Il problema della cyber security dalle nostre parti è sempre stato affrontato con la leggerezza tipica dei cocktail, delle chiacchiere tra una tartina e un calice di prosecco, del mero “pourparler”.
Le ragioni dell’approccio “soft” alla questione sono facilmente identificabili: la ridotta coscienza della tragicità dell’argomento, l’infima conoscenza della poliedricità della questione (che ha ingredienti sociali, tecnologici, giuridici, politici, militari…), l’erronea convinzione che la miglior arma sia PowerPoint, l’insaziabile voglia di esibirsi in tanto frequenti quanto inutili convegni e workshop in cui ripetere sempre le stesse inconcludenti cose.
La situazione – a mutuare Ennio Flaiano – “è grave ma non è seria”.
In preda ad un raptus di citazioni, verrebbe la tentazione di rammentare il “l’è tutto da rifare” di Gino Bartali. Qualcosa di buono o, ad esser più precisi e meno generosi, qualcosa con buona volontà è stato fatto. E così l’incipit lo rubo a Massimo Troisi e scelgo “Ricomincio da tre” e la premessa che l’artista napoletano fece nel suo capolavoro cinematografico.
Nuovo zar della cyber security?
Questa mia chiacchierata con voi prende spunto da una sollecitazione diretta, la telefonata con cui un mio conoscente si complimentava con me per un incarico tanto prestigioso quanto inesistente. Immaginandomi prossimo ad assumere un ruolo istituzionale di rilievo in tema di difesa cibernetica del Paese, voleva chiedermi di scrivere qualcosa in proposito. Un po’ imbarazzato dalla mia dichiarazione di totale estraneità (forse interpretata come la reticenza del vincitore della Lotteria di Capodanno incalzato da uno 007 del fisco) mi ha comunque ispirato qualche riga sul tema. E così, eccomi qui. In piedi su una soap box virtuale, la voce trasformata nel ticchettio del mio inseparabile pc.
Una vita per la cyber
Già, perché quando eero piccolo chi aveva da dire qualcosa poteva approfittare dello “Speakers’ Corner” di Hyde Park. Bastava salire su una cassetta del sapone (o in tempi più recenti su uno sgabello o una scaletta) e arringare i presenti, calamitando l’attenzione di curiosi abituali, passanti casuali, perditempo occasionali.
Adesso non c’è bisogno di arrivare in quell’angolo di verde londinese: il web offre un’opportunità anche ai più pigri desiderosi di far sentire la propria voce e coscienti di incrociare lo stesso imbolsito pubblico che un tempo passeggiava nei pressi del trionfale Marble Arch.
Ho cominciato ad occuparmi a tempo pieno di crimine informatico nel 1988, nascondendomi nella stiva dei vascelli pirati che solcavano gli oceani telematici prima che la bacinella del web portasse a casa di tutti il gusto di mettere i piedi a bagno nell’universo digitale. Nel 1990 i primi due libri (“Il tuo computer è nel mirino” e “Criminalità informatica ed economica”) mi hanno permesso di cristallizzare tematiche che al tempo suscitavano solo paziente sopportazione nei miei interlocutori, increduli di quel che raccontavo con passione e forse un briciolo di sudata competenza. La responsabilità dell’Infocenter al Comando Generale GdF, le indagini hi-tech al Nucleo Speciale di Polizia Valutaria nell’era di Tangentopoli, l’esperienza nello staff di Gianni Billia (storico fautore ed attore della P.A. digitale), quasi dieci anni all’Autorità per l’Informatica nella Pubblica Amministrazione a dirigere il Progetto Intersettoriale per la sicurezza dei sistemi e delle reti pubbliche. Nonostante tre lauree distanti da quelle cose mi sono ritrovato cibernetico per destino, se non per vocazione.
Nel 1996 scrivo “Cyberwar, la guerra dell’informazione” con la prefazione di un “grande sacerdote” e di un laico. Il primo era Alberto Ficuciello, all’epoca comandante della Scuola di Guerra presso la quale insegnavo “Information Warfare”. Il secondo era Beppe Grillo che, nel pieno della sua fase iconoclasta, prendeva a martellate i computer sul palcoscenico ma si avvicinava a capire che quelle macchine infernali avrebbero cambiato la politica e, soprattutto, il nostro modo di essere e vivere.
Dal 2001 al 2012 ho comandato prima il GAT, il Gruppo Anticrimine Tecnologico poi divenuto Nucleo Speciale Frodi Telematiche, collezionando – grazie ad una squadra fantastica – una serie di invidiabili successi tra cui la cattura e la condanna degli hacker che avevano violato Pentagono e NASA, nonché il recupero dei dati di navigazione della Costa Concordia che hanno contribuito alla condanna definitiva di Schettino.
Un anno e mezzo a fianco di Franco Bernabè, prima come suo consigliere strategico e poi come Group Senior Vice President in Telecom Italia, ha completato la mia formazione professionale.
Qualcosa ho fatto, vissuto e visto e non solo sentito dire, insomma.
Come fare la vera cyber security italiana
Non so quali siano le tre cose buone da cui ripartire, credo che le esperienze maturate non vadano certo cestinate, ma reputo ineludibile allargare la visuale quasi si disponesse di un magico grandangolo che non distorca i contorni del contesto.
In primo luogo vanno individuate ed attribuite le competenze. Se è indispensabile il contributo di tanti, le responsabilità vanno accentrate evitando organi collegiali, comitati interministeriali, commissioni onnicomprensive.
Il casting di chi deve recitare ha contemplato anche attori rubati da palcoscenici estranei, calamitati dal fenomeno di moda e ingolositi dalla disponibilità di stanziamenti finanziari che non lasciano indifferenti né la committenza né la platea dei fornitori.
Si parla di difesa cibernetica. Difesa, ecco la parola magica. E, a cercare un sinonimo, vien da scrivere Protezione.
I due termini non si abbinano né alle attività di intelligence, né a quelle investigative della polizia giudiziaria. A dispetto dell’elementarità di questa planare considerazione, nel nostro Paese i protagonisti sono proprio quelli cui la logica non assegnerebbe alcuna priorità.
I Servizi Segreti che – giuro – ero convinto esser chiamati a fare ben altre cose sono divenuti il crocevia della cyber security. La Polizia di Stato, nata – così pensavo – per assicurare alla giustizia banditi di ogni sorta, è nel frattempo assurta al ruolo di scudo blindato delle infrastrutture critiche.
Nessuno nega che in qualunque Sistema Paese simili articolazioni debbano essere preparate su quel fronte: qualunque organizzazione deve essere “combat ready”, ma questo non significa che la cloche debba essere nelle mani di chi siede nelle comode poltrone della Business Class o di chi (comunque bravissimo) si è accomodato in sesta fila lato finestrino.
Ognuno deve fare il proprio mestiere. Chi è così versatile da poter assumere il comando è tenuto a sistemarsi nel cockpit, a ricevere i poteri commisurati alla missione affidatagli, a distribuire i compiti alle componenti strutturali che presidiano i diversi settori, a prendersi (nel bene e nel male) le responsabilità del proprio operato.
Difesa, abbiamo detto. E forse ci piace ancor più “protezione” perché il termine prescinde dalla sussistenza di una condizione bellica, forse perché nel gergo popolare è accompagnato dall’aggettivo “civile”, fors’anche perché ingenera un immaginario senso di accudimento che prescinde da qualsivoglia forma di aggressione.
A doversi occupare di queste cose non devono essere i James Bond nostrani oppure futuribili sbirri dall’invidiabile fiuto, ma un organismo pubblico che va ad affiancare le Forze Armate (cui compete la Difesa), le Forze di Polizia (cui spetta far rispettare le leggi e l’ordine pubblico), le altre entità di tutela pubblica (come Protezione Civile o Vigili del Fuoco cui tocca intervenire in caso di emergenze di propria competenza). Occorre una realtà indipendente (ma al contempo perfettamente raccordata con chi è già in campo) in grado di selezionare le risorse (umane, tecnologiche, logistiche, finanziarie) di cui ha effettivamente bisogno e soprattutto capace di porre fine a quella sequela di piccole gelosie che è stata sedata dando a tutti un osso da rosicchiare.
Il Signore ci eviti l’umiliazione di un crash tecnologico e del conseguente caos sociale che potrebbe seguire da un attacco informatico alle infrastrutture critiche che sono la spina dorsale dell’erogazione dei servizi essenziali (energia, telecomunicazioni, trasporti, sanità, finanza). Se mai dovesse accadere, si sarebbe costretti ad ammettere che le tante roboanti esercitazioni (in cui – tra un croissant e un bignè – si sono simulate le guerre del futuro) sono state soltanto un gioco per far parlare i telegiornali e per scambiarsi l’immancabile tripudio di complimenti reciproci.
Ho cominciato a vedere queste farsesche finzioni nel 1975 da allievo alla Scuola Militare Nunziatella. A sedici anni mi stupivo nel leggere negli occhi dei miei ufficiali la soddisfazione nel vedere una patetica recita sviluppata secondo un copione scritto male ed interpretato peggio. Mutatis mutandis, le cyber-esercitazioni sono la stessa cosa.
Gli anglofili conoscono la differenza tra war e warfare, mentre dalle nostre parti pochi sanno che la belligeranza è la silente condizione di pace apparente. L’information warfare è caratterizzata dall’immanenza di un conflitto invisibile giocato sull’uso dell’informazione come arma e sull’individuazione dell’informazione come bersaglio. Ci si accorge – a questo punto – che non solo gli attacchi ai sistemi informatici ma anche le apparentemente banali “fake news” sono un atto di guerra.
E allora, mentre i fondi destinati alla “cyber” fortunatamente non vengono sperperati (con profondo dolore di chi ci aveva messo gli occhi), viene da chiedersi da che parte cominciare.
Fin troppo semplice.
Una vaccinazione culturale di massa
La prima mossa sullo scacchiere deve essere un’opera di vaccinazione culturale. Bisogna debellare il virus dell’ignoranza, l’endemica carenza di sapere, la micidiale contaminazione del far credere di conoscere quel che invece è ignoto o travisato. L’analfabetismo è il nemico da abbattere: la classe politica deve farsi somministrare gli elementi conoscitivi davvero necessari, rifuggendo dalle nozioni da “Strano ma vero” della Settimana Enigmistica o da quel che racconta il finto esperto tanto gradito al conduttore di questo o quel talk show. Serve, e c’è sempre meno tempo, un’azione di sensibilizzazione che deve contagiare positivamente il management pubblico e privato, per poi “infettare” collaboratori e dipendenti, e infine “appestare” l’intera popolazione.
Se avessi soldi da spendere, li sperpererei in questo modo. “Estote parati” si diceva ai tempi dell’antica Roma. Inutile comprare strumenti, software e altre diavolerie se manca la capacità di servirsene davvero. Inutile comprare dotazioni che arrivano da chissà quale Paese straniero e che chissà che cosa fanno all’insaputa di chi se ne avvale. Inutile pensare che le macchine possano sostituirsi agli esseri umani, dimenticando che una semplice sbadataggine o leggerezza vanifica l’efficacia dei più sofisticati dispositivi di ultimissima generazione.
Inutile forse anche scrivere queste cose. Ma a volte la propria coscienza impone di farlo.