Oggi la stragrande maggioranza delle nazioni dispone di squadre di professionisti o cyber legionari che attraverso azioni di quello che viene oramai comunemente denominato “government hacking” sfruttano l’insicurezza dei sistemi ICT per svolgere attività di controllo e invasione del cyberspazio a protezione della “sicurezza nazionale” seguendo un principio di sovranità nazionale declinato secondo il gradimento di ciascun governante.
Dai dati emersi dall’ultimo rapporto “Freedom on the net” si legge, ad esempio, che le autorità di almeno 45 dei 70 paesi considerati sono sospettate di avere accesso a sofisticati spyware o tecnologie di estrazione dati forniti da società come NSO Group, Cellebrite, Circles e FinFisher. Si tratta di strumenti che effettuano degli attacchi veri e propri tipicamente al cellulare del malcapitato su cui poi installano programmi spyware.
Trattandosi di situazioni di fronte alle quali le vittime sono completamente disarmate, ecco allora che si sta facendo strada la richiesta di equiparare la cybersecurity a un diritto fondamentale dell’uomo.
Hacking di Stato, serve una stretta contro il rischio “sorveglianza di massa”
Se l’hacker è lo Stato
La cybersecurity con la “C” maiuscola è sempre esistita e vede sul campo gli stati Sovrani impegnati nel controllo del cyberspazio nazionale e possibilmente internazionale. Si tratta di un contesto in cui, vista la posta in gioco, le risorse impiegate sono almeno quantitativamente di qualche ordine di grandezza superiori a quelle investite nella cybersecurity “ordinaria” di cui in un certo senso è stata precorritrice. Non dimentichiamo infatti che il primo grande attacco di cui si hanno dati certi è avvenuto sulla rete nel 1986 ai danni dei Livermore Laboratories (il lettore interessato può trovare nel testo “The cuckoo’s egg” di C. Stoll tutti i dettagli dell’attacco) e vedeva coinvolti sul lato attaccanti l’allora servizio segreto sovietico KGB e sul lato difesa appunto i Livermore Laboratories che operano e già al tempo operavano su commesse di ministeri statunitensi legati al settore della sicurezza nazionale.
Da allora il settore è significativamente cresciuto e purtroppo da parte dei governi autoritari e dittatoriali si è scoperto che l’insicurezza dei sistemi può essere usata non solo per svolgere “in comodità” azioni di intelligence, ma anche per attuare controlli interni particolarmente pervasivi.
Gli strumenti per il controllo statale del cyberspazio
Per il controllo del cyberspazio interno gli Stati possono disporre di strumenti impensabili per chi opera nella cybersecurity “ordinaria”. Possono ad esempio promulgare leggi che vietano o vincolano fortemente l’uso di particolari tecnologie come, ad esempio, l’uso delle VPN o dei servizi TOR oppure possono autorizzare l’adozione di sofisticate tecnologie di sorveglianza.
La chiusura di internet
Un altro strumento particolarmente efficace nel controllo della rete è la così detta “Chiusura di Internet”, cioè l’isolamento della rete nazionale dal resto della rete. Dal punto difensivo potrebbe essere un ottimo strumento se usato nel momento giusto, per esempio può essere usato per calmierare il diffondersi di un worm, o bloccare un DDos. Ci risulta però che sinora sia stato usato in senso opposto cioè per evitare che traffico interno, tipicamente informazioni e proteste possano essere veicolate verso l’esterno. Si tratta di uno strumento usato non poco, nel primo semestre del 2021 sono state 50 le chiusure di Internet effettuate in 21 paesi.
Quando lo Stato viola i diritti umani
Di fatto alcuni Stati usano diverse forme di attacco informatico finalizzate alla compromissione della riservatezza/integrità delle informazioni per lo svolgimento di attività di sorveglianza di massa o di attacchi mirati a difensori dei diritti umani o giornalisti, in violazione del diritto alla privacy, tra gli altri diritti.
Nell’ordinaria amministrazione sappiamo bene come comportarci di fronte ad un attacco informatico, gli standard e le buone pratiche ci indicano quali strumenti organizzativi e tecnologici predisporre per evitare o contenere l’attacco. Nel caso in questione siamo invece completamente disarmati, non ci sono standard e buone pratiche che tengano. L’unica arma possibile di fronte ad uno stato sovrano è il diritto internazionale. Qui la tecnologia deve arrendersi ai suoi limiti, se anche disponessimo di sistemi sicuri uno stato può vietarne l’uso come d’altronde già avviene per le tecniche crittografiche.
La cybersecurity come diritto fondamentale
Sulla scorta di queste considerazioni diverse associazioni e studiosi hanno iniziato a richiedere a gran voce che la cybersecurity sia trattata alla stregua di un diritto fondamentale dell’uomo. Da sottolineare che tra i soggetti più attivi in questo contesto c’è la Freedom Online Coalition a cui ha recentemente aderito anche il nostro paese.
La suddetta richiesta parte dalla constatazione che lo spazio cibernetico ha oramai invaso quello fisico, che attraverso lo spazio cibernetico esercitiamo molti dei nostri diritti, svolgiamo la nostra attività professionale e buon parte dell’attività sociale, accediamo a gran parte dei servizi e ci formiamo, non consentire alle persone di poter fruire appieno delle potenzialità della rete significa di fatto limitarne significativamente la creatività e le potenzialità di sviluppo. L’equiparazione della cybersecurity ai diritti fondamentali dell’uomo implicherebbe un pronunciamento da parte dell’assemblea delle Nazioni Unite e conseguentemente da parte della maggioranza delle nazioni l’impegno, almeno formale, a garantire a ciascun cittadino l’accesso alla rete e ai suoi servizi (disponibilità), la confidenzialità e l’integrità delle proprie informazioni, negando di fatto tutte le pratiche di cui abbiamo precedentemente discusso.
Il rapporto “Freedom on the net”
Il rapporto “Freedom on the net”, è un sondaggio annuale dell’associazione Freedom House il cui scopo principale è fare il punto sulla libertà nell’accesso a Internet e ai suoi contenuti in tutto il mondo, attraverso l’analisi delle iniziative intraprese sul tema in 70 nazioni prese a campione. Il rapporto è alla sua undicesima edizione e per l’undicesimo anno riscontra consecutivo una riduzione delle libertà sulla rete.
I dati più significativi del rapporto
Questi alcuni dati significativi presenti nel rapporto. Dei 3,8 miliardi di utenti attuali della rete Internet, il 75% vive in paesi in cui le persone sono state arrestate o imprigionate per aver pubblicato sulla rete contenuti su questioni politiche, sociali o religiose. Il 72% vive in paesi in cui le persone sono state attaccate o uccise per le loro attività online. Il 64% vive in paesi in cui le autorità hanno schierato commentatori filogovernativi per manipolare le discussioni online. Il 56% vive in paesi in cui i contenuti politici, sociali o religiosi sono stati bloccati online. Il 46% vive in paesi in cui l’accesso alle piattaforme di social media è stato temporaneamente o permanentemente limitato. Il 41% vive in paesi in cui le autorità hanno disconnesso Internet o reti mobili, spesso per motivi politici.
Il rapporto compila un “indicatore di libertà” il cui valore massimo è 100. Tra i paesi considerati, quello con l’indicatore più elevato è l’Islanda con un valore di 96/100, il paese con l’indicatore più basso è la Cina con un valore di 10/100, l’Italia è caratterizzata da un indice con valore 76/100.
Tra le cause principali della situazione rappresentata dal rapporto va sicuramente annoverata la insicurezza dei sistemi ICT le cui vulnerabilità sono sfruttate, nel caso in considerazione, per attività di sorveglianza più o meno massiccia con conseguenze spesso drammatiche per le libertà delle persone.
Storicamente, accanto alla cybersecurity di tutti i giorni: quella della compromissione dell’account aziendale, dell’attacco di phishing, del ransomware, del dipendente che tenta di fare privilege escalation, ecc. ecc.
Conclusioni
Anche se tutti sappiamo che la dichiarazione universale dei diritti umani è purtroppo un documento che deve guadagnarsi giorno dopo giorno la sua realizzazione, questo tipo di riconoscimento alla cybersecurity avrebbe diverse valenze particolarmente importanti. Rappresenterebbe un punto di partenza per la tanto attesa governance globale della rete, ma soprattutto rappresenterebbe un riconoscimento della cybersecurity come fattore abilitante per lo sviluppo e la crescita dell’intero cyberspazio, il suo ruolo di forza “liberatrice” anziché repressiva. Forse anche per questo l’iniziativa troverà non pochi ostacoli sulla strada della realizzazione.
