Un recente comunicato disponibile sul sito di Apple rende noto che il governo tedesco ha autorizzato l’uso di iPhone e iPad sui quali è installata la versione 26 del sistema operativo iOS per gestire informazioni “Nato Restricted”.

Al netto dei toni entusiastici comprensibilmente adottati dal marketing Apple, questa notizia merita alcuni approfondimenti sull’interazione fra sicurezza operazionale e sicurezza tecnologica nell’ambito della politica Nato di acquisti di prodotti qualificati come Commercial Off-The-Shelf (Cots)

Un’autorizzazione nazionale, non Nato

In primo luogo, è necessario chiarire che l’uso di questi strumenti è stato autorizzato non dalla Nato in quanto tale ma da un singolo membro – la Germania, appunto.

In secondo luogo, va evidenziato che iPhone e iPad potranno essere usati soltanto per scambiare informazioni “Nato Restricted”, cioè posizionate al quarto livello del sistema di classificazione dell’Alleanza atlantica, la cui diffusione non autorizzata potrebbe incidere negativamente sugli interessi dell’Alleanza stessa ma non provocare danni più gravi.

In terzo luogo, si deve considerare che la presa di conoscenza di queste informazioni non richiede necessariamente il possesso di nulla osta di sicurezza da parte del personale coinvolto. In altri termini, le informazioni Nato Restricted sono disponibili anche a personale che non è stato sottoposto a ulteriori controlli oltre quelli previsti per il ruolo o l’incarico che svolgono.

Infine, la certificazione di iPhone e iPad non esclude la possibilità di usare delle app Android per gestire informazioni Nato Restricted.

Perché l’uso è limitato a informazioni di bassa criticità

Benché progettati con maggiore attenzione alla sicurezza e in particolare con la possibilità di attivare il “lockdown mode”, device e sistema operativo non sono invulnerabili. Tanto è vero questo che già a livello di indagini penali (cioè con risorse meno consistenti di quelle di una struttura ostile) a certe condizioni la sicurezza di iOS potrebbe essere aggirata. Il che spiegherebbe come mai prodotti commerciali siano stati relegati all’impiego in ambiti di bassa criticità.

Sicurezza dei dispositivi e necessità di counterintelligence

Fino ad ora, ci si è occupati delle caratteristiche degli strumenti Apple dal punto di vista della loro resistenza ad attacchi di operatori ostili. Tuttavia, è ben possibile che questa sicurezza particolarmente elevata diventi un problema, per esempio nel caso fosse necessario prendere conoscenza dei contenuti di un iPhone nella disponibilità di qualcuno sospettato di essere una spia.

Il nodo della cooperazione con Apple

Per fronteggiare questa evenienza, si potrebbe immaginare che nel sistema operativo sia stata inserita una qualche funzione “passepartout” per consentire l’accesso ai contenuti della periferica anche contro (o all’insaputa) dell’utente.

Apple, però, già nel 2016, ai tempi della strage di San Bernardino e poi più di recente nella controversia con il governo inglese, aveva fieramente negato l’esistenza e la volontà di includere questo grimaldello nei propri prodotti.

Se questa scelta industriale può “tenere” rispetto al mercato civile, essa è più problematica in ambito militare: è accettabile che in ambiti classificati, pur se a basso livello, possano essere utilizzati strumenti che la Nato non può controllare pienamente?

Quattro scenari possibili per l’accesso ai dati

In termini astratti, questa domanda ammette diverse possibili risposte.

La prima è che sì, in effetti, usando prodotti Apple nemmeno la Nato potrebbe (facilmente) aggirare le misure di sicurezza nel caso fosse necessario individuare la fonte di una fuga di informazioni. Il punto, per essere chiari, è che pur essendo le informazioni Nato Restricted di (relativo) scarso valore, il vero buco di sicurezza sarebbe la maggiore difficoltà di scovare la “talpa”.

La seconda, improbabile come si è detto, a quanto è dato di sapere, è che “discretamente” Apple abbia accettato di indebolire le difese del proprio sistema operativo e del relativo hardware.

La terza è che Apple abbia accettato, come già ha fatto con il governo inglese, di disattivare determinate funzioni di sicurezza per consentire un accesso facilitato delle forze dell’ordine ai contenuti dello smartphone.

La quarta è che su questi device sia stato installato un software per il client-side scanning, cioè per la verifica preventiva della natura dei contenuti che devono essere inviati, prima che vengano cifrati e spediti. Apple già possiede questa tecnologia, visto che più o meno contemporaneamente al Regno Unito e all’Unione Europea, l’azienda di Cupertino aveva proposto l’installazione di un sistema del genere per la “tutela dei minori”. Successivamente non se ne fece nulla, ma la tecnologia rimane disponibile e dunque, nulla avrebbe vietato di estenderne l’utilizzo anche ad altri tipi di informazioni.

La sicurezza operazionale è il perimetro da presidiare

Quelle che precedono sono, evidentemente, delle congetture, ma è chiaro che, valutata da una prospettiva esclusivamente tecnologica, la scelta di consentire l’uso di strumenti civili in ambiti classificati pone problemi difficilmente risolvibili in modo semplice. Parrebbe quindi più sensato rimeditare la scelta e tornare all’impiego di apparati sotto il pieno controllo della Nato – e in generale di una struttura che tratta informazioni classificate.

Se, tuttavia, questo non fosse possibile, allora sarebbe opportuno meditare sull’opportunità di elevare il livello di sicurezza operazionale che il personale dotato di hardware Apple dovrebbe rispettare. Il che significherebbe, ad esempio, rendere obbligatori i nulla osta di sicurezza anche per consultare le informazioni Nato Restricted, incrementare i controlli periodici sul personale e attivare procedure di key escrow.

In ultima analisi, dunque, la lezione che si può trarre dalla scelta di inserire prodotti commerciali nell’infrastruttura di gestione di informazioni classificate è che non si dovrebbe cadere nell’equivoco di pensare che basti occuparsi di sicurezza tecnologica per proteggere l’Alleanza da attacchi che possono essere scagliati con modalità meno “affascinanti” ma non per questo meno efficaci.

Questo approccio può funzionare come leva di marketing per un’azienda privata, ma non come requisito di policy per chi opera nell’alta sicurezza.