto che tutti gli specialisti chiamano ormai ”l’anello debole”, ovvero… l’umano.
Il 29 giugno scorso, la Commissione Europea ha annunciato, tramite un comunicato stampa1, l’accelerazione delle misure di prevenzione contro la radicalizzazione e contro le minacce cibernetiche, all’occasione della pubblicazione dell’Ottavo Rapporto sui progressi dell’UE nel campo della sicurezza2. Nel documento, veniamo anche informati che a settembre verrà approvata una nuova Strategia di Sicurezza Cibernetica dell’Unione Europea. Proponiamo a seguito l’estratto del comunicato riguardante la cyber security:
Rafforzare la resilienza e la sicurezza informatica
Come annunciato nella revisione intermedia della strategia per il mercato unico digitale, la Commissione sta accelerando le proprie iniziative allo scopo di colmare le lacune esistenti nell’attuale quadro normativo sulla sicurezza informatica. Per rafforzare la nostra risposta all’aggravarsi della minaccia informatica occorre attuare un certo numero di interventi operativi a breve termine nell’ambito di un più ampio riesame della strategia 2013 per la sicurezza informatica, previsto per il mese di settembre.
Potenziamento dei sistemi e delle reti: nell’ambito del meccanismo per collegare l’Europa, la Commissione assegnerà a 14 Stati membri un ulteriore finanziamento pari a 10,8 milioni di EUR, al fine di rafforzare la rete dei gruppi nazionali di intervento per la sicurezza informatica in caso di incidente (rete CSIRT). Europol dovrebbe dotare di ulteriori competenze informatiche il Centro europeo per la lotta alla criminalità informatica (EC3), in prima linea nella risposta dei servizi di contrasto all’attacco WannaCry.
Giustizia penale: la Commissione sta valutando la possibilità di adottare misure legislative miranti al miglioramento dell’accesso transfrontaliero alle prove elettroniche. Sta inoltre esaminando le sfide poste dall’utilizzo della crittografia da parte di criminali e presenterà le sue conclusioni entro il mese di ottobre 2017.
1 http://europa.eu/rapid/press-release_IP-17-1789_it.htm 2 https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/europe-an-agenda-security/20170629_eighth_progress_report_towards_an_effective_and_ genuine_security_union_en.pdf