La sicurezza della rete non è garantita se solo le tlc sono regolamentate
Antonella Olivieri – 3 Giugno 2017 – Il Sole 24 Ore
.
«L’attacco informatico globale di metà maggio? Non è il primo e, purtroppo, non sarà l’ultimo. E con lo sviluppo dell’Internet delle cose le insidie saranno ancora maggiori».
Franco Bernabè è un esperto in materia perché negli ultimi anni ha lavorato in settori dove queste tematiche sono all’ordine del giorno.
Perché ha lavorato prima nelle tlc, alla guida di Telecom Italia e oggi lavora nel sistema dei pagamenti con Icbpi e CartaSì di cui è presidente. Ed è un esperto in materia anche per avere scritto un saggio « Libertà vigilata» che tratta l’argomento della invasività dei giganti del web nella privacy degli spesso ignari utenti.
WannaCry ha colpito 150 Paesi, scompigliando ospedali, università e grandi aziende come Renault e Telefonica. Poi, un supposto hackeraggio a British Airways, che ha denunciato una grave avaria al sistema dei computer e ha bloccato i voli da Londra.
Come mai non si è saputo nulla di aziende italiane? Sono più attrezzate delle altre o è solo fortuna?
I problemi emergono dove c’è più sensibilità e dove ci sono incentivi a farli emergere. Per esempio la Cina dal 1° giugno ha adottato misure di cybersecurity particolarmente rigide che da una parte mirano a proteggere i dati personali e a regolamentare l’utilizzo dei contenuti, ma dall’altra di fatto alzano un muro informatico intorno al Paese. Da noi invece c’è meno sensibilità e ci sono possibili disincentivi. Siccome la carenza di misure di sicurezza adeguate ha rilievo penale, è possibile che, per non passare guai, chi è stato colpito non l’abbia dichiarato. Del resto, la tipologia di malware che ha infettato mezzo mondo due settimane fa aveva già provocato grossi problemi in Italia in passato. Va anche detto che molte nostre aziende hanno una difesa efficace, perché sono dotate di team di cybersecurity ben attrezzati.
Come nascono questi fenomeni ai quali, da quanto sembra di capire, dovremo abituarci?
Nel caso specifico si tratta di una vulnerabilità, già nota, di Windows che tecnicamente si chiama exploit EternalBlue. Un sistema che si dice sia stato sviluppato dalla Nsa, l’Agenzia per la sicurezza nazionale Usa, alla quale è stato sottratto illecitamente probabilmente assieme ad altri virus. In pratica viene inviato un programma eseguibile con un malware nascosto in un allegato o in un finto pdf, oppure, peggio ancora, il virus viene agganciato da un browser.
Ma lo scopo qual è?
Normalmente il denaro. Ci sono due tipi di virus, quelli che attaccano vulnerabilità già note e gli “zero-day” che attaccano vulnerabilità non ancora conosciute. Questa seconda tipologia può valere anche 200mila dollari e può trovare compratori sia nella società che ha sviluppato il software per sistemare la falla, sia nelle associazioni criminali che poi utilizzano questi sistemi per bloccare i computer e chiedere il riscatto. C’è comunque tutta una serie di altre motivazioni che va dal puro vandalismo a veri e propri atti di guerra cibernetica. In ogni caso il problema va ricercato nell’architettura di Internet, concepito all’origine senza un sistema nativo di sicurezza.
E cioè?
Ci sono quattro condizioni perché un sistema possa essere considerato sicuro: l’accertamento dell’identità dell’utente (nelle tlc c’è) e l’autenticazione (su Internet si tratta di un puro rapporto tra macchine, si usa la password, che è un meccanismo “debole”), il sistema deve anche garantire la confidenzialità e l’integrità dei dati trasmessi.
Quindi si può concludere che Internet non è sicuro?
Internet non è stato creato per l’utilizzo che ne viene fatto oggi. Intenzionalmente non era stato progettato per garantire la sicurezza. Da una parte per la cultura da “figli dei fiori” degli ingegneri californiani che l’avevano progettato negli anni 70, utopicamente come strumento di “liberazione”. E dall’altra perché il Pentagono e i servizi di sicurezza americani lo concepivano come mezzo utile ai fini della sicurezza nazionale. Nessuno però, allora, avrebbe immaginato che Internet avrebbe assunto la rilevanza che ha oggi.
Appunto, come si è arrivati a creare i giganti che oggi dominano il web?
In origine Internet era un’infrastruttura interamente controllata dallo Stato, ma verso la metà degli anni 90 l’amministrazione Clinton decise di aprirne l’utilizzo per fini commerciali. Inoltre, con la riforma della legge sulle comunicazioni del 1996, gli operatori di Internet vennero svincolati da qualsiasi forma di regolamentazione, distinguendoli così dalle telco che invece rimanevano un settore regolato. Questo elemento, assieme alle straordinarie esternalità di rete che Internet offre, ha aperto al strada alla creazione di giganteschi monopoli. La riforma inizialmente prevedeva una protezione contro la pornografia, in particolare quella infantile, ma questa tutela venne abolita quasi subito dalla Corte Suprema americana in nome della libertà di espressione garantita dal primo emendamento della Costituzione americana. La Corte confermò però l’esenzione della responsabilità per la diffusione di contenuti prodotti da terzi, già contemplata nella section 230 del Communication Decency Act. In questo modo si è aperto il varco a un esercito di imbecilli nel fare concorrenza ai muri delle latrine: le scritte volgari sono scomparse ed è esploso il fenomeno degli haters.
Un “errore” di regolamentazione quindi?
Non c’è errore, perché sia la scelta di omettere meccanismi di sicurezza, sia la scelta di garantire l’immunità riguardo alla pubblicazione di contenuti, sono state volute da chi negli Stati Uniti aveva il potere di farlo. È così che è stata messa in crisi l’industria della musica, dei media tradizionali e di tanti altri settori.
E adesso?
Adesso abbiamo un grande problema di sicurezza, che diventerà ancora più grande con lo sviluppo dell’Internet delle cose. Problemi che con le tlc, proprio perché regolamentate, non ci sono mai stati.
Non si può fare qualcosa per rimediare?
L’unico modo è dedicare risorse sempre più importanti al tema della sicurezza, risorse di cui molti Stati, alle prese con i problemi di bilancio, non dispongono o non dispongono in misura sufficiente. Occorrerebbe inoltre investire su figure di estrema professionalità e avere in materia una cultura diffusa nelle amministrazioni pubbliche e nelle aziende.
Oggi non avrebbero interesse anche gli Stati Uniti a porre limiti ai giganti che hanno creato?
Google, Apple, Facebook e Microsoft, insieme, hanno una capitalizzazione di Borsa equivalente al Pil della Francia. Chi può contrastarli? Ormai sono più potenti dei Governi. Nella fase di rinegoziazione dell’accordo “Safe Harbor”, che permetteva alle aziende americane di trasferire negli Usa i dati personali dei cittadini europei e di operare di fatto come a casa loro, i big del web hanno speso per l’attività di lobbying cifre enormi. L’accordo, che era stato siglato con la Ue nel 2000, è stato faticosamente rinegoziato dopo 15 anni, ma senza cambiare moltissimo nella sostanza.
Almeno le transazioni elettroniche sono sicure?
Le transazioni elettroniche sono gestite con sistemi di sicurezza estremamente stringenti e sono sotto il costante monitoraggio delle Banche centrali. Finché il sistema finanziario sarà regolamentato e sorvegliato dalle Banche centrali difficilmente si verificheranno i problemi che si sono registrati in altri settori, contrariamente a quanto avverrebbe se si andasse invece verso una liberalizzazione selvaggia, come qualcuno auspica .