Bruce Schneier è riconosciuto come uno dei massimi esperti di sicurezza digitale a livello mondiale. Laureato in informatica alla American University, e con un bachelor in fisica, ha lavorato in posizioni strategiche nell’ambito della sicurezza ai laboratori Bell e Dipartimento della Difesa degli Stati Uniti, oltre a fondare proprie società, essere board member dell’Electronic Frontier Foundation e di AccessNow, Chief of Security Architecture a Inrupt Inc., e avere scritto alcuni dei principali best-seller mondiali su sicurezza informatica, privacy e crittografia. A tutto questo, aggiunge l’ideazione di alcuni dei più noti algoritmi crittografici e un’enorme produzione di post per il suo blog e la newsletter Schneier on security, letta da oltre 250.000 utenti.
Questa sua intensa attività lo porta ad avere una visione sempre puntuale dello stato della sicurezza e a lanciare previsioni che, immancabilmente, si avverano. Motivo per il quale mi trovo a chiedergli lumi su alcuni temi di grande attualità, a distanza di parecchi anni dall’ultima chiacchierata che abbiamo avuto.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Com’è cambiata la sicurezza digitale
L’ultima intervista che ti ho fatto risale al 2014: com’è cambiato il mondo della sicurezza digitale da allora?
È cambiato il mondo digitale. Smartphone, Internet of Things, cloud computing, sorveglianza globale… come può non essere cambiato il mondo? Stiamo entrando in un mondo dove qualsiasi cosa, letteralmente, è un computer. Quello smartphone è davvero solo un computer che fa telefonate. Il tuo frigorifero è un computer che mantiene le cose fredde, e il tuo microonde è un computer che rende le cose calde. E quei computer sono connessi. È un mondo informatico completamente diverso, nel quale la sicurezza digitale diventa sicurezza di ogni cosa.
E com’è cambiato il lavoro di Bruce Schneier in questi anni?
Ho iniziato a insegnare cyber security policy alla Harvard Kennedy School, e pensando e scrivendo di più su questo tema. I miei libri, in realtà, sono proprio sulla gestione delle policy: tecnici, certo, ma su soluzioni di policy.
Prevedere non basta
Nel tuo libro “We have root”, che è una raccolta di alcuni dei tuoi saggi, avevi previsto buona parte dei problemi che stiamo vivendo oggi. Questo libro è del 2019, ma alcuni di quei saggi sono molto più vecchi. Se la sicurezza è così prevedibile, perché non siamo capaci di proteggerci in tempo?
Perché prevedere non è sufficiente per proteggere. Il problema fondamentale della cyber security, ora, è che gli incentivi economici non sono adeguatamente allineati. Finché le imprese sono nella posizione in cui avere poca sicurezza è più profittevole di avere una buona sicurezza, continueremo ad avere una scarsa sicurezza. Qui è dove le norme governative possono fare un buon lavoro, regolando l’economia per incentivare un miglior livello di sicurezza (che è lo stesso modo in cui le norme funzionano in qualsiasi altro aspetto della società).
Su Russia e cyberwarfare
Un argomento su cui hai scritto molto è l’attribuzione di un attacco, in caso di cyberwarfare. Abbiamo fatto progressi in questa direzione? La guerra tra Russia e Ucraina ci sta insegnando qualcosa, a tal proposito?
Ce la caviamo molto meglio nell’attribuzione degli attacchi cyber rispetto a quanto accadeva dieci anni fa. Il problema è che l’attribuzione non è sempre veloce, e la politica spesso richiede una risposta rapida. Non sono sicuro che il conflitto tra Russia e Ucraina ci stia insegnando qualcosa. Quando due paesi sono in guerra, l’attribuzione è piuttosto semplice. È difficile nei momenti di pace, o nel corso di un conflitto più “caldo”.
Già che ci siamo: non è che forse stiamo sopravvalutando un po’ le capacità cyber della Russia?
Penso che abbiamo sovrastimato il valore dei cyber attacchi nel corso di questo conflitto. Il vero valore si vede nei periodi di pace o, come il direttore della NSA Paul Nakasone ha affermato, nel continuum tra le tensioni e la crisi. Quando iniziano bombardanti e sparatorie, ci sono munizioni molto più efficaci da sparare di quelle offerte dalle cyber armi.
La Russia non è una super potenza della cyber: ecco le prove
Kaspersky e Cina, un processo irreversibile
Nella tua opinione, la preoccupazione del governo italiano sull’utilizzo di strumenti di sicurezza russi, come quelli di Kaspersky, è fondata?
Qui c’è da porsi una domanda seria: puoi fidarti del software di un’azienda che sta in un paese di cui non puoi fidarti? Non è solo un discorso di Kaspersky e Russia, ma anche delle molte aziende cinesi che destano la preoccupazione di Stati Uniti e altri paesi. È una domanda difficile, reso ancora più difficile dalla nostra complicata supply chain.
Tutto ciò che acquistiamo ha processori o altri componenti che provengono da molti paesi del mondo, e tutti i software che utilizziamo sono scritti da programmatori con diversi passaporti. La nostra industria è profondamente internazionale, e non è qualcosa che puoi facilmente cambiare.
Chi dice che il voto elettronico è sicuro mente
Sei Advisory Board Member di VerifiedVoting.org: a che punto siamo con le votazioni elettroniche?
Non fatelo, non è sicuro. Punto. E non è qualcosa che possiamo rendere sicuro. Il requisito del voto segreto significa che non possiamo utilizzare la maggior parte degli strumenti di sicurezza necessari per costruire un sistema robusto e resiliente. E la frode elettorale all’ingrosso è catastrofica. Chiunque che ti dica che ha un sistema di votazione via Internet sicuro sta mentendo, chiaro e semplice.
Nel tuo libro “Data & Goliath” parli del mercato dei dati e dei relativi rischi per la nostra privacy. Oggi, nella tua opinione, possiamo accettare un compromesso tra privacy e servizi? Qual è una linea di confine che potremmo accettare?
Accettiamo compromessi tra privacy e servizi ogni giorno, e lo abbiamo fatto dagli albori della civiltà. La linea di confine, come dici tu, è fluida. Dipende dai dettagli della situazione. Accetteremo diversi tipi di compromesso per i nostri dati medici rispetto a ciò che faremo per i nostri dati di geolocalizzazione, i nostri dati demografici, la cronologia di navigazione nei browser, o i nostri messaggi di testo. Non c’è mai stata una soluzione per tutto e non ci sarà mai.
Come gestisce la propria privacy Bruce Schneier? Quali sono gli strumenti e i trucchi che utilizzi?
Non uso nulla di speciale. Del resto, non ne renderò pubblici i dettagli.
C’era da aspettarselo, grazie anche per questo, Bruce.
