Rischio non calcolatoLa cybersicurezza è una risposta necessaria alla dipendenza tecnologica globale

Come spiegano Gabriele D’Angelo e Giampiero Giacomello in “Cybersicurezza. Che cos’è e come funziona” (Il Mulino), Internet è stata progettata con un focus sulla scalabilità e flessibilità, piuttosto che sulla sicurezza, una scelta che ha portato a numerose vulnerabilità

Unsplash

«Internet ha cambiato le nostre vite»: così inizia uno dei documenti più influenti nella sicurezza informatica, ovvero la “National Cybersecurity Strategy” della Casa Bianca, la quale, nel corso di diversi decenni, ha sviluppato linee guida e di comportamento nel settore della cybersicurezza che poi hanno influenzato (nel bene e nel male) anche gran parte dei paesi europei, i governi in Asia e nel resto del mondo. Circa dalla metà degli anni Novanta del secolo scorso, una proliferazione di nuovi termini, da «autostrade dell’informazione» a «commercio elettronico» a «Internet», da «World Wide Web» a «social media» e «cyberspazio», ha accompagnato e caratterizzato una vera rivoluzione, iniziata con un profondo cambiamento nella comunicazione, per arrivare poi a cambiare la cultura, l’economia e, in ultima analisi, la struttura stessa delle società moderne.

Questa «rivoluzione dell’informazione» (e l’inizio di una vera e propria «era digitale») sono, in tutto e per tutto, paragonabili alle grandi rivoluzioni o ai grandi cambiamenti epocali, con la caratteristica, però, di essere stati «compressi» in un arco di tempo di poco più di qualche decennio. Le basi di tale rivoluzione, in realtà, erano state gettate ben prima degli anni Novanta da molti «giganti» (per usare l’espressione di Sir Isaac Newton) senza i quali non ci sarebbe stata l’«accumulazione della conoscenza scientifica» necessaria allo sviluppo di prodotti come computer (Ada Lovelace, Alan Turing e John von Neumann), reti (Robert Metcalfe), Internet (Leonard Kleinrock, Jon Postel e Vint Cerf), il World Wide Web (Tim Berners-Lee), l’Intelligenza Artificiale (John McCarthy e di nuovo Alan Turing) o la cibernetica (Norbert Weiner e Karl Deutsch), in una parola il cyberspazio.

L’invenzione e la realizzazione del cyberspazio sono stati un processo lungo, con molteplici autori e inventori, attraverso prove ed errori. Alla fine, solo le soluzioni effettivamente utili sono sopravvissute. Concentrati su questi obiettivi, scienziati, informatici, ingegneri e sviluppatori di software, che hanno contribuito alla creazione del cyberspazio, si sono spesso dimenticati di porsi una semplice domanda: «Che cosa succederebbe se un individuo intendesse sfruttare le vulnerabilità e i difetti intrinseci di sistemi così complessi, per causare un danno alla collettività degli utenti?». 

L’enfasi su efficienza e l’uso di buone pratiche non hanno consentito di prevenire o evitare la (umana) tendenza a sfruttare una perdita generale per un vantaggio individuale. Con una certa lentezza, in contemporanea con l’aumento esponenziale degli utilizzatori, è emersa la necessità di difendere tali reti, dati e infrastrutture: così è nata la disciplina della sicurezza informatica, la cybersicurezza.

Dato il numero crescente di attività sociali, politiche, economiche e militari che dipendono dal cyberspazio (e sono quindi anche esposte a interruzioni e manipolazioni nel suo utilizzo) era inevitabile che divenissero evidenti le sue debolezze. Questa situazione è ulteriormente aggravata dalla natura stessa dello spazio digitale: Internet è stata progettata su principi di scalabilità e flessibilità, piuttosto che di sicurezza. Già nei primi anni Duemila, diversi osservatori sottolineavano come l’espansione del cyberspazio, rappresentato come una «natura antropica e senza luogo», avrebbe potuto produrre pericolosi effetti sulla vita sociale e la sicurezza nazionale.

Nei primi anni Novanta, il Consiglio nazionale delle ricerche degli Stati Uniti, nel suo rapporto “Computers at Risk” affermava: «Siamo a rischio. L’America dipende sempre più dai computer. Controllano l’erogazione di energia, le comunicazioni, l’aviazione e i servizi nazionali. Sono utilizzati per archiviare informazioni vitali, dalle cartelle cliniche ai piani aziendali ai precedenti penali. Anche se ci fidiamo di loro, sono vulnerabili agli effetti di una progettazione scadente e di un controllo di qualità insufficiente, agli incidenti e, cosa forse più allarmante, agli attacchi deliberati. Il ladro moderno può rubare di più con un computer che con una pistola. Il terrorista di domani potrebbe essere in grado di fare più danni con una tastiera che con una bomba».

Secondo diversi osservatori ed esperti militari, la capacità d’uso del cyberspazio per infliggere gravi danni materiali è già stata provata. Ubiquità, immaterialità, transnazionalità, interconnessioni di rete, anonimato e impunità sono tutti elementi delle “Information and Communication Technologies (ICT)” che attori malintenzionati possono sfruttare, contribuendo a eliminare la classica distinzione fra dimensione militare e civile. Suscitando quindi nuove preoccupazioni politiche e di sicurezza. Il costante aumento degli attacchi informatici, che vediamo ogni giorno, non è altro che la conferma empirica di questi presupposti.

Riassumendo alcune delle caratteristiche principali del cyberspazio, possiamo concludere che: a) la dipendenza dalle reti di computer per tutte le funzioni vitali nella società umana ha continuato ad aumentare senza soluzione di continuità; b) il World Wide Web e i social network sono diventati una fonte di informazioni cui nessun paese, né azienda, né la maggior parte delle persone può (o vuole) rinunciare; c) i rischi per la sicurezza informatica sono di conseguenza molto maggiori rispetto al passato.

Fino a poco tempo fa, era semplicemente inconcepibile, per chi utilizzava i computer – i «calcolatori», come erano allora chiamati in Italia –, che qualcuno intenzionalmente potesse sfruttare l’inevitabile «divario tra teoria e pratica» (cioè tra ciò per cui un sistema o un software è progettato e ciò che effettivamente fa) per finalità illegittime o anche solo per ostacolare il lavoro altrui. Se lo scopo condiviso di tutti gli utilizzatori era solo svolgere il proprio lavoro, perché preoccuparsi della sicurezza? Questa sarebbe stata soltanto d’intralcio, rendendo sistemi e processi meno efficienti. Dopo che l’esperienza ha (ampiamente) dimostrato l’ingenuità di un simile modo di pensare, è stato riconosciuto e accettato da utenti e sviluppatori di software che, se controlli e politiche di sicurezza hanno reso il loro lavoro più complesso, un cyberspazio più sicuro è una scelta obbligata.

La cybersicurezza, o sicurezza informatica che dir si voglia, è un concetto flessibile che prende forme leggermente diverse a seconda della prospettiva dell’osservatore: riguarda, allo stesso tempo, l’uso di software affidabili e senza errori, così come il corretto utilizzo di una “macchina” da parte di utenti umani. Ad esempio, è la sicurezza su cui contare mentre si è all’interno del cyberspazio, così come anche la certezza di non essere oggetto di minacce provenienti dal cyberspazio. Aggiungendo poi un lato «politico» alla sicurezza informatica, potremmo definirla come quell’insieme di pratiche, processi e politiche essenziale a mitigare abusi e conseguenze negative della società dell’informazione contemporanea.

Obiettivo prioritario della sicurezza informatica è dunque quello di proteggere le vittime degli attacchi informatici. La cybersicurezza oggi riguarda la protezione delle informazioni e dei sistemi di controllo da attori malintenzionati che tentano di compromettere sistemi e reti ricorrendo, ad esempio, a un software «nocivo». Tale software (chiamato «malware») è spesso in grado di replicarsi ed espandersi senza essere rilevato, al fine di richiedere una qualche forma di riscatto oppure produrre un danno di qualche tipo a chi è stato attaccato. Inoltre, il concetto di sicurezza informatica è onnicomprensivo: più ampio di una semplice visione tecnica della sicurezza, poiché riguarda anche attori sociali e «politiche» (policy), con i loro effetti per tutte le società nel loro complesso.

Da “Cybersicurezza. Che cos’è e come funziona” di Gabriele D’Angelo e Giampiero Giacomello, il Mulino, 272 pagine, 20 euro