Da diversi giorni, ormai, sportivi e piloti d’aereo non possono inviare a Garmin i propri dati di fitness o ricevere i dati per compilare i piani di volo perché tutti i servizi interattivi dell’azienda sono in blackout, bloccati da un attacco di ransomware. Solo pochi giorni prima un altro attacco rivolto verso Twitter aveva invece consentito un copioso invio di messaggi fasulli dagli account reali, e verificati, di vip e personaggi famosi.
“Sono cose che oramai succedono tutti i giorni” dicono i gli osservatori più qualunquisti, quasi compiaciuti della fragilità delle reti e dei sistemi delle aziende tecnologiche; mentre i soliti bene informati puntano il dito di volta in volta su quanto sono diventati bravi gli hacker o su quanto sono sciatti gli addetti alla sicurezza delle grandi multinazionali. I giornali e quotidiani mainstream, dal canto loro, non danno neppure più risalto a notizie del genere, relegandole al folklore della Rete e, al massimo, ne sottolineano solo gli aspetti più grotteschi.
Cose del genere succedono oramai quasi tutti i giorni, è vero: ad esempio solo poche settimane prima ben undici impianti produttivi della Honda sono rimasti fermi alcuni giorni per un attacco di ransomware, lo stesso che ha colpito negli stessi giorni anche Enel senza tuttavia, in questo caso, provocare danni agli impianti produttivi né disservizi agli utenti. Ma questi due casi, benché simili tra loro nella sostanza, sono tuttavia diversissimi nella valenza: Honda infatti è un’azienda privata e non un’infrastruttura critica, e in quanto tale deve rendere conto dei propri disservizi solo a sé stessa e ai propri azionisti; non così Enel, che invece eroga un servizio essenziale per la società civile e dunque non può permettersi di sottovalutare le esigenze di resilienza non solo nei confronti dei guasti accidentali ma anche nei confronti degli attacchi deliberati (ed infatti grazie a questo approccio i suoi impianti hanno continuato a funzionare regolarmente).
Ecco dunque l’aspetto rilevante che differenzia profondamente gli attacchi rivolti a Twitter e Garmin da quello rivolto verso Honda, e che merita quindi una riflessione sistemica. È infatti vero che Twitter e Garmin sono società private a scopo di lucro, proprio come Honda: ma la loro attività consiste oramai nell’erogare servizi da cui dipende il funzionamento della società, come Enel. La verità è che Twitter e Garmin sono ormai di fatto delle infrastrutture critiche, anche se pochi (e forse neppure loro stessi) se ne rendono conto.
Twitter non è più solo un social network sul quale i privati chiacchierano del più e del meno: oramai è utilizzato soprattutto come canale ufficiale di informazione da parte di un numero sterminato di aziende piccole, grandi e grandissime; da organizzazioni nazionali ed internazionali; da testate giornalistiche ed agenzie di stampa; da organi governativi e diplomatici; da leader politici e religiosi. Il presidente degli Stati Uniti Trump addirittura preferisce affidare sistematicamente a Twitter le proprie comunicazioni ufficiali anziché farle veicolare dagli appositi canali formali della Casa Bianca.
Il caso di Garmin è ancora più eclatante. Ad uno sguardo superficiale sembrerebbe essere un’azienda di prodotto, focalizzata sulla vendita di dispositivi per la geolocalizzazione e la navigazione assistita: e così era alle origini. Poi ha iniziato a sviluppare servizi di supporto ai propri dispositivi: produzione di mappe, raccolta e archiviazione dei dati di spostamento degli utenti… fino ad imporsi in alcuni settori come fornitore essenziale di servizi di supporto alla navigazione, ad esempio in campo aeronautico dove mette in grado i piloti di predisporre facilmente il proprio piano di volo in formato standard Icao, obbligatorio negli Stati Uniti secondo il requisito Faa (Form 7233-4).
Forse Garmin crede ancora di essere un’azienda di prodotto, ma è da anni un’azienda di servizi: e sono ormai i servizi di georeferenziazione e navigazione assistita a supportare la vendita dei suoi dispositivi, non più il viceversa. A loro volta tali servizi sono di fatto dei servizi di pura elaborazione di dati: informazioni di posizione e spostamento, forniti dagli utenti. Ma anche di fitness e di prestazione fisica: dunque, dati personali. Ma, al contrario di Twitter che sa bene di essere una information company e si comporta di conseguenza, Garmin ha relegato la propria IT a mero supporto del business, senza forse comprendere che dovrebbe invece esserne non solo il traino e il driver ma anche la sua salvaguardia in caso di problemi. La resilienza, questa sconosciuta. Il blocco dei servizi, ospitati “in cloud” (ma in realtà in una data factory in estremo oriente), non ha certo compromesso per Garmin la produzione dei dispositivi, come invece è stato per Honda: ma ha fatto di peggio, ad esempio tenendo a terra i piloti che volano per professione. La realtà dunque è che anche Garmin è ormai un’infrastruttura critica, perché da essa dipendono almeno in parte le attività della comunità aeronautica e il buon funzionamento del sistema di controllo del traffico aereo.
A seguito di questi incidenti stiamo dunque scoprendo l’esistenza di, e la nostra imprevista dipendenza da, infrastrutture critiche che non percepivamo essere tali, pur essendo quotidianamente sotto i nostri occhi. Colpa del fatto che i ruoli nella contemporanea società dell’informazione, “liquida” per definizione, finiscono per divenire altro, e le conseguenze a lungo termine e di ampio spettro di tale deriva non sono talvolta immediatamente percepibili. Ciò impone necessariamente una serena ma seria riflessione su cos’è diventato e come evolverà il mondo nel quale viviamo, la società dell’informazione che abbiamo costruito e che ora stentiamo a comprendere per via della sua proteiforme complessità.
A prescindere dunque da “come” sia successo che estranei abbiano potuto inviare messaggi da Twitter a nome di altri, o che i servizi in cloud di Garmin siano ancora bloccati dopo diversi giorni, la cosa adesso più importante da fare è ragionare su “cosa” è successo e soprattutto su cosa sarebbe potuto succedere, o potrebbe succedere in futuro. Perché è chiaro che i problemi non si limitano a quel poco che si è visto, e le vere conseguenze forse non le abbiamo ancora osservate, ma dobbiamo necessariamente ed urgentemente imparare dall’esperienza per prevenire casi ancora peggiori in futuro.
Il caso Twitter, ad esempio, avrebbe potuto scatenare effetti ben più importanti rispetto alla misera raccolta di qualche centinaia di migliaia di dollari in bitcoin, a danno di qualche decina di ingenui caduti in una truffa che definire inverosimile è poco. Con un po’ più di pianificazione e confezionando qualche messaggio più plausibile da parte dei vip si sarebbe invece potuta creare un’azione speculativa senza precedenti, facendo ad esempio crollare la Borsa di New York per qualche minuto, giusto il tempo di vendere massivamente un attimo prima del crollo e ricomprare massivamente un attimo prima della risalita…
Più sottile ed articolato è invece lo scenario che si apre attorno al caso Garmin. Al di là del blocco dei servizi e del danno diretto e di immagine che questo sta comportando all’azienda, e dei disagi che sta comportando per il pubblico, vi sono altre questioni delicate che meritano qualche riflessione. Ad esempio si potrebbe legittimamente supporre che il malware usato per l’attacco abbia provveduto ad esfiltrare in tutto o in parte i dati di localizzazione e tracciamento degli utenti, prima di cifrare i server dell’azienda bloccandoli: oramai quasi tutti i ransomware lo fanno, per capitalizzare ancora di più sulla situazione della vittima.
Non dimentichiamo allora che i dati inviati a Garmin dai dispositivi usati dai runner e dai trekker includono non solo la posizione ma anche una serie di parametri di wellness e fitness quali la frequenza cardiaca, la forma fisica ed altro ancora. Al di là quindi delle questioni, che pure non sono secondarie, legate alla privacy di questi che sono veri e propri dati sanitari, ci potremmo chiedere quali usi potrebbe fare un’organizzazione criminale di questo immenso patrimonio di dati di tracciamento e di salute delle persone, accuratamente georeferenziati. E le risposte potrebbero condurci lontano, ad esempio verso la turbativa o il condizionamento di alcuni tipi di mercati, quali ad esempio quello dei farmaci o delle assicurazioni sanitarie. Da questi dati infatti è verosimilmente possibile inferire l’incidenza sul territorio di determinate patologie (per prime quelle cardiovascolari) in modo molto più accurato rispetto a quanto consentito dagli studi epidemiologici comunemente disponibili: sfruttando questa conoscenza, non è impensabile che qualche organizzazione spregiudicata, facendo cartello con altre, potrebbe illegalmente “fare” il prezzo dei farmaci o delle assicurazioni sanitarie, diversificandoli sul territorio addirittura a livello di singolo quartiere, sulla base della maggiore o minore incidenza di determinati tipi di indicatori desunti dalla base dati disponibile.
Qualche anno fa, in occasione di uno dei primi blackout di Facebook, un senatore statunitense propose provocatoriamente di promuovere tale piattaforma al rango di infrastruttura critica, data la dipendenza che molte aziende avevano oramai sviluppato nei confronti dei suoi servizi. La situazione da allora è peggiorata, e la nostra società oramai dipende in modo sottile e spesso occulto da molti altri servizi erogati da aziende private, di cui non riconosciamo la necessità finché non vengono a mancare. Oggigiorno la resilienza globale non dipende più solo dal funzionamento di quelle che da sempre identifichiamo come infrastrutture critiche (acqua, energia, trasporti) ma anche da piccole e talvolta oscure realtà, spesso private, che non percepiamo come vere e proprie infrastrutture critiche ma sono invece altrettanto essenziali.
La Direttiva Nis ha ben inquadrato questa seconda categoria, definita dei “Fornitori di Servizi Digitali” per distinguerla dagli “Operatori di Servizi Essenziali” che sono le vere e proprie infrastrutture critiche: ma ad essa non è stata riservata la stessa attenzione, forse perché a parte i grandi (Google, Amazon, Microsoft, Facebook) la categoria è composta di aziende più piccole e verticali. Ma la riflessione si impone, e deve essere portata anche al di fuori dell’ambito traguardato dalla Nis se non vogliamo lasciare scoperto uno degli anelli più critici della catena della resilienza per il prossimo futuro.