Il PNRR menziona la cyber security, ma dovrebbe focalizzare l’igiene informatica, che è solo una sua parte ma che consentirebbe di raggiungere senza danni e costi connessi l’obiettivo di uno scenario veramente digitale. Ma che relazione c’è fra igiene digitale e cyber security? Forse per rispondere al quesito occorre chiarire il significato dei termini, comprendere il loro rapporto sarà più facile. Ma andiamo con ordine.
PA digitale, perché serve un approccio strutturato a privacy e cyber security
Igiene digitale e cyber security
La locuzione igiene digitale fa riferimento a un tipo di comportamento nell’uso di un dispositivo (computer desktop/notebook, tablet, smartphone), che ci permette di essere presenti nel mondo digitale. Comportamento che interessa tutti, specialisti o semplici utenti sistematici od occasionali. Non è facile definirlo, anche perché si è trasformato nel tempo, e forse si trasformerà ancora. Eppure, durante le modifiche non è venuto mai meno quanto è alla sua base. Si tratta di quel comportamento prudente verso le mille insidie che si incontrano quotidianamente.
Ad esempio, che non permetterà mai di essere “creduloni” rispetto a mail o messaggi ricevuti, che non collegherà mai un’unità flash USB (più nota come chiavetta USB) sconosciuta al proprio dispositivo, che non gestirà password in maniera insicura,[1] che non visiterà mai un sito web pericoloso né tantomeno aprirà file inattesi recapitatici in qualunque modo. Il malware[2] può essere ovunque, e specialmente come file specifico, o come documento Word, o PDF o – peggio – documento di una tipologia di cui sappiamo poco o nulla. Inoltre, fa parte dell’igiene informatica il non collegarci a delle Wi-Fi sconosciute – o apparentemente conosciute – ma libere da password; a tal proposito è critico imparare a usare e validare i certificati digitali.
Originariamente invece cyber security aveva un significato preciso e specifico, ovvero la protezione di quelle parti della rete e dei dispositivi in rete la cui alterazione avrebbe avute conseguenze nel mondo fisico. Poi il termine è stato usato in maniera molto più generica. Penso che il miglior chiarimento venga fornito dalla celebre Wikipedia: se proviamo a digitarvi il termine veniamo re-diretti a un’altra pagina. Se abbiamo scelto Wikipedia in italiano, la pagina di approdo è quella relativa alla locuzione “sicurezza informatica”; se preferiamo quella in inglese allora arriviamo a “computer security.” Ciò ci abilita a comprendere la genericità e la vastità della cybersecurity odierna. A volte si legge “sicurezza cibernetica[3]” con un significato equivalente.
Le differenze
Una prima conseguenza dei concetti richiamati consiste nel fatto che la cyber security include l’igiene digitale. Si tratta di una inclusione stretta in quanto ci sono diversi temi specialistici che attirano l’attenzione di chi fa ricerca in materia di cyber security, nella quale oggi ci sono alcuni temi dominanti: il rilevamento del malware, le trappole nascoste nel firmware di molti dispositivi (anche di quelli apparentemente innocui, come gli elettrodomestici “smart”), la privacy “by-design” e più in generale la sicurezza by-design, che si oppone a quella “by-patching”, in cui si prendono volta per volta specifiche misure per contrastare un preciso e non voluto fenomeno. Si parla anche di open-security, ad indicare il fatto che la sicurezza migliore si ottiene adottando metodologie e soluzioni che non siano segrete ma che siano aperte e condivise, in modo da allargare la possibile platea di tester a livello planetario. Un tipico esempio di qualcosa che è vissuto per anni di sicurezza by-patching è Internet, che non è stato progettato a prova di comportamenti maliziosi.
Tutto qui quindi? La cyber security include l’igiene informatica. No, c’è da dire di più perché abbiamo bisogno di conoscere altri fattori che intersecano il mondo di un qualunque utente, specialista o no.
Attacchi informatici, il rapporto con l’igiene digitale
Esistono due macrocategorie di attacchi: quelli “a pioggia” e quelli “mirati”. Gli attacchi a pioggia hanno obiettivi generici, potremmo dire che chiunque interagisce con Internet ne è bersaglio. Questo spiega ad esempio alcune e-mail truffaldine che talvolta riceviamo: “il tuo conto presso la banca XYZ è stato bloccato e necessita il tuo intervento per sbloccarlo”. E magari non abbiamo un conto alla banca XYZ. L’intento dei truffatori è quello di indurci a usare segreti in nostro possesso che consentono di operare sul conto, in maniera da appropriarsene. L’idea non è peregrina perché, solo facendo due conti, supponiamo di inviare il messaggio truffaldino a un milione di utenti. Di questi magari solo il 10% (numero inventato ma forse eccessivamente prudente) ha un conto presso XYZ. La probabilità di cadere nell’inganno è bassa, diciamo l’uno per mille. Facendo qualche moltiplicazione otteniamo una stima di circa cento vittime, e siamo partiti dall’invio del messaggio truffaldino a un milione di potenziali vittime. E se l’invio fosse stato a dieci milioni[4],[5]?
Per non parlare della truffa alla nigeriana in cui, per contribuire a un’operazione apparentemente innocua di recupero denaro, ci chiedono delle somme con scuse varie (ma che non stanno in piedi), come pagare un notaio, abilitare il conto alla ricezione di bonifici internazionali, sbloccare una qualche situazione di stallo ecc. Valgono numeri simili e di truffe ne esistono a centinaia, ciascuna con numerose varianti.
Morale di questa storia è che siamo tutti potenziali vittime di questi attacchi a pioggia, che vengono portati in maniera impersonale e sistematica per il solo fatto di essere connessi a Internet. Il veicolo per l’attacco non è solo l’indirizzo e-mail, ma può essere anche il nostro indirizzo IP[6]: dato che IP versione 4 prevede solo circa quattro miliardi di indirizzi IP non è difficile generarli tutti (è un computer commerciale, che fa miliardi di micro-operazioni al secondo, che può facilmente fare ciò), uno alla volta, e per ciascuno di essi provare uno o più vettori di attacco. Siamo sempre nella stessa situazione di attacchi a pioggia.
Attacchi mirati
Differenti sono invece gli attacchi mirati. Si tratta di azioni malevole studiate appositamente per ottenere un preciso risultato nei confronti di una vittima specifica. Portare un tale tipo di attacco è piuttosto oneroso: occorre preliminarmente ottenere una serie di informazioni quali abitudini ed interessi della vittima e dettagli sul suo contesto informatico; tutte operazioni che necessitano di tempo e impegno. Per questo sono onerose. Da un punto di vista numerico, giusto come stima grossolana, potremmo pensare che esiste un attacco mirato per ogni milione di attacchi a pioggia. Molti meno, dunque, e soprattutto diviene estremamente improbabile che un utente qualsiasi divenga il bersaglio di un attacco mirato. Tali bersagli vanno individuati fra persone all’interno di organizzazioni grandi e importanti, che svolgono ruoli rilevanti se non strategici all’interno delle loro organizzazioni.
C’è però un piccolo dettaglio: in una organizzazione, governativa o non, in cui si maneggino contenuti critici o strategici, è piuttosto sviluppata una sezione “cybersecurity” e l’organizzazione da tempo ha messo in opera una serie di misure atte ad offrire una protezione extra. Morale di questa storia: non pretendiamo di insegnare la cybersecurity a chi è da tempo sul campo e ha investito molto in materia.[7]
L’analisi
Mi piace l’idea di un mondo che si inserisce sempre più profondamente nella digitalizzazione, in cui gli utenti pratichino una corretta igiene informatica; e in modo forse provocatorio, non considererei neanche necessario usare un antivirus che esamina sistematicamente i file con cui il nostro dispositivo viene a contatto. Infatti – a mio avviso – la sola igiene informatica è capace di spingere a quei comportamenti prudenti che eviterebbero di esporre il nostro dispositivo al malware, o a riconoscere truffe, o altro. D’altra parte, un antivirus non sarebbe capace di proteggere il dispositivo da uno zero-day, ovvero una vulnerabilità (o malware) nota da zero giorni.
Dunque, una buona igiene informatica sembra capace di resistere agli attacchi a pioggia. A quelli mirati no, ma tanto sono pochi e non legati ad utenti operanti in ambienti non critici e non strategici. Per la digitalizzazione diffusa mi sembra necessaria, ma anche sufficiente, una buona igiene informatica, usando o meno un antivirus (non dimentichiamo che ogni antivirus, inclusi quelli gratuiti, proviene tipicamente da azienda con obiettivi profit e che tenterà di indurci a spendere qualcosa per ottenere una qualche protezione in più).
Gli attacchi mirati sono invece micidiali e una cyber security evoluta potrebbe mitigarli o non. Ma non interferiscono con gli obiettivi della digitalizzazione, o almeno non in prima approssimazione. Un discorso diverso, che sarà sviluppato in altra sede, merita invece la privacy degli utenti, con la loro diversa sensibilità.
_
Note
- OWASP, il progetto probabilmente più rilevante sulla sicurezza delle applicazioni web, ha riconosciuto come rischio fra i primi dieci la “broken authentication,” oggi descritta come “identification and authentication failure”. ↑
- Qualunque software malizioso, che mira ad alterare l’integrità di dispositivi e/o infrastrutture al fine di semplice distruzione, fermare/rallentare un servizio (ad esempio l’attualissimo ransomware, che blocca informazioni ai fini di un ricatto), ottenere informazioni illecitamente o che comunque interferisca con la sicurezza e la privacy di un dispositivo/rete. ↑
- La cibernetica è una scienza interdisciplinare nata verso la seconda guerra mondiale e formalizzata dal matematico statunitense Wiener, sulla base delle interazioni fra medici, biologi, ingegneri, matematici. Essa si prefiggeva lo studio matematico unitario degli organismi viventi e dei sistemi naturali o artificiali. ↑
- Avremmo ottenuto mille vittime, che dal punto di vista dell’attaccante corrispondono a mille successi. ↑
- Le campagne di invio di milioni di e-mail truffaldine non sono difficili. Basta comprare, magari nel dark web, qualche milione di indirizzi e-mail, a loro volta ottenuti in vario modo, in maniera particolare rastrellando gli indirizzi e-mail pubblicati in forma testuale presso qualche pagina web. ↑
- Quadrupla di numeri interi – ciascuno nell’intervallo [0-255] – con cui è possibile contraddistinguere chiunque sia collegato a Internet. Tecnicamente appare scritta come X.Y.W.Z, e ci sono vari distinguo e casi particolari che adesso non affrontiamo. ↑
- Non è raro osservare accordi di cooperazione fra organizzazione con asset critici/strategici e l’accademia.
