Gli ultimi mesi hanno visto un crescente interesse della politica internazionale nei confronti delle tecnologie di sorveglianza cibernetica. Stiamo parlando dell’entrata in vigore del regolamento UE sui prodotti dual-use in relazione alle così dette tecnologie di sorveglianza cibernetica (cyber surveillance technologies) a cui ha fatto eco un’equivalente iniziativa da parte del governo statunitense (vedi approfondimento di Agendadigiale.eu).
Obiettivo è limitare l’export di questi strumenti in Paesi non rispettosi dei diritti umani. Gli USA hanno messo al bando NSO group, società dietro il caso Pegasus.
Allo stesso tempo, diverse fonti hanno segnalato il crescente ricorso in questi ultimi anni alle tecnologie di sorveglianza da parte di molti paesi, tra i quali quelli con dubbi precedenti in materia di diritti umani e uno stato di diritto debole, oppure paesi che potrebbero utilizzarla per provare a sovvertire l’equilibrio internazionale.
Diventa quindi urgente per la comunità internazionale individuare la strategia più adeguata a controllare la vendita e la distribuzione di strumenti di sorveglianza cibernetici, tanto più in virtù del fatto che queste tecnologie sono classificate come dual-use alla pari delle armi biologiche, chimiche, nucleari etc. e come tali sono (o dovrebbero essere) soggette a regime di controllo delle esportazioni. Cosa che, come approfondiremo in seguito, è tutt’altro che banale vista la natura “eterea” del soggetto.
Se l’hacker è lo Stato: ecco perché la cybersecurity dovrebbe essere un diritto fondamentale
Di cosa parliamo quando parliamo di tecnologie di sorveglianza cibernetica
Le tecnologie di sorveglianza cibernetica sono quelle tecnologie digitali utilizzate per monitorare, analizzare surrettiziamente i dati che transitano sulla rete e quelli archiviati, elaborarli e trasferirli. Rientrano tra queste tecnologie: gli strumenti Hw/Sw di intrusione, quelli per il monitoraggio di Internet, per il monitoraggio telefonico, per il monitoraggio della posizione geografica, per l’analisi dei dati raccolti (orientata tipicamente alla mappatura delle relazioni tra gli utenti in rete e l’individuazione di modelli comportamentali) e apparecchiature varie di biometria, audio e video. Nella categoria non sono compresi solo i prodotti finiti, ma anche le competenze necessarie per crearli e svilupparli e facilitarne l’implementazione.
Si tratta di beni e tecnologie che accanto a legittime applicazioni come lo svolgimento di indagini da parte dalle forze di polizia, o il monitoraggio e tuning di apparati di rete o sistemi in generale, possono anche essere utilizzati per scopi militari, o per monitorare e intercettare comunicazioni tra persone e portare ad altre violazioni dei diritti umani, tra cui arresti e detenzioni arbitrarie, torture ed esecuzioni extragiudiziali.
I rapidi progressi tecnologici e la convergenza di ogni forma di comunicazione sulla rete Internet hanno indotto le autorità di intelligence e di contrasto a riconsiderare i metodi tradizionali di raccolta e intercettazione delle informazioni non più adeguati ai nuovi media e a dotarsi di tecnologie cibernetiche di sorveglianza per avere accesso diretto ai dati di comunicazione.
Le principali criticità
Dato estremamente importante è che il settore produttivo di queste tecnologie è costituito da un’ampia varietà di aziende per la stragrande maggioranza appartenenti al settore privato e che quindi operano sul “libero” mercato.[1] Fatto questo che pone due importanti criticità: i paesi che non dispongono al proprio interno di conoscenze e tecnologie necessarie per operazioni di sorveglianza, possono direttamente acquistare sul “mercato” sia le tecnologie che il know how, in un mercato significativamente competitivo non ci si può aspettare che le imprese private esercitino un un’adeguata autoregolamentazione per prevenire l’abuso dei loro prodotti nei paesi importatori. Si tratta di problemi che da sempre caratterizzano le tecnologie dual use come dimostra questo breve brano ripreso da un rapporto del GAO (Government Accountability Office) del 2009 finalizzato proprio a stimare la portata del fenomeno dell’esportazione illegale di merci dual use:
“GAO fund that sensitive dual-use and military technology can be easily and legally purchased from manufacturers and distributors within the United States and illegally exported without detection. Using a bogus front company and fictitious identities, GAO purchased sensitive items including night-vision scopes currently used by U.S. soldiers in Iraq and Afghanistan to identify targets, triggered spark gaps used to detonate nuclear weapons, electronic sensors used in improvised explosive devices, and gyro chips used in guided missiles and military aircraft. Interviews with cognizant officials at State and Commerce and a review of laws governing the sale of the types of items GAO purchased showed there are few restrictions on domestic sales of these items”.
I rischi di una vendita incontrollata di sistemi dual use
Esiste quindi il pericolo che la tecnologia di sorveglianza possa essere venduta a paesi con dubbi precedenti in materia di diritti umani e uno stato di diritto debole, oppure paesi che potrebbero utilizzarla per provare a sovvertire l’equilibrio internazionale, e non mancano i precedenti. L’uso governativo della tecnologia di sorveglianza informatica a fini repressivi è stato rivelato per la prima volta nel contesto della cosiddetta “primavera araba” nei primi anni 2010 in cui strumenti di sorveglianza cibernetica sviluppati e commercializzati da aziende private inglesi sono stati impiegati per monitorare e rintracciare oppositori politici, attivisti per i diritti umani e giornalisti. Non mancano poi gli esempi di uso in campo militare/intelligence la cui frequenza è in continuo aumento.
Le priorità per la comunità internazionale
Diventa quindi urgente per la comunità internazionale individuare la strategia più adeguata a controllare la vendita e la distribuzione di strumenti di sorveglianza cibernetici. Nel caso dei diversi tipi di armi sinora prodotti dall’uomo la strategia di controllo più significativa adottata è stata l’introduzione di meccanismi di controllo delle esportazioni volti a limitare il lato dell’offerta di questi prodotti. Strategia che trova la sua attuazione, nell’accordo di Wassenaar sui controlli delle esportazioni di armi convenzionali e di beni e tecnologie dual use.
Originato dal CoCom (Coordinating Committee for Multilateral Export Controls) e istituito per vietare i trasferimenti di armi e articoli connessi al nucleare al blocco sovietico durante la guerra fredda, l’accordo di Wassenaar stabilisce un ampio elenco di prodotti dual use controllati e concordati tra un gruppo geograficamente diversificato di 42 paesi. Dal 2012 il suo campo di applicazione è stato esteso per regolamentare alcuni tipi di prodotti di sorveglianza. Nonostante la buona volontà l’attuazione delle misure di Wassenaar in relazione ai prodotti di sorveglianza non sembra avere avuto un particolare effetto come riportato da un rapporto recentemente predisposto dall’Atlantic Council di cui riportiamo un breve brano:
“… this analysis indicates that there exists a significant group of private companies willing to act irresponsibly: marketing capabilities that carry the risk of becoming tools of oppression for authoritarian regimes or strategic tools for non-NATO allies. The United States, NATO, and their allies still have policy tools they can use to prevent privately developed offensive cyber capabilities from proliferating irresponsibly. The continued absence of assertive policy response risks a grim outlook: a growing number of private corporations that see few consequences to bolstering the cyber arsenals of major Western adversaries … “
Da più parti viene sottolineata la necessità di azioni più incisive sul controllo delle esportazioni dei prodotti di sorveglianza e a tal proposito si richiamano una serie di protocolli stipulati per far fronte al problema della proliferazione delle armi nucleari, facendo riferimento ad una particolare peculiarità che contraddistingue le due tecnologie nucleare e cybersecurity. Si tratta di due tecnologie il cui effetto può essere devastante e che di fatto nessun paese al mondo è più in grado di controllare autonomamente. Sino a qualche anno fa gli Usa erano dominatori incontrastati del cyberspazio ma i recenti attacchi a partire da SolarWinds dimostrano che lo scenario sta rapidamente cambiando.
Sorveglianza digitale, il mercato delle armi sotto i riflettori: rischi e norme necessarie
Gli ostacoli sulla via del controllo delle armi informatiche
Lo stato delle cose sembra quindi propenso ad invogliare le potenze cibernetiche a sedersi intorno a un tavolo e trovare una risposta alla proliferazione incontrollata delle armi cibernetiche. Nell’era nucleare, ci sono voluti 18 anni dopo Hiroshima prima che fosse raggiunto un primo accordo. Oggi, la cybersecurity non ha ancora avuto la sua Hiroshima e speriamo non l’abbia mai, l’avvento del cloud computing e dell'”Internet of Things” stanno però contribuendo ad allargare l’area di vulnerabilità e sarebbe opportuno che questa regolamentazione trovasse al più presto una sua definizione.
L’approccio “trust but verify”
Non pochi ostacoli però si frappongono al controllo delle armi informatiche, al di là dei campanilismi dei singoli paesi. L’approccio “trust but verify” che è stato usato per caratterizzare la strategia di “fiducia con riserva” che ha consentito il controllo multilaterale sull’approvvigionamento di nuovi armamenti e materiali e che di conseguenza ha consentito di individuare infrazioni al controllo sulle esportazioni, difficilmente può essere usato nel cyberspazio. Questo motto era infatti fortemente basato sulla “fisicità” del nucleare, caratterizzato da armi di notevoli dimensioni, impianti molto voluminosi e ingenti investimenti tutti elementi difficilmente eludibili ad un’azione di monitoraggio e controllo (il caso Stuxnet è emblematico in questo senso).
Le armi informatiche, dal canto loro, non richiedono impianti particolari, possono essere sviluppate ovunque senza particolari strumenti o ingenti investimenti. Possono essere estremamente semplici ed essere racchiuse in poche righe di codice. Possono essere facilmente nascoste o addirittura eliminate per poter essere poi successivamente rigenerate, risultano quindi praticamente impossibili da rilevare durante un’azione ispettiva. In sostanza non è possibile stimare l’arsenale cibernetico di un paese, e di conseguenza comminare sanzioni in caso di violazione degli accordi. Inoltre, le armi cibernetiche possono anche essere “facilmente” rubate, ed i loro effetti indesiderati ripercuotersi su cui le ha originate (vedi il caso Eternalblue). Quindi se anche saranno stabilite delle norme anche stringenti per controllo dei prodotti di sorveglianza risulterà estremamente difficile poterne verificare l’effettivo rispetto. Come dire, rispetto alla “strategia nucleare” viene meno il verify e resta solo il trust.
Un trust che deve essere stabilito tra tutti gli stati a partire dalle potenze cibernetiche che hanno sempre evitato di incontrarsi per parlare di cyberpeace, ed hanno preferito mostrare i muscoli con azioni dimostrative di cyberwar. Un trust senza verify significa praticamente fiducia cieca e sicuramente in questa fase storica mancano tutti i presupposti perché le cyber potenze possano trovare un qualche punto di incontro su questi temi.
La necessità di un accordo di non proliferazione delle armi cibernetiche
Eppure, non dovrebbe essere difficile per i governanti di questi paesi capire che un accordo di non belligeranza, anzi di mutua collaborazione sul tema della non proliferazione delle armi cibernetiche e della cybersecurity più in generale sarebbe l’unica soluzione per consentire all’ICT di esprimere tutto il suo potenziale come fattore trainante dell’economia mondiale e per dare finalmente una spallata decisiva al fenomeno del cybercrime. È necessario superare l’impasse attuale e avviare il prima possibile un tavolo di confronto e collaborazione.
Una possibile prima mossa
Quale potrebbe essere la prima mossa? Una proposta potrebbe essere un accordo tra le cyberpotenze di rivelare a turno all’intera comunità alcuni zero day da loro individuati. In questo modo potrebbero contribuire a ridurre la superficie di attacco dei sistemi rendendo l’intero ecosistema digitale più sicuro, ridurrebbero le chance di costruire nuove armi cibernetiche (la storia ci insegna che prima o poi gli zero day vengono scoperti da altri) e avvierebbero un processo di distensione sul tema che potrebbe essere foriero di un nuovo clima di collaborazione su un tema che per ora non ha trovato molti interlocutori disponibili.
Si tratta di un piccolo passo certamente non risolutivo, sullo sfondo restano i problemi di tutti i giorni (ransomware, spyware, data breach, ecc. ecc.) ma si darebbe forse avvio ad iniziative che non possono più essere ritardate. Il processo di “normalizzazione” del nucleare ha richiesto 18 anni per prendere avvio ed è ancora in corso, non sappiamo se il cyberspazio può avere così tanta pazienza.
- Il Surveillance Industry Index, il più grande database accessibile al pubblico sul settore della sorveglianza, ha individuato 526 aziende che operano nel settore, la maggior parte delle quali è ospitata negli Stati Uniti, nel Regno Unito, in Francia, in Germania, Israele e l’Italia, anche se si individua una certa avanzata nel settore delle aziende cinesi. ↑
