Il quadro

AssetProtection. Roadmap e in-coerenze sulla sicurezza online

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Siamo in attesa di un testo di legge sulla sicurezza in Rete che speriamo possa essere la pietra miliare di un percorso effettivo delle istituzioni verso una più sana forma di coerenza.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

La definizione del termine coerenza è la costanza logica o affettiva nel pensiero e nelle azioni. Ovvero, per dirla in modo più semplice, l’attuazione pratica, senza forti discrepanze, di un pensiero. Ora, se è vero che gli ambiti sociali, economici e politici possono essere fortemente influenzati anche dalla sicurezza delle informazioni, nel senso più esteso del termine, e se è vero che tutti i principali attori sostengono che la sicurezza delle informazioni debba essere tutelata per finalità non solamente morali, ma anche per salvaguardare interessi economici, a volte particolarmente cospicui, perché il numero dei casi in cui si dice una cosa e se ne fa un’altra sono così tanti?

Cominciamo col discutere un tema già trattato da Key4Biz, in riferimento alla sentenza n.3311/17 dell’8 febbraio di quest’anno deliberata dalla Corte di Cassazione, sezione civile (vedi l’articolo ‘La Cassazione: senza prova del danno, nessuna sanzione per lo spam’).

Un avvocato riceve nella propria casella di posta elettronica, il cui indirizzo è pubblicato sul sito dell’ordine professionale, alcune e-mail (indesiderate) provenienti da un gestore telefonico. Richiede all’ordine professionale un risarcimento per danni invocando le prescrizioni dell’art. 11 del D.lgs.196/03 relativo alla privacy. La sentenza respinge la richiesta sostenendo che una lesione ingiustificabile del diritto alla privacy è tale solo se sussiste la mera violazione delle suddette prescrizioni. In sostanza, nel caso specifico, la mera violazione sarebbe considerata tale a fronte di un effettivo danno che sembra però non sussistere e l’accaduto risulterebbe quindi riconducibile alle consuete controindicazioni derivanti dall’utilizzo di un PC.

A tal riguardo, senza discutere la sentenza, mi domando se non vi sia un certo attrito, quasi una sorta di contraddittorietà, tra alcuni principi, spesso di carattere morale, invocati dal Garante per la Privacy – in alcuni casi reclamati con sanzioni importanti – e l’interpretazione della stessa normativa in ambito civile.

Secondo tema da discutere: alcuni hacker (forse) russi hanno attaccato – con successo – la Farnesina introducendosi nel sistema informatico (vedi l’articolo ‘Cybersecurity, ‘Attacco hacker russi alla Farnesina con Gentiloni ministro’).

Le autorità precisano che i dati sensibili e secretati sono rimasti al sicuro. Ci sono però alcuni effetti collaterali sulla questione che meritano di essere presi in considerazione, anche se la tendenza generale è di minimizzarli.

L’evento che si discute in questi giorni si riferisce ad un periodo pregresso clamorosamente troppo in là nel tempo. E’ accettabile che si individui una violazione in un sistema dopo mesi? Non si riesce a comprendere con chiarezza quali siano le classi di informazioni eventualmente sottratte.

Qualche testata online ironizza asserendo che l’attacco ha quindi riguardato solamente la posta elettronica della Farnesina. Ma la sensazione è che in realtà le indagini non siano in grado di stabilire con chiarezza quali informazioni, tra quelle meno segrete, abbiano perso di riservatezza. Ed in qualsiasi sistema di sicurezza, è accettabile un’approssimazione di questo genere?

Poi c’è persino chi ironizza sulla questione degli attacchi russi, sostenendo scherzosamente che tanto oramai il Cremlino è considerato responsabile di qualsiasi incursione (si vedano le vicende relative alla presunta contaminazione delle elezioni politiche degli USA e della Germania).

Peccato che qualcuno tra i qualcuno ricopra una carica istituzionale politica e abbia il dovere di analizzare con serietà il panorama internazionale. E’ valutabile come adeguata così tanta leggerezza, specie in caso di equilibri particolarmente precari che certamente non riguardano solo la Russia? Oppure i propri interlocutori – noi, il popolo – sono così sciocchi o irrilevanti da meritare di essere esclusi anche dal tavolo del ragionamento?

Terzo tema. In questa rubrica abbiamo ripetuto a squarcia gola l’importanza del ruolo della persona nel garantire la sicurezza dei sistemi. E tutto sommato è possibile constatare con piacere che l’attenzione mediatica sulla questione comincia a diventare rilevante. In rete se ne parla sempre di più, c’è una fioritura in atto di centri del sapere specializzati in security. Anche le università sembra si stiano attivando.

Ma qualcuno ha pensato al gap culturale generato in anni di disattenzione ed incuria? Quegli anni nei quali la sicurezza era comunque un obbligo e nessuno ha acquisito la responsabilità di sfornare professionisti in grado di gestire anche le questioni più semplici in questo ambito? Interrogando chi si occupa di selezione del personale, non sarà difficile ascoltare racconti sulle risposte in fase di colloquio tecnico: sembrano uno strano mix di comicità e assurdità, quasi da scriverci un libro. Adesso, chi si rimbocca le maniche ed escogita una strategia compensativa e risolutiva?

La quarta questione, contrariamente alle altre, riguarda invece una storia a lieto fine. Laura Boldrini, Presidente della Camera dei Deputati, ha affrontato in modo energico il tema delle bufale on-line inquadrando chiaramente (e non in modo fumoso come spesso le istituzioni hanno fatto al riguardo) obiettivi e conseguenze.

Non è più tempo di guardare il web come un mezzo. E’ anche contenuti, informazione, e come tale chi vi opera – soprattutto i social network – deve agire con responsabilità: sia gli utenti, sia gli operatori. Il digitale non è più una questione di nuova frontiera. E’ la società di oggi, è economia, è politica, è cultura e ha il diritto ed il dovere di garantire un adeguato presidio e lo sviluppo auspicabile: insomma, deve essere sicuro.

Siamo in attesa di un testo di legge che speriamo possa essere la pietra miliare di un percorso effettivo delle istituzioni verso una più sana forma di coerenza. Perché le storie che abbiamo analizzato sopra lasciano un po’ d’amaro in bocca.