Quelle verità mai dette sulla cyber security

Abbiamo creato un mostro, una information society che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri. Mentre la Pa mette i nostri dati online, sempre più sediamo su una bomba pronta ad esplodere. L’Italia per questi temi finora ha solo decreti riempi poltrone.

Il prossimo semestre il nostro Paese sarà di turno alla presidenza UE e c’è da scommettere che  tratterà il tema della cybersecurity, in un modo o nell’altro.

Dico in un modo o nell’altro perché difficilmente ho visto una nazione sottovalutare così tanto della “Cybersecurity” per anni ed anni, come ha fatto invece l’Italia. Ci penso oggi, mentre sono in volo da 15 ore, libero quindi da distrazioni mentali.

Innanzitutto diciamoci una cosa: Cybersecurity non significa niente, anche se è certamente meglio della terribile parola “Sicurezza cibernetica” che siamo riusciti ad inserire in ben due DPCM e che evoca, soprattutto ai 40enni come me, ricordi da bambino, come Ufo Robot  e Mazinga Z. Eppure parlamentari, senatori (spesso molto, molto anziani), militari, giornalisti, si riempiono la bocca con questa sicurezza cibernetica. Siamo arrivati al paradosso per il quale anche i miei colleghi che si occupano proprio di InfoSec, si ritrovano costretti ad utilizzare questo termine. Ma non è certamente questo il punto.

La Cybersecurity è un mantra, un termine che piano piano ha preso piede, dagli USA all’UE, ma che in realtà vuole (vorrebbe?) occuparsi di un tema che esiste da sempre, l’Information Security(InfoSec), che in italiano si traduce con Sicurezza delle Informazioni.

Questo mi porta ad una seconda riflessione, l’ENISA. Sono uno dei trenta esperti scelti ad-personam nel (già) lontano 2010 – e riconfermato nel 2012, con mandato sino al 2015 – dall’European Union Network and Information Security Agency. Stiamo parlando dell’agenzia europea che ha il compito di supportare i 27 Paesi membri dell’EU ad essere più sicuri, dal punto di vista della sicurezza delle informazioni. E’ stata creata nel 2004 e da pochi mesi le sono stati estesi i poteri. Ma nessuno la conosce, nessuno sa della sua esistenza, delle attività dell’Agenzia. Faccio spesso conferenze, tengo lezioni universitarie e Master, mi invitano a parlare, spiego e racconto la mia vita, il mio lavoro, quello che faccio. Da qualche anno faccio sempre due domande al pubblico: se sanno cos’è l’ENISA e se sapevano che ottobre è il mese europeo della cybersecurity (ECSM, European Cyber Security Month, un’iniziativa voluta proprio dall’ENISA e supportata in tutti i 27 Paesi membri). In ambo i casi posso leggere il vuoto totale negli occhi delle persone sedute di fronte a me.

Torniamo però alle nostre care “informazioni”. Viviamo nella società più digitale di sempre, lo diceva già Al Gore proprio con il concetto di Information Society e Digital Life. Una società alla cui base sta, appunto, l’informazione, una società con keyword chiare quali global, always-on, broadband,mobile, digital inclusion, E-government, infrastrutture critiche, sicurezza, resilience.

Insisto un attimo sul concetto di “informazione”. L’informazione è potere. Ce lo dimostra l’affaire NSA (il cosiddetto Datagate, come lo chiamiamo in Italia), ma ce lo dimostrò anche nel 2005 l’hacking all’operatore Vodafone in Grecia, e ce lo dimostra un altro hacking verso un altro operatore mobile basato in Belgio, Belgacom, nel settembre del 2013. In ambo i casi, l’obiettivo degli attaccanti era quello di intercettare le chiamate vocali e gli SMS di diversi utenti (un centinaio, nel caso di Atene, tra cui il Primo Ministro ed il Capo dell’Intelligence; un numero ad oggi ancora sconosciuto nel caso di Belgacom, che tra i suoi clienti annovera la Commissione Europea e la stessa ENISA). E questo ci porta, dovrebbe portare noi italiani, a capire finalmente un’altra parola molto trendy, Cyberwar. Così come non amo il termine cyber, non posso certo amare quello di Cyberwar e preferisco quindi parlare di Information Warfare, che altro non è se non il (classico) concetto di Warfare, applicato all’odiernasocietà delle informazioni.

E’ oramai ovvio, scontato, chiaro, evidente come, nonostante la totale assenza di legislazioni e regulation in tal senso, diverse nazioni del mondo, Europa inclusa, non si siano focalizzate solo sul concetto di Digital Defense, come tutti pensiamo, ma anche su quello di Digital Offense. Che è poi quello che mi chiedono i nostri militari, ai più diversi livelli, quando ci incontriamo informalmente e ce la raccontiamo un pò. Loro si sono (giustamente) stufati di vedere gli altri Paesi attaccare, mentre il nostro sta ancora sta cercando di capire come difendersi, come accorgersi di essere attaccato.

Vedete, nel “cyber” ci sono alcune differenze rispetto a quanto eravamo abituati. Prima di tutto, quelle informazioni che stanno alla base di tutto questo discorso non si rubano, ma si copiano. E’ una differenza sostanziale dato che, se mi rubano qualcosa, prima o poi me ne accorgo, perché non c’è più. Se invece me lo copiano, me ne accorgerò solo quando sarà troppo tardi, ed un’altra azienda concorrente sarà uscita sul mercato con il mio know-how, un prodotto simile ma migliore, o semplicemente più economico.

Questo è il motivo per il quale, nel mondo dell’InfoSec, gira una battuta, purtroppo terribilmente vera, che recita: “Ci sono due tipi di aziende. Quelle che sono state bucate, e quelle che ancora non lo sanno”. I cento target di Vodafone Grecia se ne sono accorti dopo un anno (almeno) e per puro caso; quelli di Belgacom se ne sono accorti solo perché un personaggio di nome Edward Snowden ha deciso di seguire le orme di un altro giovane ragazzo (22 anni, contro i 30 di Snowden; 19 anni il primo, all’epoca dei fatti, 26 il secondo), Bradley Manning, ed in ambo i casi la regia è di un terzo, scomodo, eclettico ed originale personaggio, Julian Assange, con cui chi scrive faceva hacking nella seconda metà degli anni ’80 ed all’inizio degli anni ’90, e che incontrai nel 2007 al Chaos Computer Club di Berlino, quando era totalmente sconosciuto a teneva un intervento davanti a meno di dieci persone. Ma torneremo anche su questo punto, magari in un prossimo articolo sulla democrazia ed il controllo di internet e delle informazioni: per intanto, consiglio due visioni davvero interessanti, “We steal secrets – the story of Wikileaks”, diretto da Alex Gibney e documentario premiato dagli Academy Award, e “The fifth estate” di Bill Condon, un film che mi ha molto colpito). Quello che è però certo è che l’Unione Europea non sta facendo niente, non ha fatto dichiarazioni forti, ufficiali, concrete, in merito allo scandalo NSA. Questo ci deve fare riflettere, dato che è in gioco la privacy e, come disse la Presidente del Brasile alla sede delle Nazioni Unite a New York pochi mesi fa, “senza privacy non può esserci democrazia”.

Parlando di differenze nel mondo cyber non possiamo non citare la velocità, un fattore essenzialequando trattiamo di contrasto al Cybercrime, quando parliamo di Cyber Espionage e diInformation Warfare (due concetti ed approcci sempre più vicini), quando parliamo di guerra elettronica e di guerra digitale (due concetti ed approcci apparentemente vicini, ma invecemolto diversi). Il concetto di velocità mi fa pensare al DPCM del gennaio 2013 e di conseguenza a quelle aziende che “ancora non sanno” di essere state violate. Mi riferisco al CERT Governativo, un “qualcosa” che ancora non abbiamo concretamente, dopo anni ed anni di parole, silenzi, promesse, creazione di unità speciali, nuclei speciali ed, immagino, tanti soldi spesi inutilmente. Un GOV-CERT (Computer Emergency Response Team) è l’entità che si interfaccia con il Governo, segnala le vulnerabilità e gli attacchi (in arrivo o in corso) al Sistema Paese e si unisce ad un ecosistema, peraltro abbastanza complesso, nel quale le informazioni di uno Stato devono essere protette e messe in sicurezza.

L’Italia, ad oggi, checché ne dicano, non ha un GOV-CERT; abbiamo fatto dei decreti riempi-poltrone, siamo riusciti a mettere persone non propriamente competenti all’interno di macchine burocratiche di diverso tipo, ma non abbiamo un GOV-CERT. Quando lo avremo, immagino già la gara di vendor di sicurezza (magari stranieri, come siamo riusciti a fare più volte) nel magna-magna generale, per dotarci di soluzioni inutili o non adatte/sufficienti.

In Croazia il CERT nazionale è gestito da meno di dieci persone, utilizzano solo software open source, ha un budget molto ridotto e funziona benissimo. Continuando a pensare a quelle aziende che ancora non sanno di essere esposte, in Qatar il CERT nazionale è proattivo ed effettua scansioni ed analisi quotidiane di tutto il proprio spazio internet nazionale: se individua insicurezze, alza il telefono e chiama l’azienda in questione, pregandola di “patchare” quella falla. Mesi fa proponevo un approccio del genere a livello istituzionale, e mi è stato risposto di farmi gli affari miei e di non fare nemmeno presente, se possibile, che esistono queste possibilità.

E pensare che l’esempio del CERT ideale non lo avevamo lontano, bastava guardare alla Svizzera ed al bellissimo lavoro fatto da MELANI, il loro centro di coordinamento, che passa poi le informazioni al GOV-CERT, all’Intelligence svizzera, ai militari svizzeri; il GOV-CERT, in coordinamento con intelligence e militari, avverte poi le aziende ed i cittadini. Semplice, lineare, efficace, veloce, ben organizzato.

Velocità, semplicità, essere snelli: queste sono le keyword per vincere il nemico. Quando uscì il DPCM di gennaio dovetti confrontarmi con amici, tecnici con maggiore esperienza di me nel politichese avanzato, per comprenderne i flussi, informativi ed operativi. Chi l’ha scritto è riuscito a costruire unacatena di comando e scambio delle informazioni che sembra infinita, inventandosi addirittura nuovi attori e nuovi ruoli: siamo ridicoli, questo modello non ci permetterà mai di vincere le battaglie e le guerre che il mondo attuale ci propone quotidianamente, gli incidenti che accadano ogni ora, gli attacchi che riceviamo ogni minuto, come aziende e come cittadini.

Questo mi fa ripensare a quando fui chiamato dal COPASIR per andare a Roma e spiegare ai membri della Commissione che cosa stava accadendo al nostro Paese, in un’audizione molto lunga e dettagliata, dove la gran parte di quanto raccontai agli interessatissimi membri (tra cui ricordo con stima Rutelli, D’Alema ed Esposito) finì nel primo report di sempre del Comitato su questi argomenti, pubblicato dal COPASIR nell’agosto del 2010. Quello fu il classico “calcio d’inizio” ed il nostro Paese, la parte politica del nostro Paese, iniziò ad occuparsi di sicurezza delle informazioni.

Ci abbiamo però messo una serie di anni per il primo DPCM, ed un ulteriore anno per la nostra National Cybersecurity Strategy, ultimi in coda non solo al fanalino europeo, ma di molte nazioni del mondo. Va detto però che il documento uscito è molto bello, persino un guru dell’InfoSec come Bruce Schneier ci ha fatto i complimenti! Non capisco allora perché persone messe a Palazzo Chigi, alle cui presentazioni ho assistito durante alcuni, recenti eventi del mondo InfoSec (e quindi, con un pubblico davvero interessato a saperne di più ed aiutare il proprio Paese) vadano a parlare dellaCybersecurity Strategy europea, che è nota da oltre un anno, e non di quella italiana che è invece appena uscita.

Come ho scritto all’inizio di questo articolo, mi trovo su un aereo. Sto volando verso Sydney, in Australia, per parlare di resilienza, o cyber-resilience se preferite. Ho accettato l’invito del “World Cyber Resilience Congress – A Call to Action” proprio per quella frase alla fine del titolo, A Call to Action e per la serietà del relatori, a differenza della maggior parte degli eventi di sicurezza informatica italiani: incontrerò colleghi dal World Economic Forum, US Department of Homeland Security, l’ex Advisor alla Casa Bianca, compagnie aeree, assicurazioni, operatori mobili, bancari, di energia, grande distribuzione, aziende di consulenza strategica, contractor militari.

Parliamo quindi un attimo del concetto di resilienza. Tutto quello che ho scritto sinora è certamente importante, ma non rende ancora l’idea della gravità della situazione e degli scenari che stiamo vivendo. Recentemente ho letto un’intervista ad uno dei soliti “cyber esperti”, una figura molto più politica che tecnica, il quale si è accorto che la sicurezza può essere un driver, un vantaggio competitivo, un “fattore abilitante”: è la scoperta dell’acqua calda, è come Angela Merkel che siaccorge di come l’80% del traffico Internet mondiale passi – “oh mio Dio!” – dagli USA.

Ma c’è forse di peggio. Sembra quasi di intravedere uno “spianare la strada” ai lavori dell’Agenda Digitale (a tutt’oggi fermi come una statua di sale) verso la sicurezza informatica. Lo dico con cognizione di causa, dato che quando fui chiamato in audizione all’Agenzia per l’Italia Digitale quello che vidi non mi piacque: persone lente, prive di idee, non competenti sulla materia ma contente di riempire poltrone e di non fare nulla, se non l’indispensabile. Parallelamente a quell’incontro mi fu chiesto (da un altro interlocutore, una di quelle poche persone in quell’ambiente che fanno, sono competenti ed hanno da dire e da dare) di contribuire alla stesura delle politiche di sicurezza per la Pubblica Amministrazione italiana, centrale e locale. L’ho fatto, lo abbiamo fatto, ma l’output del Gruppo di Lavoro è stato fermato, bloccato, affossato…

Vedo poi in eventi pubblici le slide della stessa Agenzia per l’Italia Digitale e noto con piacere di come ilRapporto CLUSIT – uno studio alla cui stesura collaboro sin dalla prima edizione, fatto da un’Associazione che mi vede tra i fondatori e con la quale facciamo cultura e sensibilizzazione da oramai 14 anni – sia ampliamente citato. Questo è bene, ma mi sono chiesto il perché. E la risposta ci porta, purtroppo in un loop, continuiamo a parlare delle stesse cose ed a pagare le conseguenze dei nostri errori: a livello ufficiale, nazionale ed istituzionale, non abbiamo dati, non abbiamo statistiche concrete sugli attacchi informatici, se non le denunce fatte dai cittadini alla Polizia Postale e delle Comunicazioni (ed il già citato Rapporto CLUSIT). Dai cittadini, sì, perché nella maggior parte dei casi le aziende non denunciano – sempre ammesso che si accorgano della violazione, come abbiamo già detto.

Ora, tornando ai sedicenti esperti che parlano di sicurezza come fattore abilitante, ritengo sia ora di dire le cose come stanno. Abbiamo creato un mostro, una information society che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri. Sediamo su una bomba pronta ad esplodere, e non ce ne siamo ancora accorti. O non vogliamo capirlo, non ci conviene capirlo, non ci conviene ammetterlo?

Qui si deve parlare di security-by-design e non raffazzonata, aggiunta come una pezza sempre e solo quando esce, anzi, scoppia, il problema; si devono obbligare i fornitori di ICT a prevedere la security nei loro contratti, a prendersene la responsabilità laddove la mancanza di security causi incidenti più o meno gravi; la si deve smettere di fare gare per la PA, le banche, le infrastrutture critiche, dove la security si compra “un tanto al chilo”, i programmatori sono braccianti da spremere e pagare persino meno delle software house indiane e persone con forti responsabilità in mano (i casi di Snowden e Manning dovrebbero insegnare, anche in questo caso) sono sottopagate, dobbiamo smetterla di trattare l’argomento “sicurezza dei dati” come un costo ed una rottura di scatole.

Non possiamo rischiare di continuare a vedere aziende ospedalieri o comuni, regioni e province, come scopro dalle tante segnalazioni che mi arrivano dai diversi network di contatti a cui appartengo, che hanno messo on-line le cartelle dei pazienti o semplicemente hanno basi di dati sui cittadini (E-Government!), ma senza il minimo accorgimento di sicurezza, o pagando (le solite) aziende private per creare insicurezza all’interno dei loro portali; non è possibile, almeno per me, continuare a parlare con banche che non capiscono cos’è la Cybercrime Intelligence, solo perché i loro fornitori attuali vendono loro spazzatura ed ignoranza. C’è bisogno di serie azioni di Governo, di un colpo di mannaia verso tutto quello che è vecchio, inutile e che è stato sino ad oggi, completamente pensato e progettato nel modo sbagliato, per evitare di continuare a sprecare risorse economiche ed umane: non possiamo più permettercelo.

Se non cambiamo questo approccio, avremo dei seri problemi. Avremo di fronte a noi scenari apocalittici, e questo costituirà l’ennesimo freno alla ripresa dell’economia, italiana ed europea.

Viaggiare è bello, apre la mente, permette confronti con altri Paesi, ti fa pensare. Questa fine di marzo è per me un periodo di numerosi viaggi, non solo quello in Australia. Non appena rientrerò in Italia, tra pochi giorni, mi aspetta un altro volo, questa volta più breve, verso Stoccolma. Sono stato chiamato dall’Atlantic Council e dalla NATO, insieme ad un ristrettissimo gruppo di cyber esperti e decision makers, per parlare di cosa la NATO dovrebbe fare nei prossimi tre anni su queste tematiche. Nell’agenda del workshop è stato addirittura inserito il concetto di Patriotic Hackers, un qualcosa di cui parlai in un evento, ospite al Senato italiano, oramai quattro anni fa. Nessuno volle ascoltare, nessuno volle capire, tutti fecero finta di nulla. Intanto, tutti i Paesi del mondo stanno utilizzando ethical hacker per raggiungere i loro scopi e difendere la sicurezza nazionale, mettendo insieme le competenze di questi piccoli geni dell’informatica e le strategie dei propri Governi. Nel workshop di Stoccolma sarò, tanto per cambiare, l’unico italiano, così come già è successo in tanti eventi internazionali. Perchè quello che mi dicono gli stranieri quando viaggio in giro per il mondo, bene o male, poggia sempre su due argomenti: perché sei da solo, perché gli altri italiani con i quali ci interfacciamo parlano un pessimo inglese e non ci capiscono mai?

Nel ventunesimo secolo, nel pieno della società dell’informazione, dobbiamo ancora avere a che fare con italiani che non parlano l’inglese o lo parlano in modo maccheronico?? Ma stiamo scherzando?

L’ultimo aereo che prenderò in questo mese di marzo sarà verso la Germania, nuovamente per la NATO. Il mondo dell’InfoSec, in questo caso rappresentato dall’APWG (Anti-Phishing Working Group) incontrerà quello militare, insieme alla Commissione Europea,  al mondo accademico, al Law Enforcement, alle aziende private (europee, americane, svizzere, russe); si parlerà anche di Kiev e di come il cybercrime ed il cyber espionage siano fortemente attivi anche in un Paese in cui è in corso una rivoluzione.

Prima di partire ho letto attentamente l’agenda, lo schedule di questi tre giorni presso la base militare NATO di Oberammagau. Non sarò, una volta tanto, il solo italiano, saremo in quattro a tenere alta la bandiera del nostro Paese, quattro giovani, cocciuti, competenti, aperti nella mentalità e nel modo di fare, che credono in un obiettivo: rendere più sicure le informazioni nel nostro Paese.

L’Italia ha da poco un nuovo Primo Ministro, certamente giovane, che mi sembra cocciuto, competente, aperto nella mentalità e nel modo di fare e che crede negli obiettivi che persegue. Mi farebbe tanto piacere se uno di quegli obiettivi fosse la Sicurezza delle Informazioni. E non la sicurezza cibernetica.

FONTE: Agenda Digitale (www.agendadigitale.eu)

AUTORE: Raoul Chiesa, Clusit, Enisa