Le “breaking news” della stampa generalista degli ultimi mesi non hanno nulla di rassicurante: “cyber-guerra”, “attachi globali”, “sistemi compromessi”, “elezioni rubate 4.0”… A priori, il primo effetto di questi titoli potrebbe essere proprio quello, nefasto, di smobilitare cittadini e imprenditori, dando loro l’impressione che l’individuo o l’azienda media non sia più una vittima potenziale, in un quadro dipinto dai media come una nuova e apocalittica “Guerra stellare”… Proprio in contrasto a questi fenomeni possiamo citare due importanti pubblicazioni, disponibili da questa primavera. L’indispensabile Associated Press Stylebook, nell’edizione 2017 ha cambiato la definizione della parola “cyberattack”, che verrà ormai usata solo per indicare eventi che portano ad una distruzione massiccia e di grandi dimensioni – sottolineeremo che il termine “cyberwar”, così caro a troppi giornalisti, governanti e militari, non è mai stato accettato nella terminologia accettata dallo stylebook. Tale cambiamento, che potrebbe sembrare banale, avrà conseguenze importantissime in uno stato come gli USA dove la giurisprudenza è, per definizione, evolutiva. Il sospetto di aver condotto un attacco è certamente l’accusa “cyber” più grave possibile; in questo senso, anche la giustizia americana e, per estensione, quella di quasi tutti i paesi che utilizzano la terminologia anglosassone nel campo digitale, dovranno adattarsi e stabilire con precisione, nei testi normativi, i vari gradi dei reati commessi. All’attenzione dei governanti, dei militari e dei giuristi invece, è stato redatto il magistrale “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, edito dalla Cambridge University Press, opera dei migliori esperti occidentali del settore, sostenuti dal NATO Cooperative Cyber Defence Centre of Excellence. I “policy makers” hanno così a disposizione una guida modernissima quanto capillare per distinguere i diversi gradi di un’azione illegale nel mondo virtuale, dalla breccia all’intrusione, dal phishing al malware, dallo spionaggio al sabotaggio per arrivare alle azioni, tanto rare quanto gravissime, dell’incidente grave ed in finis del cyber- attacco. Il volume viene a raddoppiare e ad affiancare le definizioni precise, a uso del settore privato, create e costantemente attualizzate, dal NIST1 (National Institute of Standards and Technology). L’impatto globale di “WannaCry” sembra essere stato la goccia che ha fatto traboccare il vaso, anche per l’audace presa di posizione del Presidente e Responsabile degli Affari Legali della Microsoft. Brad Smith ha finalmente detto chiaro e tondo quello che nessun governo aveva avuto il coraggio di esprimere prima. O scegliamo, a livello mondiale e in tutti i settori, di adottare delle regole comuni e di creare una cultura della cybersecurity, oppure continueremo ad andare a gonfie vele verso la nostra fine. Molti, tra i quali ufficiali dell’FBI e rappresentati di grandi aziende di cyber security, ribadivano già da tempo che vi sono al mondo due tipi di aziende: quelle che sono state attaccate e quelle che verranno attaccate. Non hanno espresso ciò per incutere paura, ma per incentivare le aziende a investire e a collaborare tra di loro, proprio come proposto dal Manifesto di Coordinated Vulnerability Disclosure promosso dal GCSEC. C’è anche un sottointeso molto importante in questo “statement”: non è vergognoso essere stati vittime di un attacco, dal momento che si è fatto di tutto, umanamente e tecnologicamente, per contrastarlo, per ridurre al minimo i danni e per gestire al meglio sia la crisi che il dopo-crisi. Ma per fare ciò, bisogna prima avere una vera cultura della sicurezza. Volens nolens, quasi tutto si gioca ormai in – gran – parte nel mondo digitale. L’info, l’intox, i crimini come le azioni più nobili. E soprattutto, è proprio oggi che decidiamo il futuro che lasceremo in eredità alle nuove generazioni: al di sopra di un ecosistema collettivo ancora privo di una cultura di sicurezza necessaria, il Cloud, l’IoT e, pian piano, l’intelligenza artificiale stanno invadendo case, uffici, strade e governi. è diventato quindi, più urgentemente che mai, auto-educarsi per capire il nostro ecosistema e saperlo rendere sicuro; solo così potremo affrontare le sue mutazioni, viverci e lavorarci in un’atmosfera di prudente serenità e di fiducia.
1 https://www.nist.gov/cyberframework
Laurent Chrzanovski, Fondatore e co-redattore di Cybersecurity Trends