In vista dell’imminente entrata in vigore del Regolamento generale sulla protezione dei dati personali (GDPR), vale la pena riflettere sull’aspetto cruciale della sicurezza, e se (e come) il cosiddetto approccio orientato al rischio alla base di questa nuova legge sia in grado di favorire l’avvio di una nuova stagione di investimenti nella sicurezza delle informazioni.
Il Gdpr e l’approccio basato sul rischio
Un primo punto molto importante da evidenziare è che approccio basato sul rischio non significa mettere i nostri dati a rischio, o creare incertezza giuridica. Al contrario, il GDPR in un certo senso prende definitivamente atto, molto più di quanto non facesse la Direttiva o il nostro Codice nazionale, che gli eventi avversi sono per loro natura incerti e prova a fornire la migliore certezza giuridica possibile, per strategie e investimenti, anche in presenza di queste incertezze. Eliminare qualsiasi rischio per via prescrittiva è impossibile, dal momento che vi sono alcune verità di fondo sulla sicurezza che rendono questo obiettivo una “missione impossibile”, e queste verità sono così saldamente radicate.
Proviamo dunque a esaminare ciascuna di queste verità basilari sulla sicurezza e le loro conseguenze in termini di strategie di investimento per le imprese e anche in termini di politica pubblica.
Prima verità: si può evitare il ripetersi di eventi avversi accaduti in passato
Prima verità: (in linea di principio) possiamo conoscere tutti gli eventi avversi accaduti in passato e intervenire per evitare che essi si ripetano in futuro.
Prima conseguenza: la migliore (potenziale) strategia di sicurezza delle informazioni è una politica di natura pubblica che consiste nella raccolta centralizzata di tutte le informazioni relative agli incidenti del passato, ovunque si siano verificati, e nell’adozione di misure a livello tecnico e (soprattutto) organizzativo che impediscano ovunque la loro reiterazione. Questo obiettivo, come è di tutta evidenza, richiederebbe l’azione coordinata di molti attori: i titolari che avrebbero il compito di scoprire tutti gli eventi avversi, indagando sulle loro cause, i collettori centralizzati (i cosiddetti CERT) che dovrebbero raccogliere le informazioni su questi eventi, diffondere la conoscenza e trovare le soluzioni appropriate perché ciascun evento non si ripresenti in futuro.
Ecco gli interessi che impediscono l’applicazione della migliore strategia di sicurezza
Questa strategia di sicurezza sarebbe la più efficace possibile contro gli incidenti accaduti in passato. Ma non possiamo dire che questa catena di trasmissione della conoscenza sia oggi pianamente in azione, e la ragione non è difficile da intuire: esistono significativi interessi privati dei titolari a non divulgare gli incidenti che si verificano in casa propria (in primis, la reputazione), e d’altro canto esistono non minori interessi pubblici che ostacolano questa disclosure (innanzitutto, perché le vulnerabilità non ancora scoperte possono essere utili per la persecuzione dei reati). Nessuno degli attori ha convergenti interessi a far funzionare questa politica pubblica, e dunque le strategie in materia di sicurezza delle informazioni, finché esisteranno questi interessi divergenti, saranno prevalentemente di natura privata e le scelte in ordine agli investimenti saranno rimesse alle scelte dei singoli titolari, dando luogo a un mosaico di soluzioni non coordinate e non omogenee. Potenzialmente potremmo fare meglio, ma non abbiamo ancora innescato incentivi sufficienti per creare questa catena di trasmissione della conoscenza: manca di fatto una orchestrazione generale.
Il Gdpr e la mancanza di trasmissione della conoscenza
Un tentativo di creare un’orchestrazione di sicurezza delle informazioni è rappresentato storicamente dalle leggi sulla protezione dei dati personali, dal momento che la sicurezza è una parte essenziale dei trattamenti e deve essere tenuta in debita considerazione dai titolari per motivi che non sono puramente privati, ma sono anche nell’interesse dei soggetti interessati. Le leggi nazionali indicano infatti una serie di azioni da intraprendere al fine di mitigare i rischi per i diritti e le libertà degli interessati. Poiché però il legislatore non può sapere come si sono verificati tutti gli incidenti di sicurezza del passato (data questa intrinseca mancanza di trasmissione della conoscenza), le norme hanno spesso individuato un numero limitato di elementi di sicurezza “minimi” su cui tutti possono facilmente essere d’accordo, semplici da applicare e da verificare. Ciò avrebbe dovuto innescare, secondo la logica della norma, almeno un livello di consapevolezza di base sulle questioni legate alla sicurezza dei dati (in particolare di quelli personali) e stimolare investimenti in sicurezza. Eppure, l’esperienza ci ha dimostrato che questo stimolo è stato insufficiente per i titolari più avversi alla sicurezza (per molte ragioni che vanno dalla mancanza di consapevolezza, alle limitazioni di budget), i quali hanno investito il minimo possibile in sicurezza in tutti questi anni, mentre è stato non decisivo per i titolari più sensibili alla sicurezza, che hanno investito in sicurezza più perché consapevoli del valore del loro patrimonio di informazioni che per adempiere a un obbligo di legge. Una dicotomia moto radicale, difficile da riequilibrare, che il GDPR vuole provare a superare. E questo ci porta alla seconda verità sulla sicurezza.
Seconda verità: non possiamo conoscere tutti i futuri incidenti di sicurezza
Per quanto semplice possa sembrare, questo è un punto molto importante e con una serie di implicazioni pratiche. Se fossero noti tutti i modi in cui gli eventi avversi possono verificarsi, una sorta di impronta digitale di qualsiasi potenziale incidente, questi si manifesterebbero da soli e immediatamente, senza sforzo da parte dei titolari. Ma questa opzione richiederebbe la conoscenza perfetta di ogni possibile uso, buono e cattivo, di tutti i programmi informatici e una classificazione molto dettagliata di qualsiasi azione in azioni permesse e azioni pericolose.
Questo è ovviamente impossibile, e alla fine richiederebbe un monitoraggio di ogni nostro comportamento. Il contrario della libertà. Quindi, se vogliamo (e certamente vogliamo) salvaguardare la libertà delle persone nell’uso di programmi e applicazioni informatiche, il prezzo che dobbiamo pagare è un margine di mancata conoscenza degli eventi avversi. Siamo in un certo senso costretti a vivere con una dose di incertezza e insicurezza. Questo è il prezzo della libertà digitale: è inevitabile e dobbiamo imparare a conviverci. Ma questo non significa che non vi sia alcun margine di miglioramento o che non sia possibile ridurre il livello di incertezza. E questa è la vera sfida del GDPR: il miglioramento costante. Ma per capire questa sfida, come possiamo arrivare a questo obiettivo e attraverso quali investimenti in sicurezza, dobbiamo ricordare un’altra verità.
Terza verità: ci sono incidenti di sicurezza prevedibili e altri che non lo sono
Terza verità: ci sono incidenti di sicurezza futuri che possono essere previsti e prevenuti, e ci sono incidenti futuri che sono essenzialmente inconoscibili, al di là di ogni sforzo umano.
Questo è un risultato della logica formale (la sicurezza, da un punto di vista di logica formale è in fondo un irraggiungibile desiderio di completezza), e di nuovo ha implicazioni molto pratiche in termini di strategie e politiche di investimento.
Siamo pratici e immaginiamo che venga scoperto in questo istante un nuovo incidente di sicurezza, mai sperimentato prima. Ci sono due opzioni: o era prevedibile, oppure no. Naturalmente, se sei un interessato e i tuoi dati sono coinvolti nell’incidente, molto probabilmente sosterrai che l’evento avverso era prevedibile, e se sei un titolare, altrettanto probabilmente dirai che il nuovo incidente appartiene alla classe degli eventi avversi inconoscibili (che sfortunatamente esiste).
In assenza di regole, questo gioco di forza potrebbe generare il rischio di turbolenze e incertezze permanenti, con il rischio peraltro che prevalga l’opinione del soggetto più forte, il titolare, con la conseguenza che il livello complessivo di sicurezza delle informazioni si ridurrebbe. Ed è proprio questo rischio che il GDPR intende scongiurare attraverso il ben noto nuovo principio dell’accountability, che dovrebbe indurre i titolari a atteggiamenti più responsabili e che potrebbe rappresentare una nuova spinta concreta verso maggiori investimenti in sicurezza. Ma dobbiamo trattare questo concetto con grande cura e con un approccio manageriale perché, senza di esso, l’accountability potrebbe non raggiungere l’obiettivo sperato.
Innanzitutto è bene osservare che la sola enunciazione del principio non basta per assicurarne l’applicazione. La responsabilizzazione dei titolari verso un atteggiamento più attento alle ragioni degli interessati sarà una conquista complessa da raggiungere nel tempo attraverso opportune azioni di incentivo. Innanzitutto, l’accountability dei titolari è sicuramento un elemento necessario, ma non sufficiente: serve anche una accountability dei policy maker.
Da un lato, abbiamo bisogno della responsabilità dei titolari, perché nessun altro può meglio dei titolari conoscere il contesto (un termine menzionato nell’articolo 32 del GDPR) in cui si effettua il trattamento e valutare i rischi per le persone con cui quel titolare si relaziona, e nessun altro può meglio dei titolari capire come si è verificato un incidente di sicurezza e notificarlo prontamente alle Autorità, in modo da costruire quella catena di trasmissione della conoscenza, che è così importante per impedire la reiterazione di eventi avversi già noti, e che ancora manca.
D’altro canto è anche necessaria la responsabilità dei policy maker, che si sostanzia nell’elaborazione continua di indicazioni concrete sui tipi di rischi che i titolari devono affrontare con i loro investimenti in sicurezza, e sulle aree in cui è bene concentrare gli sforzi economici, tecnici e organizzativi nella ricerca di futuri eventi avversi. Solo se tutti gli stakeholder si siedono attorno a un tavolo e definiscono le regole del gioco in modo molto chiaro, nessuno può affermare in seguito che l’evento avverso fosse inconoscibile. E in questo senso l’aumento delle sanzioni pecuniarie è giustificato a livello di sistema come meccanismo di deterrenza contro uno scarso atteggiamento cooperativo da parte dei titolari.
Per certo, le Autorità per la protezione dei dati europee, riunite nel Gruppo di lavoro art. 29, hanno lavorato molto scrupolosamente negli ultimi anni in preparazione dell’entrata in vigore del GDPR. A partire dal parere sulle tecniche di anonimizzazione[1] e fino al parere sulla valutazione dell’impatto[2]. Ogni volta sono stati identificati nuovi rischi per la privacy e suggerite azioni specifiche, anche con un significativo livello di dettaglio tecnico, per mitigarne gli effetti. Di recente anche ENISA, l’agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, si è unita allo sforzo delle Autorità per la protezione dei dati fornendo linee guida estremamente concrete e di facile impiego per la valutazione dei rischi di sicurezza legati ai trattamenti di dati personali[3].
Tutto ciò è certamente un elemento di fiducia e uno stimolo per i titolari ad assumere a loro volta un atteggiamento accountable, ma non è sufficiente per dare impulso a una nuova stagione di investimenti in sicurezza delle informazioni. Occorre infatti rimuovere un ultimo ostacolo, il più rilevante per gli investimenti, e per farlo è necessario introdurre l’ultima verità sulla sicurezza.
Quarta verità: se non ci sono incidenti, la sicurezza è solo un costo
Quarta verità: se l’evento avverso non si concretizza, la sicurezza diventa un costo irrecuperabile.
Quale meccanismo porta un titolare a investire in sicurezza? Un titolare investe in sicurezza (così come in ogni altro ambito) se gli conviene. Tipicamente, negli investimenti in sicurezza è prassi comune misurare questa convenienza nella riduzione degli effetti di un incidente. Ad esempio (si guardi la Tabella I), un titolare può disporre di un asset informativo che è esposto alla possibilità di una perdita del valore (ipotizziamo) di 1 milione di euro con una probabilità (anche qui ipotetica) del 10%. Ciò significa che la perdita è di 100.000 euro.
Tuttavia, se il titolare investe 50.000 euro in sicurezza, la probabilità di una perdita scende all’1% e la perdita attesa diventa 10.000 euro. Se l’investimento è inferiore alla differenza delle due perdite attese, è razionale investire in sicurezza, come nel nostro semplice caso in cui il “dopo” meno il “prima” lato investimenti è di 50.000 euro, con il segno negativo trattandosi di una spesa, e di 90.000 euro lato perdita attesa, con il segno positivo trattandosi di una di minore perdita. Ma non sempre ciò accade. Perché siamo apparentemente irrazionali con la sicurezza?
| Investimenti | Perdita | Probabilità | Perdita attesa | |
| Prima | 0 | -1.000.000 | 10% | -100.000 |
| Dopo | -50.000 | -1.000.000 | 1% | -10.000 |
| Differenza | -50.000 | +90.000 |
Tabella I. Ritorno sugli investimenti in sicurezza difensiva (tutte quantità negative)
La ragione è semplice, ed è in effetti molto razionale: l’investimento è reale e concreto, mentre la perdita è potenziale, ossia probabilistica. Quindi in questa decisione “razionale” vengono a essere confrontate due quantità non omogenee: una spesa certa per gli investimenti e una riduzione probabilistica per le perdite. Ma la probabilità ha un ruolo molto importante nel processo decisionale, e molti titolari si sentono più protetti dalla bassa probabilità iniziale di un incidente di quanto non lo sarebbero da maggiori investimenti in sicurezza. Non tutte le minacce in effetti si concretizzano in veri e propri incidenti di sicurezza. Esiste una sorta di autoregolamentazione della quantità di minacce che diventano incidenti. Troppi incidenti di sicurezza non sono nell’interesse dei malfattori, in quanto comprometterebbero la fiducia nell’impiego stesso delle tecnologie che è proprio il presupposto dell’efficacia della loro azione criminosa.
Il GDPR è perfettamente consapevole di questo tipo di bilanciamento investimento-probabilità operato da molti titolari e ne chiede esplicitamente il superamento, quando afferma che la sicurezza è un principio (come nell’articolo 5), ossia un prerequisito necessario per il trattamento indipendente da queste considerazioni.
Gli investimenti in sicurezza non dovrebbero dunque essere il risultato di una strategia difensiva individuale, ma piuttosto una sorta di nuovo patto sociale tra interessati e i titolari, e abbiamo bisogno degli incentivi appropriati per accompagnare i titolari verso questa consapevolezza. Abbiamo bisogno di un nuovo paradigma di sicurezza che porti i titolari a trovare un equilibrio diverso, piuttosto che a bilanciare tra investimenti certi e perdite probabili. Se la sicurezza è puramente difensiva, ci sarà sempre una dicotomia tra investitori consapevoli e titolari che invece saranno disponibili ad accettare il rischio e che non investiranno. In altri termini, la sicurezza difensiva non è un principio valido per tutti i titolari, come chiesto dal GDPR.
Ci sono molte direzioni da esplorare per un nuovo paradigma di “sicurezza come principio” e non è la prima volta nella storia che questa necessità di superamento di una vecchia concezione di sicurezza si manifesta e che un nuovo approccio prende infine forma. Quindi c’è spazio per essere ottimisti. Ad esempio, negli anni ’60 non era raro trovare pubblicità di rifugi antiatomici sulle riviste o sui quotidiani. Questi tipi di pubblicità erano chiaramente il risultato di un paradigma di sicurezza difensivo: se volevi difendere te stesso e la tua famiglia dalla minaccia ritenuta probabile di una guerra atomica, questo era il messaggio, la soluzione era costruire un rifugio.
Perché queste pubblicità sono sparite da giornali e televisioni? Non perché sia venuta meno la minaccia atomica, ma proprio perché il paradigma della sicurezza si è decisamente spostato negli anni dall’autodifesa alla accountability. Detto diversamente, poiché il pulsante nucleare non è nelle mani di una singola persona e ci sono molte responsabilità da superare a vari livelli prima che il pulsante sia realmente spinto, ciò ha portato tutti, consapevolmente o meno, ad avere più fiducia nella razionalità dei decisori che nell’efficacia dei rifugi. E questa consapevolezza ha trasformato la sicurezza da obiettivo di autodifesa alla crescente domanda pubblica di una gestione più responsabile e più saggia degli armamenti nucleari.
Questo cambio di paradigma verso una maggiore responsabilità è oggi richiesto anche per la sicurezza delle informazioni. E ci sono molte aree in cui è possibile trovare incentivi per una maggiore accountability da parte dei titolari. Gli strumenti per la sicurezza informatica (la crittografia tradizionale e oggi quella cosiddetta omomorfica, le tecniche di zero knowledge proof o la multiparty computation, giusto per citarne alcune tra quelle di più recente concezione nonché più promettenti), ad esempio, possono giocare un ruolo molto rilevante non tanto in ottica difensiva, ma sempre più “funzionale”. Essi possono infatti essere impiegati per far funzionare correttamente e in modo sempre più efficace, semplice e utile gli oggetti tecnologici o i servizi digitali a cui dedichiamo gran parte del nostro tempo. Gli spazi per questa sicurezza funzionale sono molti e vanno dal miglioramento della qualità dei dati all’interoperabilità dei servizi, dall’incolumità delle persone negli ambienti in cui vivono o alla creazione di un’internet delle cose “sicure”, e per questo più affidabili e vantaggiose per le persone.
Questo nuovo paradigma di sicurezza funzionale potrebbe cambiare radicalmente il modo in cui le decisioni sulla sicurezza vengono prese dai titolari. Innanzitutto, l’attenzione principale non sarebbe sulla difesa da eventi avversi improbabili (che possono suscitare decisioni emotive nel breve termine), ma sugli asset di maggior valore che devono essere protetti e preservati, come la soddisfazione dei clienti e la qualità e utilità dei servizi forniti. Tutti elementi necessari per combattere meglio la battaglia competitiva e attirare investimenti.
In altri termini, dovremmo vedere gli investimenti in sicurezza innanzitutto come una leva per attirare investimenti molto più grandi, e non come un modo per difendersi da perdite o attacchi. Questa è la vera sfida per la sicurezza come principio: la sicurezza per la produttività e la concorrenza. Questo è lo scenario di lungo termine che il GDPR sta prefigurando in materia di sicurezza delle informazioni. Ci vorrà certamente del tempo per realizzare questo cambio di paradigma, come è accaduto per i rifugi anti-atomici, ma non potrà non succedere.
La Tabella II ci offre alcuni spunti per valutare il ritorno degli investimenti in sicurezza funzionale. Come si vede le quantità indicate sono tutte positive (un valore di mercato da mantenere, ad esempio), le probabilità più elevate (la sicurezza come strumento di fiducia e di customer retention, ad esempio), e potenzialmente molto più elevate. La sicurezza funzionale, intesa come principio come chiede di fare il GDPR, riguarda tutti i titolari e tutti gli interessati e in ogni momento e si applica a ciascun prodotto o servizio offerto e dunque le cifre in gioco possono essere decisamente più elevate. Non si tratta di difendersi da un attacco, ma di difendere l’intero valore informativo di un azienda.
| Investimenti | Valore potenziale | Probabilità di successo | Valore finale | |
| Before | 0 | +10.000.000 | 90% | +9.000.000 |
| After | -500.000 | +10.000.000 | 100% | +10.000.000 |
| Delta | -500.000 | +1.000.000 |
Tabella II. Ritorno sugli investimenti in sicurezza funzionale (tutte quantità positive)
Ma abbiamo bisogno di un’orchestrazione come il GDPR per raggiungere questo obiettivo? O il mercato può essere capace di autoregolamentazione? Per rispondere a questa domanda, è il caso di chiudere con questa storiella, che ci offre un’utile metafora. Ci sono due ragazzi in campeggio nei boschi. Subito dopo aver sistemato le tende per dormire, vengono attaccati da un orso affamato. Mentre il primo dei due inizia a tremare e resta immobilizzato, il secondo non mostra nessun segno di reazione e inizia tranquillamente a indossare le sue scarpe. Al che il primo ragazzo dice al secondo: “Cosa stai facendo? Sei pazzo? Gli orsi corrono molto più velocemente di noi, e tu sei così calmo! “. E la risposta che il secondo dà al primo è : “Non devo correre più veloce dell’orso, devo solo correre più veloce di te”.
I due ragazzi rappresentano lo stato in cui si trovano molti titolari davanti all’orso degli incidenti di sicurezza. Si potrebbe facilmente sostenere, fuor di metafora, che la strategia migliore che un’azienda o un titolare ha quando investe in sicurezza sia fare un po’ meglio degli altri: rafforzare le procedure di autenticazione, crittografare tutti i dati e così via. Questo tipo di accorgimenti sarebbero molto efficaci e renderebbero un titolare meno attraente per attacchi rispetto ad altri con una sicurezza più debole. Ma, tornando alla metafora dei due campeggiatori, potrebbe esserci una strategia ancora migliore di questa per il secondo ragazzo: cioè, colpire il primo in testa o nelle gambe, rendendolo incapace di muoversi. In questo caso non sarebbe neppure necessario correre: camminare basterebbe a salvarsi.
Perché il GDPR obbliga a una nuova visione della sicurezza come obiettivo sociale
Questo è il motivo per cui abbiamo bisogno di un’orchestrazione anche in decisioni individuali e non coordinate, come la sicurezza delle informazioni, perché se c’è un obiettivo sociale (migliorare la qualità dei dati, la fiducia nei servizi digitali), fare meglio di qualcun altro (correre più veloce dell’altro) significa spingere i titolari a fare del loro meglio con le misure di sicurezza e spostare le prestazioni del sistema più in alto, mentre senza un obiettivo sociale, fare meglio di qualcun altro potrebbe significare spingere l’altro a fare peggio di te, cioè abbassare la barra della sicurezza e delle salvaguardie, alla ricerca del giocatore più debole da mettere a repentaglio, magari creando surrettiziamente questo anello debole. In altri termini, senza orchestrazione potrebbe essere molto facile trasformare l’arena della sicurezza in una sorta di battaglia non etica e persino improduttiva.
- Article 29 Working Party Opinion 05/2014 on “Anonymisation Techniques ↑
- Article 29 Working Party Guidelines on Data Protection Impact Assessment (DPIA), 2017 ↑
- European Union Agency for Network and Information Security (ENISA) Handbook on Security of Personal Data Processing, 2018 ↑
