ANTEFATTO
Cosa hanno in comune le azioni di spionaggio antiamericano attribuite alla Cina (da ultimo, un massiccio attacco reso pubblico lo scorso 14 settembre) e la morte, in Germania, di una donna che non avrebbe ricevuto cure tempestive perché l’ospedale tedesco nel quale doveva essere ricoverata era paralizzato da un attacco ransomware?
La risposta è in una parola di tre lettere: “bug” —mostro— il nomignolo che dai tempi di Thomas Edison identifica errori di progettazione e costruzione che sfuggono all’attenzione dei tecnici e che spuntano a mesi di distanza provocando fastidi e, a volte, danni molto consistenti.
Grazie a vulnerabilità di piattaforme prodotte da Cytrix, Microsoft e Pulse Security, secondo le strutture di sicurezza Usa gli attaccanti sarebbero riusciti a compromettere i sistemi di agenzie federali e soggetti del settore privati. Mentre nel caso dell’ospedale tedesco, gli attaccanti hanno utilizzato una nota vulnerabilità degli apparati Cytrix per iniettare un ransomware nella rete della struttura sanitaria.
LA CATENA DELLE RESPONSABILITÀ NEGLI ATTACCHI INFORMATICI
Fatti del genere, in realtà, non fanno più nemmeno notizia perché sono oramai diventati all’ordine del giorno e proprio la frequenza con la quale accadono ha generato la convizione che non ci siano reali contromisure e che, a parte “tappare” i buchi informatici con le “patch”—i cerotti che le multinazionali Ict di tanto in tanto rendono disponibili—non ci sia molto altro da fare. In ultima analisi, dunque, il consenso generale è che la responsabilità per contagi da ransomware, accessi abusivi o furto di informazioni sia di chi ha mal progettato o mal gestito la propria infrastruttura informatica.
Per certi versi, e in certi limiti, questa conclusione è corretta ma risolve solo metà del problema. È certamente vero che, in termini di causa prossima, la cattiva gestione di un’infrastruttura tecnologica è il cavallo di Troia che facilita l’attacco. Ma è anche vero, mantenendo la metafora filosofica, che l’utilizzo di piattaforme e apparati mal concepiti e realizzati è la causa prima nel senso che la presenza di vulnerabilità è ciò che consente di sferrare un attacco altrimenti impossibile. Sarebbe quindi naturale ipotizzare che chi produce sistemi del genere sia vincolato a garantirne la sicurezza e sottoposto a sanzioni quando questo obbligo non viene rispettato. In realtà non è così perché storicamente, a differenza di altri comparti, l’industria del software è largamente immune ad azioni legali di questo genere, nonostante la quantità di “zero-days” —le vulnerabilità scoperte dalla comunità degli esperti e da quella dei criminali— ignoti persino ai produttori delle piattaforme. Se a questo aggiungiamo due fattori —l’interconnessione fra sistemi pubblici e privati e la stratificazione, decenni dopo decenni, di tecnologie sempre più vulnerabili con il passare del tempo— è agevole capire che abbiamo costruito un Colosso di Rodi informatico.
SECURITY BY DESIGN E SICUREZZA NAZIONALE
Il fatto che persino le autorità di sicurezza statunitensi riconoscano che anche i prodotti americani sono il veicolo per azioni ostili dovrebbe far riflettere sull’approccio politico alla sicurezza nazionale e all’ordine pubblico tecnologico. Preoccuparsi —giustamente—delle conseguenze dell’utilizzo della tecnologia di Huawei nell’infrastruttura 5G italiana senza affrontare contemporaneamente il fatto, certificato, che pure le vulnerabilità delle tecnologie americano consentono attacchi alle infrastrutture critiche italiane significa imitare il personaggio di uno spot pubblicitario degli anni ’80 di una nota marca di rubinetti che cercando disperatamente di tappare perdite di acqua, finisce con farsela uscire dalle orecchie non avendo altri mezzi a disposizione.
La scelta compiuta dal governo con il decreto legge 105/2019 di istituire il Centro di valutazione e certificazione nazionale andava esattamente verso questa direzione ma —anche prescindendo dal fatto che a quasi un anno dall’emanazione del decreto la struttura non è ancora attiva— ci sono seri dubbi sulla sua effettiva efficacia. Forse è per queste ragioni che, consapevole di queste difficoltà intrinseche, il decreto Conte-Huawei è andato in una direzione diversa da quella stabilita dal decreto 105/19 e ha trasferito a Tim — un soggetto privato —il compito di eseguire i controlli che sarebbero spettati al Cvcn.
Cercare vulnerabilità nei codici sorgenti di firmware, sistemi operativi e piattaforme, verificare che i componenti hardware siano effettivamente ciò che dichiarano di essere invece di nascondere funzionalità non pubbliche, controllare che in fase di produzione non vengano aggiunti componenti da usare a danno degli utenti è un’impresa che nemmeno i Titani avrebbero potuto portare a termine e che, certamente dunque, non riuscirà al Cvcn o a Tim, nonostante il budget e il personale che può essere stato loro affidato. E se anche ci fossero le risorse, il Governo si dovrà scontrare con la tutela della proprietà intellettuale e industriale (essenzialmente) statunitense, in forza della quale i produttori imporranno la sottoscrizione di impegni di riservatezza e relative pesanti penali per la loro violazione). In conclusione, dunque, l’utilizzo di tecnologie (a prescindere dalla provenienza geopolitica) per le quali non esiste alcun obbligo di progettazione e produzion sicura implica che le infrastrutture critiche italiane continueranno nei fatti ad essere vulnerabili a prescindere dalla presenza di tecnologia cinese.
POSSIBILI SOLUZIONI
In termini strettamente giuridici, alcune soluzioni già esistono (per esempio l’obbligo imposto dal Reg. Ue 679/16 di garantire la progettazione sicura dei sistemi informatici per proteggere i dati personali), altre potrebbero essere facilmente adottate (riconoscere che il software è un prodotto e non un “atto creativo”, consentendo quindi l’applicazione di obblighi e responsabilità analoghe a quelle previste, per esempio, nella direttiva 2006/42/CE (cosiddetta direttiva macchine) recepita in Italia con il d.lgs. 17/2010. Inoltre, riprendendo un approccio utilizzato dagli Usa negli anni ’60 con la messa in pubblico dominio del Tcp/Ip (il protocollo su cui si basano le comunicazioni internet), sarebbe importante che il governo stabilisse alcuni principi irrinunciabili per l’utilizzo di piattaforme software nelle infrastrutture critiche e non solo: il tema è sul tavolo —ma largamente ignorato— fin dal 1999.
Una soluzione strutturale, tuttavia, non può che essere politica e deve partire dall’acquisizione di una consapevolezza: è semplicemente impossibile garantire la sicurezza nazionale e l’ordine pubblico senza un’industria europea dell’Ict che parta dalla progettazione e realizzazione della componentistica per arrivare allo sviluppo di apparati, software e algoritmi crittografici per le infrastrutture (non solo) critiche. È chiaro che un progetto del genere richiede tempi lunghi, ma già strutturarlo e avviarlo imprimerebbe una direzione e un verso al vettore sicurezza nazionale, chiarendo ruoli, doveri e responsabilità dei soggetti coinvolti. E nel frattempo, i rapporti con i fornitori di tecnologia dovranno essere gestiti applicando la regola di Michael Corleone ne Il Padrino – parte seconda: keep your friends close, but enemies closer.