Cybersecurity, l’estensione del dominio della protezione

L’anno scorso si sono aperti scenari che saranno lo sfondo sul quale le organizzazioni dovranno affrontare la sfida data da tecnologie sempre più pervasive e decisive, e la bilancia sarà tenuta dalla sicurezza, nel senso più ampio del termine.

Proprio per questa ampiezza potrebbe essere giunto il momento in cui il termine cybersecurity acquisirà un vero e autonomo significato, invece di apparire come il rebranding della sicurezza informatica.

Il senso del termine cybersecurity

Il NIST, National Institute of Standard and Technology statunitense, descrive la cybersecurity come “il processo di protezione delle informazioni attraverso la prevenzione, rilevazione e risposta agli attacchi”. In Wikipedia è bollata di fatto sinonimo di sicurezza informatica. Su queste premesse il settore non aveva necessità di un ulteriore vocabolo.

Eppure oggi potrebbe essere il momento di un neologismo capace di descrivere una zona grigia della sicurezza proprio il prefisso cyber potrebbe offrire una soluzione. Da una parte si riferisce alla costruzione di macchine in grado di riprodurre le funzioni del cervello umano e più in generale di un sistema capace di autoregolarsi attraverso input e output di comando e di controllo idonei a sviluppare alti livelli di automazione di attività complesse.

Un oggetto cyber si dovrebbe idealmente porre a un livello superiore rispetto a quelli tipicamente informatici, cioè destinati a conservare e a permettere elaborazioni delle informazioni da parte di un operatore.

Nel modello Data-Information-Knowledge-Wisdom, si dovrebbe collocare sul terzo scalino, sommando le esperienze, le idee, i punti di vista i valori e i giudizi individuali di un ente. In questo contesto dovrebbero operare i cosiddetti “smart object” perché nelle loro premesse di gestione dell’informazione dovrebbero contemplare, magari in forma semplificata, queste variabili.

L’utente, di conseguenza, è sollevato dall’onere di analizzare le informazioni, ma riceve un quadro di una situazione già interpretata sulla base del quale deve prendere una decisione (a volte già suggerita dal sistema stesso).

Alcuni esempi sono rappresentati dai sistemi che dotati di algoritmi intelligenti come molti oggetti appartenenti al mondo IoT (auto intelligenti, smart tv e impianti di servizi essenziali come le reti elettriche che adottano lo smart metering integrato ad analizzatori di big data), strumenti software di analytics, scoring, trading automatizzato e in generale il mondo delle piattaforme dedicate alla gestione dei “big data”.

L’altra faccia di cyber è legata al termine cyberspace, coniato nel 1982 dallo scrittore William Gibson nella sua opera “La notte che incendiammo Chrome”, poi entrato nel linguaggio comune con il successivo romanzo “Neuromante” in cui è “un’allucinazione vissuta consensualmente ogni giorno da miliardi di operatori legittimi… Una rappresentazione grafica dei dati estratti dalle memorie di ogni computer del sistema umano…”.

Il dominio della cybersecurity

A questo punto potremmo avere necessità di descrivere la protezione di qualsiasi oggetto fisico o virtuale connesso alla rete e di tutti quelli strumenti deputati generare nuova conoscenza attraverso l’elaborazione autonoma e automatica dell’informazione. Questo potrebbe essere il dominio della cybersecurity che finirebbe per incorporare completamente la sicurezza informatica estendendosi poi verso l’Internet delle Cose e quindi comprendendo i sistemi informatici di oggetti il cui scopo primario è fornire altre funzionalità (in un termostato smart l’elaborazione delle informazioni è il mezzo e non il fine).

Rispetto alla sicurezza delle informazioni, invece, la cybersecurity finirebbe per sovrapporsi in parte perché sarebbero escluse dal suo ambito le informazioni analogiche e su supporti fisici, ma si spingerebbe ad affrontare il tema della protezione della conoscenza che soltanto di recente viene delegata al “non umano”. Chi ha profonda conoscenza di standard e best practice in materia apprezzerà come non ci siano controlli o contromisure specifici per tutelare quei sistemi che elaborano informazioni per poi suggerire delle scelte. Soprattutto non esistono strumenti per proteggere noi stessi da loro.

Abbiamo parlato di scenari. Alcuni sono legati alla semplice criminalità informatica per la quale è facile prevedere nuove recrudescenze su almeno due fronti. Il primo porterà ad attacchi mirati verso le piattaforme di scambio delle cryptovalute che stanno diventando appetibili in termini economici e probabilmente sono meno “meno ostiche” di quelle dei tradizionali sistemi finanziari. Il secondo riguarderà la caccia a “informazioni privilegiate”, quindi basi dati molto articolate, come nel caso dell’agenzia di credito Equifax, oppure molto verticali, come nell’attacco a Unicredit e ai 400 mila titolari di finanziamenti, o anche notizie utili alla speculazione finanziaria, come nell’intrusione nei sistemi della SEC statunitense.

Altri temi legati legati a terrorismo e hacktivismo, peraltro in guerra tra loro, potranno emergere. Soprattutto i primi sono connessi alla possibilità che un attacco possa scatenare un’elevata risonanza mediatica e colpire l’immaginario collettivo. Nello specifico per i terroristi sono molto più “efficaci” le immagini di un furgone che travolge i passanti sulle Ramblas di Barcellona piuttosto che quelle di un malware che mette in crisi in sistema ospedaliero inglese. Tuttavia c’è uno scenario particolare con il quale le organizzazioni di tutto il mondo dovranno fare i conti.

Una guerra con strani soldati

Se guardiamo retrospettivamente le cronache del 2017 scopriamo che il mondo è in guerra. Manca il frastuono del campo di battaglia, il sibilo delle pallottole e i boati delle esplosioni, perché su questo particolare terreno di scontro le armi non fanno rumore. Stiamo parlando del cyber warfare in cui eserciti contrapposti lottano disperatamente per accaparrarsi il vantaggio della posizione che gli potrebbe consentire di conquistare la vittoria in una manciata di secondi.

Gli obiettivi sono gli accessi ai sistemi informatici del nemico deputati alla gestione delle infrastrutture critiche soprattutto quelle elettriche, perché se stacchi la luce per un tempo abbastanza lungo rispedisci al medio evo qualsiasi paese post industriale. Unità specializzate, invece, predispongono malware da iniettare in quei sistemi per azzerarne l’operatività e talvolta anche i comuni cittadini vedono i bagliori della battaglia.

Per esempio quando l’Ucraina accusa Mosca di avere colpito la sua rete elettrica con con Black Energy e Industroyer oppure di avere tentato di mettere in ginocchio il suo sistema economico con NotPetya.

Allo stesso modo gli Stati Uniti puntano il dito verso la Corea del Nord a proposito di WannaCry. È proprio la gente comune, invece, l’obiettivo dell’altro fronte di guerra, per il momento quando veste i panni dell’elettore. Ci troviamo nel cosiddetto “information warfare”.

Il Russiagate sta ampiamente dimostrando come i social media possano essere utilizzati come potenti strumenti per influenzare l’opinione pubblica. Tuttavia domani gli stessi canali potrebbero essere sfruttati per scatenare il panico tra la popolazione civile attraverso fake news confezionate ad arte.

I difensori siamo noi

Adesso è tempo di parlare degli eserciti perché la realtà che dobbiamo affrontare rappresenta “la madre di tutte le guerre asimmetriche”. Sul fronte degli aggressori si trovano gruppi paramilitari, che probabilmente verrebbero militarizzati in caso di “scontro aperto”, sul quello dei difensori invece si schierano i civili.

Ebbene si, la prima linea di difesa è rappresentata dal personale destinato a gestire la sicurezza dei sistemi di decine di aziende come Terna, Enel, ENI, Telecom. Provate a immaginare se durante la Prima Guerra Mondiale a respingere gli austro-ungarici sul Piave ci fossero stati i dipendenti della Fiat, della Pirelli, della Montecatini guidati dai rispettivi dirigenti. Non basta perché in questo tipo particolare di conflitto viene ribaltato uno degli assiomi di tutte le guerra, quello secondo cui il vantaggio è di chi si difende.

Nel contesto del virtuale la condizione favorevole è quella dell’attaccante perché può colpire ovunque senza essere notato immediatamente. Il fronte da proteggere sembra essere infinito se pensiamo all’interconnessione tecnologica tra gli operatori e i loro partner. Volendo penetrare i sistemi del principale operatore energetico di un paese, molto probabilmente il primo attacco sarebbe indirizzato al più oscuro dei suoi fornitori.

Possiamo immaginare che riflessioni non tanto differenti siano quelle che hanno spinto molte istituzioni ha mettere mano a normative specifiche.

Per primi sono arrivati gli Stati Uniti che sotto la presidenza Obama prima e Trump poi hanno di fatto imposto a tutte le agenzie federali l’adozione dell’apposito framework in materia di cybersecurity sviluppato dal National Institute of Standard and Technology. Sempre da oltre oceano è arrivato un altro segnale forte con la firma del decreto presidenziale che inibisce tutte le strutture governative dall’adottare i sistemi di sicurezza sviluppati dalla russa Kaspersky, evidentemente considerata un pericolo per la sicurezza nazionale dopo il caso del leak NSA.

A ruota ma con tempi decisamente più lunghi si è mossa anche l’Unione Europea, che ha sfornato il Regolamento Europeo in materia di Protezione dei Dati e la Direttiva NIS (Network and Information Security), entrambi i provvedimenti applicativi dal maggio del 2018. Se fino a ieri la sicurezza della informazione e la cybersecurity non erano prese in considerazione per amore, nei prossimi anni lo saranno per forza.

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here