Il caso Crypto AG dimostra come, nel mondo della sicurezza nazionale e cybersecurity in particolare, sia fondamentale quanto molti esperti stanno dicendo ormai da diversi anni: i software e la parte infrastrutturale delle reti di un Paese devono essere creati e prodotti “in casa” avvalendosi di società italiane con “dna” al 100% italiano, soprattutto se vengono usate per trasmettere informazioni sensibili sotto il profilo della sicurezza nazionale.
A nulla valgono altre forme di controllo se non si mettono in piedi sistemi di vigilanza e di audit approfonditi, costanti e puntuali da parte delle autorità competenti in materia di sicurezza nazionale.
Scandalo Crypto AG: che è successo
Dai primi anni ’50 al 2018 la Crypto AG ha fornito la tecnologia per cifrare le conversazioni ai Governi di mezzo mondo. Tutti, dalle notizie che emergono anche l’Italia, ma non la Cina e la Russia che evidentemente non si fidavano molto di questa società. E con il senno di poi hanno fatto molto bene visto che, dalle prime notizie stampa che emergono in questi giorni, sembra che la Crypto AG era in realtà controllata segretamente dalla CIA e dalla BND, i servizi segreti della Germania Ovest e in realtà aveva implementato dei sistemi per carpire a sua volta e in modo occulto le informazioni che questi governi cifravano. Informazioni che per loro natura erano ovviamente delicate proprio perché erano meritevoli di essere cifrate. Per moltissimi anni diversi governi hanno usato strumenti per cifrare le comunicazioni appositamente creati per poter essere facilmente aggirati dagli Stati Uniti. Questa vicenda è emersa grazie al solito Washington Post, che ha avuto accesso ad un dossier di 96 pagine della CIA su questa questione che passa alla storia dell’intelligence con il nome di “Operazione Rubicone”.
Il Washington Post dichiara che i prodotti venivano realizzati anche in una versione sicura e priva dell’exploit. Questa veniva usata dagli USA e dai Governi alleati. Alcuni stanno sostenendo che in realtà versioni dei prodotti non sicuri sono stati utilizzati e venduti anche a paesi amici e alleati.
Vedremo se questo verrà in qualche modo accertato o smentito.
L’azienda sarebbe stata controllata, secondo alcuni[1], dalla Cia addirittura fino al 2018, anno in cui questa è stata ceduta a due altre compagnie: la CyOne Security e dalla Crypto International.
Attualmente i prodotti della Crypto AG vengono ancora usati, sebbene la Crypto AG sia stata liquidata due anni fa, e tutti i suoi asset rilevati dalle compagnie di cui sopra. Entrambe le aziende sostengono che non ci sia mai stato nessun legame tra loro la CIA e altri Governi o agenzie di intelligence.
L’importanza di un controllo più stretto su sistemi e soluzioni tecniche
Vedremo se su questa vicenda le cose si chiariranno e se arriveranno altre smentite o conferme. La cosa che invece qui preme sottolineare ancora una volta[2] è la necessità che tutto il mondo che governa la cybersecurity nazionale e le infrastrutture critiche del Paese non ascolti le sirene che portano verso soluzioni e prodotti non “trusted”. Il pericolo che si nasconde dietro l’economicità di certe soluzioni non italiane è elevatissimo. Il ricorso a gare d’appalto anche per le infrastrutture critiche o ambiti di sicurezza nazionale con i soli criteri scelta basati sull’ economicità presta il fianco a casi ben peggiori di Crypto AG.
L’innalzamento del controllo sulle misure di sicurezza implementate sui prodotti in vendita, sulle garanzie e sul rispetto degli standard potrebbe non essere sufficiente (vedi Perimetro sicurezza cibernetica ora in fase attuativa).
L’augurio è che dopo lo stupore iniziale (ma forse neanche tanto) che segue queste notizie, vi sia una concreta volontà e operatività (anche politica) che consenta anche a livello legislativo di adottare sistemi e soluzioni controllate e controllabili. Ormai non si può più far finta di non sapere o di non aver capito che forse anche l’Italia deve dotarsi di una produzione “in house”.
[1] Si veda, l’interessante e completo articolo pubblicato su Everyeye
[2] Mi riferisco a quanto già affermavo l’anno scorso in quest’articolo
