L’Agenzia per la cybersicurezza nazionale, il 4 febbraio scorso, annunciava un attacco hacker a danno di diversi sistemi nazionali e internazionali.
Abbiamo colto l’occasione di quella segnalazione di un mese fa per fermarci, riflettere e dire la nostra sul tema, abbracciando anche altre tematiche di nostro interesse come educazione digitale, privacy, GDPR.
E all’interno della cornice di Sloweb è nata una discussione critica, non allarmista, con l’intento di lasciar spazio a riflessioni più profonde.
Andrea Calderini intervista Anna Vaccarelli, Dirigente Tecnologo presso Istituto di Informatica e Telematica del CNR, e Maurizio Bulgarini, fondatore e Data Protection Officer di Smartflow.
Ciao Anna e Maurizio, grazie per aver preso parte a questa discussione. Per cominciare, quali sono state le vostre sensazioni nei giorni del lancio dell’allarme e i pensieri che ne sono scaturiti poi?
AV: A mio parere è stato un allarme immotivato, perché in realtà gli effetti in Italia sono stati modesti. Poi l’Agenzia si è mossa comunque attraverso i suoi canali tempestivamente e probabilmente è riuscita ad allertare una parte dell’utenza, almeno quella che sta sotto il suo cappello, quindi le infrastrutture governative. Questo però ci deve far riflettere su come funziona la comunicazione della Cyber Security, a più livelli, non solo in questo caso ma anche in altri. Il caso precedente emblematico è quello dell’attacco alla sanità nel Lazio dove le notizie si sono sovrapposte, erano parziali, si contraddicevano. C’è sempre un po’ (da un certo punto di vista e in maniera giustificata) il tentativo di non far sapere troppo quello che è successo. Questo da un punto di vista tecnico lo capisco, perché se tu sveli apertamente quali sono i tuoi punti deboli, potresti diventare ancora più vulnerabile. Però in termini di comunicazione è meno chiaro. Quando c’è un’attività di comunicazione viene fatto sempre il piano della comunicazione che deve prevedere sempre un punto sulla comunicazione cosiddetta “di crisi”, cioè nel momento di una emergenza. Probabilmente in queste organizzazioni questo aspetto non era stato affrontato in anticipo, infatti la comunicazione è stata disorganica. Bisogna avere una strategia già pianificata, non si può inventare nel momento dell’emergenza, quando, ormai, puoi andare solo a braccio. Sarebbe stato utile e opportuno che avessero avuto una strategia che gli consentisse di gestire con più “equilibrio” e lucidità le notizie rispetto a quello che era avvenuto e che poteva ancora accadere. Ho fatto l’esempio della sanità del Lazio perché è stato nelle cronache per dei giorni e probabilmente (quasi) tutti se lo ricordano, ma questo è vero in moltissimi altri casi. L’altro aspetto da considerare è quello dei media, dove c’è sempre una tendenza ad amplificare le notizie in qualunque direzione, non soltanto in merito alla cyber security. La cyber security però è uno dei settori che genera maggiore preoccupazione: se esageri la notizia che Totti e Ilary Blasi hanno litigato, non sei obiettivo, però alla fine l’impatto è relativo, se non nullo, non crei un danno. Nel caso della cyber security il discorso è ben diverso: nel pubblico può scattare una sensazione di allarme e di paura, da cui spesso non sa e non può difendersi per scarsa conoscenza del tema e degli strumenti. MB: La cosa che a me ha fatto immediatamente archiviare la questione come poco importante è il comunicato citato: parla di una vulnerabilità risolta due anni fa, quindi non solo scoperta, ma proprio risolta. Partendo da questo dato, secondo me, ci sono delle riflessioni interessanti. Se scopri che un provider a cui ti affidi, che può essere una telefonica, una banca o un qualsiasi servizio digitale (come tanti ormai fanno parte della nostra vita) ha un problema legato a quella vulnerabilità allora forse vale la pena interrogarsi se sia il provider giusto a cui affidare i tuoi servizi, i tuoi dati. È qualcuno che sa di avere un problema da due anni (e se non lo sapesse è peggio ancora). Ci possono essere anche delle ragioni per non aggiornare il sistema: farlo comporta dei costi, del lavoro, dei problemi di compatibilità e di interoperabilità, tutte cose che un tecnico esperto può appunto affrontare nell’ambito dell’informatica. Allo stesso tempo però stiamo parlando di due anni, un’era geologica per il mondo digitale, e ci sono poche scuse per non essere più a posto. Nell’ambito della sicurezza informatica in particolare si sa benissimo che gli attacchi esistono, sono all’ordine del giorno. Non è mai un problema del “se” capiteranno, è solo un problema del “quando” capiteranno. Se per due anni rimani quindi scoperto anche solo su un aspetto, è chiaro che in qualche misura “te la sei cercata”. Non si può più dire colpa degli hacker… Questa era stata la mia prima riflessione. La seconda riguarda la modalità con cui ne hanno parlato i giornali, che subito usano la buzzword “hacker”. Oggi è proprio di moda, rende subito sexy qualsiasi notizia legata a un problema in ambito digitale. Non solo c’è una mitologia dietro questa parola, ma anche abbondante filmografia, quindi diventa interessante e attira di più l’attenzione e i click da parte del pubblico. Mi sono reso conto che in effetti alcune testate giornalistiche hanno subito spinto in modo esagerato, se non ingigantendo, comunque un po’ sfruttando quanto serve per il clickbait.Anna, cosa ne pensi del lavoro di awareness sulla cyber security in Italia?
Sappiamo di essere un paese piuttosto poco digitalizzato e debole anche dal punto di vista della cultura digitale, anche se, l’altro giorno, guardando il report di We Are Social (che tutti gli anni pubblica un report sull’uso della rete), certi numeri in Italia farebbero immaginare scenari fantastici, quasi due smartphone in media a testa, quantità molto maggiori rispetto alla media mondiale. Analogamente gli occhiali per la realtà virtuale, un ordine di grandezza in più rispetto a quelli che vengono venduti negli altri paesi, da far pensare a un paese di super esperti del digitale. Invece andando a vedere i rapporti europei, per esempio il DESI, si evince che siamo quasi in fondo alla classifica. Quindi abbiamo di certo un problema di alfabetizzazione digitale. A maggior ragione abbiamo un problema di conoscenza dei temi della Cyber Security, che detto così sembra un argomento di cui dovrebbero occuparsi i tecnici perché, nell’immaginario collettivo, sono argomenti incomprensibili; in realtà la Cyber Security riguarda tutti. Per esempio quando ci colleghiamo al Home Banking facciamo un processo di doppia autenticazione, che è una contromisura tipica per evitare che qualcuno assuma la nostra identità. Bisognerebbe riuscire a lavorare in maniera strutturale, in maniera organizzata, direi anche istituzionale, per aumentare la consapevolezza di ciascuno. Ci sono tante iniziative. Sloweb sicuramente fa la sua parte, la Polizia Postale ne fa un’altra, noi con la Ludoteca del Registro, andando nelle scuole a fare laboratori di cyber security, facciamo la nostra parte. Quindi diciamo che una serie di soggetti che operano e che se ne preoccupano ci sono, ma sono un po’ a macchia di leopardo: sia per target (quindi per fascia d’età) sia per area geografica (perché magari agiscono su alcune zone non su altre). Ci vorrebbe perciò un’iniziativa che, secondo me, non può che partire dalla scuola. Bisogna lavorare sulla prossima generazione, che sarà chiamata a essere educatore nelle scuole o verso i propri figli, che sarà chiamata a compiti professionali, quindi ad avere responsabilità di lavoro ciascuno nel proprio settore. Senza contare che, indirettamente, attraverso i ragazzi, puoi riuscire a raggiungere anche i loro genitori, le loro famiglie. Mi auguro che il PNRR possa stimolare in qualche modo delle iniziative un po’ più consistenti. Nella scuola il tema della cyber security è completamente assente. Ci sono 4 ore di cittadinanza digitale all’interno delle 33 obbligatorie di educazione civica: 4 ore in un anno scolastico mi pare un po’ poco. Spesso nella scuola si pensa di assolvere alla formazione nel digitale e nell’informatica attravero un’ora nell’aula di informatica una volta alla settimana, mentre, dovrebbe essere un insegnamento trasversale rispetto a tutte le materie. Qui si apre un altro scenario, che è quello delle competenze dei docenti. Essendo persone adulte, la maggior parte degli insegnanti delle scuole, sono tutt’altro che esperti del digitale e quindi spesso evitano di affrontare i temi del digitale e della cybersecurity, non avendo le competenze per farlo. La strada più facile è spesso quella di vietare l’uso dei dispositivi in classe o per fare i compiti, perché non sanno gestirne l’uso corretto. Piuttosto che trovarsi in difficoltà e non saper dare delle risposte ai loro allievi preferiscono, forse senza rendersene conto, evitare l’argomento. Esiste, quindi, anche un tema di formazione dei docenti su questi argomenti. Si potrebbe, per esempio, cercare di ottenere questo risultato sfruttando le ore di formazione obbligatoria che ogni docente deve svolgere ogni anno. Per assolvere a questo obbligo possono scegliere tra i corsi che sono proposti sul portale S.O.F.I.A. dove ci sono tutte le attività di formazione accreditate. Si potrebbe proporre che un certo numero di ore di formazione sia obbligatoriamente legato al digitale: orientando una parte dei docenti, ad informarsi su questi temi.Maurizio, com’è legata in generale la Cyber Security con la privacy delle persone e quindi con la gestione dei dati personali?
Mi vengono in mente almeno due argomenti su questa difficile domanda. Il primo è su un piano più pratico. È evidente che al digitale affidiamo gran parte della nostra vita e del nostro lavoro, oggi sempre di più, e quindi la sicurezza in ambito digitale è legata strettamente con il mondo della cosiddetta Data Protection (che poi è il termine più europeo per parlare di Privacy, più focalizzato appunto sulla protezione del dato). Se è vero che nel dominio digitale i dati sono di varia natura, sfido chiunque a trovare un server (o nel caso dell’attacco di cui parlavamo prima, batterie intere di server) che proprio non custodisca al suo interno qualche dato personale. Quindi effettivamente questo ben collega il discorso della sicurezza con quello della privacy. L’adeguamento alla normativa infatti chiede alle aziende (che sono poi i clienti con cui io lavoro tutti i giorni) di ragionare e investire tempo e risorse sulla sicurezza. Obiettivamente, è l’unico modo per garantire poi alle persone fisiche un rischio il più possibile calcolato e basso. Il rischio zero non esiste in natura e non esiste nell’informatica, ma sicuramente possiamo e dobbiamo fare il possibile per mitigarlo. Il secondo, forse meno evidente per una persona non addetta ai lavori, è il fatto che uno degli scopi con cui è nato il GDPR (il regolamento che l’Europa si è data ormai cinque anni fa) non era solo quello del concetto di Protezione. In realtà lo spirito del Regolamento è quello di semplificare anche la circolazione dei dati, l’altro lato della medaglia. Da una parte si parla di protezione, di sicurezza, mentre dall’altra secondo me c’è l’importante opportunità di valorizzazione dei dati. Dopo averli protetti e messi al sicuro, dobbiamo usarli questi dati. Se per proteggerli poi non riusciamo a usare i servizi che oggi tanto ci piacciono e ci hanno semplificato e migliorato la vita, allora stiamo mancando il risultato. Ci sono due lati della medaglia che bisogna contemperare. Due aspetti fondamentali: sicurezza e valorizzazione. Uno degli scopi del GDPR, che è scritto proprio nelle premesse del regolamento, è il fatto che i dati debbano poter viaggiare. “(7) […] data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.” Costruire la fiducia pubblica nel mondo digitale è quindi uno degli obiettivi, non un by product del Regolamento. Ricollegandomi: se noi facciamo terrorismo stiamo andando contro lo spirito della norma, neanche contro un’interpretazione della norma, proprio contro lo spirito della norma. C’è un’interessenza fortissima tra sicurezza e privacy anche in questo senso. È uno dei motivi per cui nella privacy si mette un forte accento sui data breach (le violazioni che riguardano i dati personali). Per le aziende che subiscono un data breach, va valutata la gravità della violazione e va iscritta in un registro. L’azienda deve tenerne conto. Non esiste l’azienda perfetta, che non ha data breach. Ci vuole un registro, e in certi casi più gravi tale registro o comunque tale violazione, va comunicata all’Authority o addirittura e giustamente alle persone fisiche che sono state oggetto della della violazione perché vanno informate. Anche se difficile, diventa un lavoro fondamentale per costruire il trust, perché dire che siamo tutti perfetti vuol dire mentire banalmente.Anna, ci vuoi dire qualcosa invece della necessità di aggiornamenti, attuazioni e contromisure?
Diciamo che ci vorrebbe un po’ meno approssimazione nelle organizzazioni e nelle aziende rispetto agli aggiornamenti. Bisognerebbe “convincere” tutte le aziende, non tanto le grandi aziende, quanto quelle più piccole e medie, di dotarsi di un esperto non solo di IT ma anche di cyber security. Può essere la stessa persona, può essere un’altra, può non essere una risorsa full time o magari un consulente. Ci vorrebbe qualcuno che si prendesse cura dei tuoi sistemi dal punto di vista della sicurezza, degli aggiornamenti, eccetera. C’è poi la questione sui dispositivi personali, dove spesso gli aggiornamenti sono lasciati alla buona volontà e alla sensibilità di ciascuno e spesso non si fanno. Ci si chiede “perché devo aggiornare, il mio telefono funziona che motivo c’è?”. Ecco, il motivo, anche se non ci appare evidente c’è. Per esempio qualche tempo fa è arrivato un alert per tutti i dispositivi Apple perché in un’università americana si sono accorti che nei sistemi operativi ultimi di iPhone e iPad c’era un problema, l’hanno presentato alla Apple, che si è fatta carico di avvisare tutti i suoi clienti. “Aggiornate i sistemi, non aspettate”. Infatti c’era un aggiornamento disponibile, pronto. Quindi, sarebbe importante che ciascuno tenesse aggiornati i propri sistemi per evitare danni ai dati personali. Ma bisogna anche pensare al caso in cui uno si colleghi da casa, per lo smart working. Se il portatile da cui si collega è affidato a lui in tutto e per tutto e non è sotto la gestione dell’IT (quindi delle Information Technology, cioè dell’esperto dell’azienda), e non vengono fatti gli aggiornamenti, nel momento in cui ci si collega alla rete aziendale da casa si potrebbe creare un problema che potrebbe coinvolgere tutta la rete aziendale.Maurizio, cosa ci dici del ruolo del DPO nella Cyber Security?
La cosa più interessante secondo me, è un altro dei principi ispiratori dentro il regolamento, il concetto di privacy by design. In poche parole: tener conto degli obiettivi della norma quando si progetta il cosiddetto trattamento di dati e, quando si estrinseca nel digitale, evidentemente ha a che fare con la Cyber Security. Non solo si deve fare una valutazione ex post, dopo che è successo il guaio, per valutarlo, pesarlo e rimediarlo (tutte attività sulle quali normalmente un DPO veglia). Prima di questo però è importante dire ex ante: “Che cosa vuol dire non aggiornare il nostro VMware?” (come nel caso di studio che portavamo). Quindi: che rischi comporta, sono rischi accettabili?. Su questo a me piace molto l’approccio del GDPR: il ruolo del DPO che non è quasi mai quello del dire: “No non si può fare”, ma “Vediamo il contesto e valutiamo“. Questo è stato un salto quantico dalla Privacy vecchio stile. Prima del GDPR infatti in Italia avevamo una norma (che esiste ancora ma oggi è stata evoluta rispetto al GDPR) che si chiamava Codice privacy. Già il nome “codice” racconta molto dell’approccio: avevamo degli obblighi. L’aggiornamento di un sistema una volta sarebbe stato un obbligo e il non farlo sarebbe stato di per sé un illecito, una violazione. Oggi no, ed è giusto che non lo sia secondo me. Lo diventa in certi contesti come quelli che abbiamo visto. Se tu non aggiorni e rimani appunto esposto è evidente che ti sei messo coscientemente in una situazione di rischio per le persone e quindi è giusto che subisca eventuali conseguenze. Ma se invece non aggiorni però hai fatto un ragionamento e riesci a tenere comunque al sicuro le tue persone i cui dati per esempio sono custoditi su quei server, bene, allora non aggiornare. Tu by design hai fatto un ragionamento e riesci a spiegarlo, riesci a dimostrarlo, e sei anche molto responsabilizzato.