Lo scorso 17 aprile alcune tra le più importanti aziende ICT del mondo (tra queste Microsoft, Cisco, HP, Oracle, Nokia e Facebook, con la notevole eccezione di Google ed Apple) hanno presentato ufficialmente il “Cybersecurity Tech Accord”.
Questa presa di posizione collettiva, forte, netta e, almeno formalmente, inedita sui temi della cyber security da parte di aziende di questa importanza ha generato molto entusiasmo, inducendo molti commentatori a parlare dell’avvento di una “nuova era” per l’ICT.
Personalmente ho un’opinione piuttosto scettica in merito all’iniziativa, che discende da una valutazione spassionata delle sue reali motivazioni e dal convincimento che, per una serie di ragioni che accennerò più sotto, al di là degli innegabili effetti positivi dal punto di vista marketing nel breve termine, essa non potrà avere ricadute particolarmente significative in termini di sicurezza per cittadini, imprese, pubbliche amministrazioni e Stati. Anzi credo che questo annuncio, esaurito il suo effetto mediatico iniziale, potrebbe rivelarsi un pericoloso boomerang per l’industria ICT nel suo complesso, dal momento che genera aspettative infondate e fa promesse assai difficili, se non impossibili, da mantenere. Di cosa si tratta dunque?
Che cos’è il Cybersecurity Tech Accord
Brad Smith, presidente di Microsoft e tra i principali promotori dell’accordo, durante la presentazione ha dichiarato “gli attacchi devastanti dello scorso anno dimostrano che la sicurezza informatica non riguarda solo ciò che una singola azienda può fare, ma anche ciò che possiamo fare tutti insieme”, per poi concludere dicendo che “questo accordo tra aziende del settore tecnologico ci aiuterà a intraprendere un percorso ispirato da principi condivisi verso la realizzazione di iniziative più efficaci per collaborare, al fine di difendere i clienti in tutto il mondo.”
Concetti senz’altro condivisibili, a prima vista. Quali sono le ragioni del mio scetticismo? Innanzitutto, una critica di carattere generale: come dicono gli anglosassoni, la definizione migliore di questo accordo è “too little, too late”, giunge infatti troppo tardi, e con contenuti del tutto insufficienti. Invece di promuovere improbabili alleanze di settore, queste aziende dovrebbero ammettere di aver sottovalutato i rischi, le conseguenze socioeconomiche e gli impatti geopolitici derivanti dalla diffusione su larghissima scala di prodotti ICT insicuri by design avvenuta negli ultimi 20 anni, e fare pubblica ammenda, assumendosene la responsabilità e pagando, almeno in parte, per i danni subiti dagli utenti finali. Ciò naturalmente non accade, ed anzi questo annuncio sembra proprio voler evitare che qualcuno chieda loro conto del pregresso nel momento in cui le problematiche “cyber” diventano mainstream e non è più possibile ignorarle, anche volendo.
I quattro principi di massima
Entrando nel dettaglio, l’accordo copre quattro aree, o meglio esprime quattro principi di massima, ai quali le aziende firmatarie si impegnano ad aderire. Vediamoli uno per uno e commentiamoli brevemente, per quanto sarebbe necessario molto più spazio per farne un’analisi approfondita.
1. Difesa più efficace: “riconoscendo che tutti meritano protezione, le aziende si impegnano a proteggere tutti i clienti a livello globale, indipendentemente dalla motivazione degli attacchi online” (ovvero, traducendo: hacktivism, cybercrime, cyber espionage e information warfare).
Questa affermazione, per quanto politically correct e rassicurante, nella pratica è inapplicabile, oltre ad essere legalmente inconsistente, quantomeno per quanto riguarda la parte relativa a cyber espionage e information warfare. Sicuramente tutti gli utenti dovrebbero essere protetti da hacktivism e cybercrime, a prescindere da dove siano geograficamente (ci mancherebbe!), ma è estremamente pericoloso mescolare a questo principio (del tutto scontato) quello della difesa da attività condotte da Stati nazionali per ragioni geopolitiche, perché si tratta di fenomeni completamente diversi, nei quali imprese private, per quanto grandi, non possono e non devono incidere né hanno, nella pratica, alcun potere decisionale (che spetta agli Esecutivi nazionali e ai Parlamenti, e va eventualmente regolata da trattati internazionali o, in loro assenza, nelle sedi internazionali opportune). È certamente vero che molti Paesi hanno, al di là dei proclami, sostanzialmente (e colpevolmente) latitato su queste questioni, e che la diplomazia internazionale è in gravissimo ritardo su questi temi, ma ciò non significa che imprese private possano sostituirsi ai soggetti istituzionali preposti, anche considerato che, di fatto, non possono opporsi a richieste puntuali da parte dei propri governi in caso di conflitto o per la difesa del così detto “interesse nazionale”. Questa confusione tra motivazioni degli attacchi, livelli e ruoli denota una notevole superficialità di pensiero, e non depone a favore della serietà dell’iniziativa.
2. No offense (potremmo tradurlo con “rifiuto ad essere complici di attacchi informatici”): le aziende non aiuteranno i governi a lanciare attacchi informatici contro cittadini e imprese innocenti e li proteggeranno contro la manomissione o lo sfruttamento dei loro prodotti e servizi in ogni fase dello sviluppo, della progettazione e della distribuzione della loro tecnologia.
Di nuovo, questo secondo principio denota grande confusione e una scarsa comprensione dei problemi. Innanzitutto, non sono queste aziende a poter decidere se “cittadini e imprese” siano “innocenti” (di cosa? di fronte a chi?), compito che spetta alla magistratura e agli enti preposti (agenzie di Intelligence, e in ultima analisi di nuovo l’Esecutivo), nell’ambito delle garanzie costituzionali di ciascun Paese e del diritto internazionale, a meno di non voler banalmente affermare l’ovvio, ovvero che tutti sono innocenti fino a prova contraria. Detto questo, sorge spontanea una domanda: perché fare ora questa dichiarazione, ci stanno forse dicendo che fino ad ora non li hanno protetti? Francamente nella migliore delle ipotesi siamo nel campo del wishful thinking: che si impegnino a proteggere i propri utenti contro la manomissione e lo sfruttamento (delle falle dei) loro prodotti è un’affermazione fortissima oltre che spericolata, perché richiederebbe di cambiare completamente il loro modello di business, rifare da zero la maggior parte dei sistemi che fanno funzionare il nostro mondo digitale, e investire cifre impensabili per riuscirci. Tutte cose che, dichiarazioni di principio a parte, non sembrano all’orizzonte.
3. Diffusione di capacità e strumenti difensivi tra gli end-user: “le aziende faranno di più per fornire strumenti adatti agli sviluppatori, ai singoli e alle imprese che utilizzano la loro tecnologia, aiutandoli a migliorare la propria capacità di protezione. Ciò può includere attività congiunte su nuove pratiche di sicurezza e nuove funzionalità che le aziende possono implementare nei loro singoli prodotti e servizi”.
Principio teoricamente encomiabile, anche qui però va ribadito che sarebbe stato meglio evitare di creare la situazione di insicurezza che si è determinata, intervenendo prima. Sarebbe costato molto meno, e ci sarebbero state molte più probabilità di riuscita, se avessero cominciato anni fa, quando c’erano già tutte le avvisaglie e i problemi avevano ancora una dimensione trattabile. Qui va fatta una considerazione scomoda, che farà storcere il naso a molti: in quale altro settore il produttore, sapendo di offrire merci intrinsecamente difettose, può farla franca dicendo che aiuterà i suoi utenti a proteggersi da tali difetti? Immaginiamo una casa automobilistica o un’industria farmaceutica che dicano “per utilizzare i nostri prodotti ci impegniamo a farvi fare (a vostre spese) un corso di guida sicura e di pronto soccorso / rianimazione, così vi proteggete da soli se qualcosa va storto”… Sarebbe considerato accettabile?
4. Azione collettiva: “le aziende faranno leva sulle relazioni esistenti e stabiliranno insieme nuove partnership formali e informali con ricercatori dell’industria, della società civile e della sicurezza per migliorare la collaborazione tecnica, coordinare la divulgazione delle vulnerabilità, condividere informazioni sulle minacce e ridurre al minimo la possibilità che codice dannoso possa essere introdotto nel cyberspazio”.
Questo quarto principio è il più vago, se non il più velleitario. Da un lato queste collaborazioni, certamente utili, sono già in atto, d’altra parte va detto che pur producendo risultati non sono in grado di risolvere i problemi alla base, ma solo di mitigarli parzialmente. Certamente è possibile migliorare la collaborazione tra aziende e ricercatori e tra pubblico e privato, ed anzi a questo fine andrebbero investiti molti più soldi, ma bisogna capire che questi sono solo palliativi, perché purtroppo i “cattivi” sono molto più veloci, efficienti e determinati dei “buoni”, e di conseguenza la difesa passiva, realizzata post-hoc, tende ad avere un ROI negativo nel medio-lungo termine. Questa è un’altra verità “scomoda”, che è giunto il momento di affrontare. Cercare di “star dietro” agli attaccanti, considerato che sono più veloci dei difensori e che hanno il vantaggio della sorpresa, potendo scegliere il tempo, il modo e il luogo in cui colpire, per quanto sia una componente indispensabile di una più ampia strategia di cyber-defense, di per sé non può apportare benefici sostanziali, ma solo ridurre il tasso di crescita dei danni, che però continua a crescere ugualmente (+ 500% negli ultimi 5 anni). Non è certo in questo modo che si può concretamente “ridurre al minimo la possibilità che codice dannoso possa essere introdotto nel cyberspazio”. Non a sufficienza, comunque.
Per concludere: quando Smith esordisce dicendo “gli attacchi devastanti dello scorso anno…” non posso fare a meno di ricordare che gli “attacchi devastanti” sono ormai la norma da ben più di un anno. Quando nel gennaio 2012, per la prima edizione del Rapporto Clusit (ben 7 anni fa, un’enormità in questo settore) scrivevo che il 2011 era stato l’Annus horribilis della sicurezza informatica, un punto di svolta, e che l’insicurezza endemica, se non corretta in tempo, avrebbe avuto drammatici impatti sistemici e messo a rischio lo sviluppo della società digitale e il benessere di cittadini e organizzazioni, intendevo proprio questo. Ma a quei tempi, per quanto se ne sia già persa memoria, a queste affermazioni i big della tecnologia rispondevano con un’alzata di spalle e un imbarazzato silenzio, minimizzando. Non diffondiamo inutili allarmismi, dicevano.
Tutto il tempo perso, e tutti i danni che già sono stati subiti (oltre un trilione di dollari di perdite causate dal solo cybercrime nel mondo negli ultimi 5 anni) a chi devono essere attribuiti? In qualsiasi altra industria, il produttore è responsabile dei difetti dei propri prodotti, e paga sanzioni salatissime (rischiando il ritiro dal mercato) quando un suo prodotto causa danni ai consumatori. Il fatto che questo non accada in campo informatico, ed anzi che queste aziende difendano strenuamente questa condizione di eccezionalità (come se fossimo ancora nel ’95, agli albori dell’industria), sostenendo che qualsiasi regolamentazione rappresenterebbe un freno all’innovazione, è la principale causa dell’attuale disastro.
Verso una maggiore responsabilità di chi fa software
Dovremmo forse ammettere finalmente che, finché questi soggetti potranno esternalizzare impunemente il costo dell’insicurezza dei loro prodotti e servizi sugli utenti finali, la sicurezza di tali prodotti non migliorerà in modo significativo, e trarne le debite conseguenze, introducendo standard e test di sicurezza obbligatori (prerequisito alla messa in vendita di un prodotto o servizio ICT), sanzioni appropriate e una regolamentazione complessivamente adeguata all’importanza assunta dal settore ICT. Senza voler essere malizioso, per pura deduzione logica devo interpretare questo Tech Accord come un goffo tentativo di mettere le mani avanti e di sottrarsi a questa inevitabile assunzione di responsabilità, come se una forma blanda, spontanea e non vincolante di self-regulation potesse impedire (anche alla luce degli ultimi “scandali”) il processo di normalizzazione del settore.
Basti vedere quanti servizi online, alcuni esistenti anche da più di 10-15 anni, stanno chiudendo i battenti o escludendo la clientela europea perché essenzialmente incompatibili con la GDPR. Il che significa che, nel momento in cui queste aziende devono pagare di tasca propria per garantire la sicurezza dei propri utenti-clienti, il loro modello di business salta, perché non l’hanno mai veramente considerata né messa a budget, oppure, peggio, l’hanno scientemente ignorata pur di acquisire quote di mercato.
Questo stato di cose deve cambiare al più presto, e dovremmo essere più incisivi nel pretenderlo, come cittadini e come consumatori (considerata anche l’incredibile inerzia e disinteresse della politica in merito), dato che l’esistenza stessa della nostra società digitale è messa seriamente in discussione dalla cyber insicurezza endemica che affligge ormai ogni suo aspetto. Non è (più) un gioco e non basta l’enunciazione di quattro “buoni principi” per riparare ai danni già causati, né tantomeno per impedirne di maggiori in futuro. Nei prossimi mesi e anni ci aspettiamo molto, molto di più dall’industria ICT in termini di un impegno concreto nel fornire agli utenti garanzie di cyber security adeguate al contesto. Il tempo per il “security theatre” è passato da un pezzo.