In un mondo permeato dall’adozione di tecnologie cibernetiche l’esigenza di sicurezza informatica si concretizza con misure precauzionali che possano ridurre errori involontari degli utenti o incidenti volontari causati da “avversari” che perseguono i loro obiettivi. Spesso questi temi sono presentati con una dialettica centrata non solo sul pericolo che “aleggia” intorno alla cyber security, ma anche sulla conflittualità esplicita. Parole come “attacco” e “difesa” richiamano uno storytelling “militarizzato” che può causare una percezione distorta dell’esigenza di consapevolezza e sicurezza applicata alle tante tecnologie digitali.
La conseguenza su alcune persone che recepiscono questi messaggi, potrebbe essere di ansia, fastidio, preoccupazione, paranoia e conseguente ulteriore diffidenza e “noncuranza” come reazione fisiologica. Non si vuole qui negare una porzione degli incidenti di sicurezza motivati da cause geopolitiche, che pure in questo triste periodo storico sono presenti, bensì presentare la sicurezza informatica in una “versione” scevra da parole che possono comunicare paura e quindi distacco. Ne abbiamo parlato con Denis “Jaromil” Roio, ricercatore e fondatore direttore della fondazione Dyne.org.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Ri-definizione di sistema digitale e della sua sicurezza
Come ridefiniresti i concetti di sistema cyber e di sicurezza informatica?
Già da parecchi decenni viviamo in un mondo permeato dall’adozione di tecnologie cibernetiche: questo tipo di tecnologia è ormai presente a tutti i livelli di infrastruttura, sia pubblica che privata. Basti pensare al fatto che entriamo ed usciamo da dei tornelli al lavoro o all’ospedale: dietro tali meccanismi ci sono macchine che reagiscono alla nostra presenza prendendo decisioni in base alla situazione ed alle credenziali che presentiamo.
Si definisce come “cibernetico” qualsiasi sistema che reagisca a delle informazioni, o meglio che sia in grado ti stabilire un rapporto di causa-effetto che si adatti al cambiamento delle condizioni osservate. Condivido una definizione volutamente generica per far immaginare con quanti altri sistemi cibernetici interagiamo durante una nostra giornata tipica, tanto che neanche chi vive in campagna può dichiararsi estraneo al loro uso. Parlo di sistemi di prenotazione di un ospedale sistemi di uso comune come il distributore di benzina o il nostro telefonino.
Il caso del termostato della caldaia
Un esempio molto semplice è il termostato di una caldaia che normalmente può adattare la potenza del riscaldamento alle misurazioni delle temperature ambientali. Se questo sistema è coniugato con un sistema cibernetico, allora diventa più evoluto e capace di misurare un maggior numero di elementi: la presenza o meno di una persona o più nella stanza, la velocità con cui si riscalda di solito la stanza in relazione alla sua umidità e temperatura esterna ed altri fattori che influenzano la scelta di accensione, spegnimento o potenziamento del riscaldamento come la presenza di luce solare, i presenti nella stanza e l’uso che ne è previsto durante la giornata.
La sicurezza di un sistema cibernetico opera sull’affidabilità delle macchine rispetto ai loro “input” (dati immessi nel sistema, n.d.r.) e rispetto agli accorgimenti preventivi che effettivamente corrispondano alla realtà. Queste ultime sono misure precauzionali che possano ridurre la possibilità di errori o di incidenti di sicurezza che potrebbero anche essere causati volontariamente da degli “avversari” del sistema.
Rappresentano anche misure che possono mitigare il problema qualora si verificasse, ovvero misure in grado di contenere il danno causato dall’azione di un avversario e capaci di evitarne l’acquisizione o il maggior potere sul sistema.
Il danno di una dialettica “conflittuale”
Perché i temi della conflittualità nell’ambito della cyber security stanno diventando un problema?
Considerando l’onnipresenza dei sistemi cibernetici, la lettura in chiave “conflittuale” della loro sicurezza non fa che generare uno stato di ansia e diffidenza in chi li usa, alimentando una visione sul mondo che crea il sospetto e proietta l’idea di un nemico su chiunque si trovi ad interagire con essi.
Io credo che questo non sia il modo giusto di ottenere un obiettivo fondamentale: quello della pace. Poiché la dialettica del conflitto è quella della guerra, se lasciamo che essa descriva e condizioni ogni interazione cibernetica, allora saremo condannati a vivere in guerra con le macchine, con gli altri e in fin dei conti anche con noi stessi.
Cyberwar: gli attacchi informatici all’Ucraina erano stati pianificati da tempo
Come si procede verso la “demilitarizzazione della cyber security”
Come fare quindi a “demilitarizzare la cyber security” sia come dialettica, sia concretamente?
La demilitarizzazione della sicurezza cibernetica è un’operazione difficile quanto necessaria da compiere. Difficile perché storicamente tutti i sistemi cibernetici che usiamo provengono originariamente da ricerche e sviluppi svolti in ambito militare. Basti pensare ad Internet o ai sistemi di mappatura satellitare. La ricerca militare è sempre stata più avanti nell’avanzare le tecnologie anche a causa dei maggiori fondi ad essa dedicati.
Si tratta quindi di un cambiamento da operare: rimuovere non solo la terminologia, ma anche l’immaginario che deriva dal contesto militare e che viene usato per descrivere l’uso di tecnologie anche in ambito civile. Per esempio, l’uso di termini come “firewall” (letteralmente “muro di fuoco”) o “watchdog” (cane da guardia) o “shield” (scudo) è onnipresente nella sicurezza informatica e siamo in ben pochi a cercare di immaginare un modo diverso di garantire un uso “sereno della tecnologia.
Minacce alla cyber security: le tendenze per la seconda metà del 2022
Credo che sarebbe bene sostituire finanche il termine “sicurezza” con quello di “pace” o “consapevolezza” per responsabilizzare i soggetti coinvolti piuttosto che renderli soggetti passivi di sorveglianza spesso svolta in modo poco trasparente e incomprensibile ai più.
Non è soltanto una questione di parole
Ma per demilitarizzare veramente la sicurezza non basta cambiare un vocabolario di termini: occorre cambiare tutto il contesto in cui opera chi ricerca e sviluppa in questo ambito, lasciando spazio alla diversità: di genere, di personale civile e di ricercatori qualificati anche in discipline spesso escluse in questi ambiti, benché utilissime, come il design, l’ergonomia, l’etnografia e la filosofia.
Per “demilitarizzare la cyber security” dunque non occorre solo la volontà e consapevolezza di quanto sia necessario affrontare con un approccio olistico una materia che tocca tantissimi aspetti di vita contemporanea, occorre anche il concreto impegno delle istituzioni e delle organizzazioni coinvolte ad aprire la porta all’interdisciplinarietà, all’inclusione sia culturale che di genere ed alla migliore comprensione delle cause della crescente erosione della sicurezza dei sistemi cibernetici.
L’importanza di una comunicazione appropriata
Una dialettica diversa potrebbe rendere il tema della cyber security meno ostico e più vicino alle persone per favorire la loro presa di coscienza di questo tipo di rischi?
La consapevolezza e presa di coscienza di tutti i partecipanti ad un sistema cibernetico è di fondamentale importanza. In questo caso parliamo di qualcosa di scontato per qualsiasi altro contesto: per mantenere la pace è necessario avere una maggioranza di partecipanti consapevoli dei rischi posti da una situazione ed inclini a mantenerla pacifica, piuttosto che nascondere il rischio finchè una crisi imprevista accade e si fa scendere in campo un “robocop” (il richiamo è al noto poliziotto robot del celebre film, n.d.r.).
Per un approccio “asimmetrico” (nel senso di alternativo n.d.r.) alla sicurezza cibernetica bisogna dare più potere ai partecipanti affinché si possano difendere da soli e gli uni con gli altri: ciò non significa armarmi fino ai denti, ma dare loro la possibilità di scoprire e mitigare le minacce.
Questa è una strategia che non alletta purtroppo l’industria della sicurezza cibernetica impostata oggi sulla costante fornitura di servizi che tengono i partecipanti al sicuro, in modi complessi ed imperscrutabili, facendo vegliare su di loro degli “specialisti della guerra”. Per cambiare le cose occorre facilitare un contesto economico che contempli anche l’importanza dello sviluppo di nuove concezioni nel campo del design, occorre incentivare il corretto sviluppo degli applicativi e minimizzare i dati che circolano.
Proposta di interventi concreti
Quale potrebbe essere il passaggio successivo tra una presa di coscienza e consapevolezza, alla fase in cui le persone si responsabilizzano sulla cyber security?
Il passaggio successivo dovrebbe essere quello di elevare la qualità dei servizi cibernetici ad un livello competitivo in Europa e nel mondo. Lo stato trasandato e apparentemente abbandonato delle infrastrutture è il motivo che attira “il vandalismo digitale” e aggrava un processo di degrado che viene quasi giustificato dall’incuria iniziale con cui il sistema è stato concepito.
Aumentare la resilenza dei processi
In Italia nello specifico, credo che il passaggio successivo sarebbe quello di dare più potere agli operatori dei sistemi cibernetici, diminuire la complessità dei sistemi da essi operati ed aumentare la resilienza dei processi.
Faccio un esempio: è un’assurdità vedere un operatore di uno sportello delle ASL non essere in grado di completare un’operazione perché il PC è rotto o Internet non funziona, condannando tutti ad attendere l’intervento di un tecnico o di una divisione cyber security per rendere possibile la prosecuzione di un servizio.
In questi casi non sono sufficienti mega-ditte di cyber security che vendono pacchetti sempre più costosi e spesso fuori dal loro stesso controllo, dato che quasi tutti i sistemi di cyber security venduti in Italia vengono fatti all’estero.
HTTP/3: che impatto avrà il nuovo protocollo sulla cyber security
Abbassare più più possibile il margine di errore
Piuttosto per evitare tali situazioni si potrebbe dare la possibilità all’operatore di andare avanti anche senza dipendere dal sistema informatico, sviluppando e implementando il processo nella sua accezione più ampia, composto da un sistema progettato con la possibilità di procedere anche su carta (come mezzo di backup) e inserire i dati successivamente, rendendo il processo sempre “fattibile”.
Occorre sviluppare alternative pronte, metodologie di prevenzione verificabili da ogni singolo operatore e sistemi che siano più facili da tramandare ai nuovi operatori abbassando il più possibile il margine di errore e la possibilità di comportamenti poco sicuri.
