L’esplosione del caso Occhionero con la trafugazione di informazioni e dati da soggetti politici, istituzionali, professionisti ed economici, merita una qualche riflessione sulle diverse implicazioni del tema cybersecurity e dei mercati economici ad essa sottesi.
L’ evoluzione e l’espansione del cyberspazio e delle piattaforme e servizi in Internet, dalle tecnologie cloud al mobile e relative app, dai social media alle piattaforme di ricerca, marketing ed ecommerce, dalla crescente tumultuosa diffusione della Web of things in questo universo digitale in continua dilatazione ha moltiplicato in dimensione geometrica i rischi, le minacce e i mercati della sicurezza cibernetica.
Serve, a mio avviso, un po’ di chiarezza pragmatica e una concretezza d’analisi che il caso implica in ordine ad alcuni quesiti in materia di sicurezza informatica: sono gravi la corruzione dei dati, la compromissione del lavoro tecnologico aziendale o istituzionale, la distruzione potenziale di infrastrutture critiche o le interferenze belliche, di intelligence, lo spionaggio politico, economico e industriale? chi li fa e a chi giovano? e come si inserisce il caso nella discussione sulla protezione dei dati e sulla privacy? perché questo caso è solo una minuscola componente delle minacce cibernetiche che attualmente e in accelerazione da alcuni anni investono governi, istituzioni economiche e finanziarie, aziende, politica e società in genere.
Se l’evoluzione tecnologica digitale e la data economy sono da considerarsi un asset primario dell’economia digitale, Reti, hardware, software e servizi digitali, la sicurezza cibernetica è davvero un problema reale e se sì come va affrontato? Se tutto è pubblico e niente è segreto all’insegna per alcuni della semplicistica formula pubblicitaria degli open data, a che servono la privacy e la protezione dei dati?
Assumiamo intanto che i diversi ‘attacchi’ censiti nelle analisi e nei rapporti internazionali che si effettuano sistematicamente sull’andamento delle minacce cyber (Symantec, Kaspersky, Clusit, ecc.) configurano l’ambito della cybersecurity come la nuova arena delle nuove filiere della cybereconomia criminale. Esiste un’economia criminale cibernetica che si articola in vari modi e che investe attori e interessi diversi di imponente rilevanza: dallo spionaggio politico e istituzionale allo spionaggio industriale, dalle informazioni economico-finanziarie dei mercati borsistici ai dati previdenziali e sanitari, dai dati e dalle informazioni militari e di intelligence agli investimenti in strutture e tecnologie preventive e difensive, dalla qualità della concorrenza digitale al nuovo mercato delle assicurazioni digitali. Dunque la controfaccia dell’economia digitale è la nuova economia criminale digitale.
I crimini informatici non corrispondono da tempo alla visione romantica dello hacker geniale che si industriava a infiltrarsi nei sistemi informativi e nei database cruciali dei Paesi, USA segnatamente, nei regni della finanza, dei servizi segreti, degli apparati militari, o delle utility pubbliche.
Secondo lo schema GAO del NIST 800-82, del Dipartimento della sicurezza nazionale statunitense, possibili attacchi a infrastrutture critiche quali energia, acqua, impianti chimici, telecomunicazioni, strade hanno una finalità distruttiva tesa a depotenziare gli Stati Uniti e possono provenire da governi nazionali che si afferma essere i soli al momento a possedere le tecnologie mature per questo tipo di attacchi, terroristi, spie industriali e gruppi criminali organizzati, hacker. In generale la posizione statunitense è che la cybersecurity è responsabilità di tutti pur nell’imponente attivazione di strutture e board delegati a occuparsene.
Possiamo osservare, dunque, per cominciare, che il depotenziamento americano è un obiettivo economico di ovvia rilevanza. E, dunque, ci confrontiamo con una prima dimensione economica statuale di natura globale. La cyberwarfare, lo stato di belligeranza cibernetica ha una faccia militare e una civile da approfondire. Abbiamo saputo cosa è successo alla Deutsche Telekom tedesca che nel novembre scorso ha lasciato sconnessi centinaia di migliaia di tedeschi per un attacco botnet che l’Ufficio della sicurezza tedesco e i responsabili del gigante delle telecomunicazioni europeo affermano essere stato parte di un attacco su larga scala, globale al settore delle telecomunicazioni non solo tedesco. Ma sappiamo anche da tempo che attacchi massicci alle grandi piattaforme social hanno sottratto masse cospicue di dati.
In questi casi, l’interruzione di un servizio vitale di telecomunicazioni e la sottrazione di informazioni inerenti la vita personale e sociale di individui di varia età, sesso, abitudini e propensioni politiche, religiose, sociali, relazionali, sessuali, ecc. configurano tipi diversi di danno o di vantaggio economico: responsabilità aziendale verso gli utenti da un lato e patrimonio di dati succosi per la profilazione sociale di masse di persone, in stati, continenti e territori diversi, in vendita per scopi vari.
Spionaggio industriale, sottrazione dati e blocco o rallentamento dei sistemi informativi aziendali insistono sempre sulla dimensione economica e di concorrenza degli attori in campo, e, ancora, i furti di identità sono merce pregiata per il traffico di denaro sporco e l’Internet nero. Si vendono pacchetti di credenziali di account per carte di credito, servizi online, numeri di cellulari, numeri di telefoni fissi, email, siti di intrattenimento e di giochi, indirizzi IP.
In tutto ciò c’è chi vende e chi compra. Si vendono dati e attacchi, si comprano dati e attacchi. E’ il mercato della cybercriminalità.
A ragione di ciò, il mercato della cybersecurity globale in termini di investimentii per la stessa sono stimati crescere da 106.32 miliardi di dollari nel 2015 a 170.21 miliardi nel 2020, a un tasso annuale composto (CAGR) del 9,8%.
Non tocchiamo qui la dimensione etico-sociale della sfida globale in essere. Ci limitiamo a segnalare che a valle di questo mercato globale si situano interessi semplici dei semplici cittadini, dei loro interessi economici e sociali come risultato dell’economia globale. Basti ricordare che l’informazione finanziaria e sociopolitica è alla base delle valutazioni economiche delle società di rating e di consulenza finanziaria inerenti gli stati, le variabili statistiche per debito sovrano, le banche, i governi locali, le aziende, ecc.
Vale ancora ricordare che la liberalizzazione dei servizi di telecomunicazioni, infilatasi all’ultimo momento attraverso il CETA e l’ingenua affermazione che si tratta di liberalizzazione del commercio old economy insomma, lascia stupiti della disattenzione inerente l’evoluzione della liberalizzazione dei servizi e dei flussi di informazione economico finanziaria postulati da altri strumenti negoziali internazionali, in apparente battuta d’arresto, quali il TTIP e il TiSA.
Nella tavola rotonda che abbiamo tenuto alla Camera dei deputati il giugno scorso promossa dall’Università di Tor Vergata e altri partner pubblici e privati, abbiamo richiamato implicazioni e rischi di una liberalizzazione di servizi e flussi di dati economico e finanziari, in assenza di norme, criteri e soluzioni adeguate da parte dell’Unione europea nell’ambito dei lavori sul Mercato unico digitale e della Direzione Trade che dei trattati in oggetto si occupa con totale esclusività.
E, dunque, come attrezzarsi, in generale per la sicurezza cibernetica, per rispondere a una sfida globale per la quale, va detto subito, non esistono soluzioni tecnologiche definitive, in presenza di un’economia criminale che è di gran lunga più finanziata dell’economia civile digitale.
Va intanto chiarito e fuori di polemica che la strategia europea contempla nei diversi stati membri, inclusa l’Italia, piani strategici e operativi per la sicurezza informatica, costituzione di CERT e CSIRT quali task force d’intervento rimediale in ambito pubblico e privato oltre a forze di polizia nelle diverse articolazioni di analisi e intelligence per scopi di versi, incluse le reti terroristiche.
Va anche detto che la piattaforma ENISA/NIS della UE lavora attivamente su vari fronti di implementazione.
Va aggiunto che la normativa è un colabrodo omissivo per la cybersecuriry, cominciando dal discutibile recente nuovo regolamento europeo sulla privacy che sarà operativo dal 2018 e richiede comunque e obbligatoriamente nuove competenze e responsabilità gestionali dei dati.
Va ancora registrata l’attenzione NATO che sul tema, nel luglio 2016, comunica che gli Alleati hanno riaffermato il mandato difensivo alla stessa e riconosciuto che il cyberspazio è dominio di operazioni in cui la Nato deve difendersi tanto efficacemente quanto nei domini dell’aria, di terra e di mare.
Ciò assieme alle posizioni formali statunitensi e cinesi invita ad azioni di cyberdiplomacy che al momento nel contesto geopolitico disastroso attuale sembrano essere obiettivi lontani, quasi allucinazioni (si veda il nuovo fronte di politica commerciale digitale aperto dalla Cina con la recente norma sulla sicurezza e la privacy che dal 2018 sembra prevedere addirittura il diritto della Cina ad accedere alle basi di dati e ai sorgenti dei venditori di servizi digitali quali Microsoft e altri giganti, OTT.)
Va infine rilevato che siamo in presenza di uno skills shortage, una carenza di professionalità del settore, che non sono affatto o solo di natura tecnologica ma, prima ancora di natura economico gestionale e giuridico legale.
Coordinamento di iniziative e strutture, nazionali ed europee, diplomazia cibernetica, partenariato pubblico e privato, multidisciplinarità tecnologica, economica e giuridica, condivisione di informazioni e conoscenza, ricerca e sviluppo, formazione di nuove competenze e professionalità sono i must della cybersecurity e dei suoi mercati.
Servono dunque, a tale proposito, interventi di sistema sulla formazione professionale ai diversi livelli e per l’alta dirigenza pubblica e privata in materia di cybersecurity e privacy, interventi che implicano conoscenze e prassi nei comportamenti singoli e corporate adeguati nell’analisi, nella valutazione e nella gestione del rischio cibernetico.
La prospettiva estremamente complessa di un’offerta formativa su cybersecurity e privacy, non estemporanea, non solo accademica, teorica e nozionale ma concretamente operativa ha trovato una prima risposta nel recente avvio di un piano nazionale in materia di cybersecurity, cyberthreat e privacy promosso dall’Università degli Studi di Roma, “Tor Vergata” in partenariato con altre università e soggetti pubblici e privati.
Il piano è aperto alle diverse collaborazioni pubbliche e private, purché coerenti con una visione multidisciplinare tecnologica, economica, giuridica e sociale: diverse filiere pubbliche e private, diversi livelli e scopi di formazione, conoscenza, sensibilizzazione, diverse soluzioni incluse la ricerca e lo sviluppo.
Le nuove professionalità della cybersecurity assieme a nuove soluzioni tecnologiche e normative in chiave giurisdizionale vanno attivate in sede locale e sovralocale.
Queste alcune riflessioni a margine dell’inchiesta Occhionero che ha scoperchiato un vaso di Pandora spesso tenuto sottotraccia, forse per evitare inutili allarmismi: allarmi no ma azioni concrete sì.
