Cybersecurity: siamo in salute o rischiamo la rianimazione?

La nonchalance riservata al tema della cybersecurity somiglia molto all’atteggiamento un po’ superficiale tenuto dalle autorità governative all’insorgere della pandemia del coronavirus.

La drammaticità dell’emergenza sanitaria sembrerebbe destinata ad emarginare qualsivoglia dissertazione su temi “più futili”, ma purtroppo i rischi sul fronte digitale non sono meno tragici e prioritari soprattutto in questo momento storico in cui tutto deve funzionare senza intoppi di sorta.

Dalle nostre parti la percezione del problema è deformata da una presumibile ridotta competenza ed esperienza a proposito del mondo sotterraneo della Rete (che porta a confondere piccoli teppisti – nobilitati dall’etichetta “hacktivisti – con i mercenari al servizio del crimine organizzato, del terrorismo e dei potentati economici, politici e militari) e dello scenario bellico tutt’altro che futuribile in cui si agitano da anni strutturate formazioni “State-sponsored” (incentivate dai Governi o a loro comunque gradite) e “State-controlled” (ossia controllate direttamente da questo o quello Stato).

La “Relazione sulla Politica dell’Informazione sulla Sicurezza” non fa cenno al pericolo di reggimenti e divisioni armate di computer e software pronte a paralizzare le infrastrutture critiche (energia, telecomunicazioni, trasporti, finanza e sanità). Si descrive in modo didascalico il non mai abbastanza temuto “5G” e, dopo un breve cenno al rischio di spionaggio, si dimentica di ricordare che il proprietario di certe tecnologie ha il ben più temibile potere di “staccare la spina” quando e come vuole, mettendo in ginocchio l’Italia e qualunque altro Paese non autonomo sul piano delle risorse digitali.

Si ammucchiano le statistiche e certe relazioni a consuntivo ricordano le vecchie ricerche scolastiche che la mia generazione faceva ritagliando i libri e incollandone le illustrazioni su fogli protocollo.

Si disegna un “ecosistema cyber” nella cui mappa si respira il desiderio di non scontentare nessuno, di lasciare a tutti un ruolo, di non riservare (cosa a mio avviso doverosa) la competenza ad un’unica entità. Il controllo cibernetico del Paese dovrebbe somigliare ai comandi di un aeroplano che sono nelle mani solo del pilota e non di tutti quelli che sono a bordo, chiamati – se del caso – ad attenersi al rispetto di specifiche istruzioni impartite qualora ve ne sia necessità.

La Relazione presentata al Parlamento all’inizio di marzo è senza dubbio rassicurante e i destinatari (che è facile immaginare “digiuni” su certe tematiche impegnative anche per gli esperti) hanno presumibilmente plaudito nel sapere che “l’Italia ha predisposto una risposta nazionale” alla minaccia incombente.

Come diceva Guzzanti nelle vesti del predicatore di Quelo “la risposta è dentro di te e però è sbagliata”.

Cosa succederebbe mai se – in un momento di fragilità estrema come quello che stiamo vivendo – il Paese finisse nel mirino di un attacco cibernetico? Basteranno le slide, i convegni, i buoni propositi, i documenti programmatici a difenderci?

Chi vuole approfondire davvero l’argomento forse è meglio che vada a leggere il meno confortante rapporto della “Cyberspace Solarium Commission”, istituita negli Stati Uniti dalla legge sugli stanziamenti per la difesa del 2019 e ispirata ai modelli che circolavano negli anni della guerra fredda per formulare raccomandazioni per prevenire un conflitto nucleare.

Il documento – scevro dai nostrani “ghe pensi mi” – rimarca che “un grave attacco informatico alle infrastrutture critiche e al sistema economico della nazione creerebbe caos e danni duraturi superiori a quelli provocati dagli incendi in California, dalle inondazioni nel Midwest e dagli uragani nel sud-est”. Il deputato repubblicano Mike Gallagher, commentando il Rapporto in un evento pubblico mercoledì della scorsa settimana, ha spiegato in maniera fin troppo chiara che “È come fare la Commissione sull’11 settembre prima che accada l’11 settembre. Vogliamo evitare quella situazione”.

Nella stessa occasione, il senatore Angus King, l’altro copresidente della Cyberspace Solarium Commission, ha dichiarato che gli Stati Uniti non hanno attualmente adottato una politica di dissuasione efficace per scoraggiare attacchi informatici ostili. Il suo “Siamo stati uccisi da mille tagli” induce ad una seria riflessione. Quanto è stato già speso e quanto sarà ancora investito in Italia per questo tipo di sicurezza?