Sono stati due mesi piuttosto convulsi per il campo della sicurezza, tra nuovo Perimetro di Sicurezza Nazionale Cibernetica appena approvato da parte del Consiglio dei Ministri, la mancata conversione in legge del Golden Power – poi recuperato nel decreto del Perimetro; approvazione del DL Sicurezza (il 5 agosto 2019 il Senato ha approvato definitivamente, nel testo licenziato dalla Camera, il disegno di legge di conversione del decreto-legge n. 53 del 2019, che reca disposizioni urgenti in materia di ordine e sicurezza pubblica).
Mesi convulsi, dicevamo. Ma anche confusi, dato che è ancora poco chiara la governance dei vari tasselli – tra il Dis e il nuovo dipartimento trasformazione digitale che nasce a gennaio 2020, mentre all’Agid sembrano sottratte le competenze di sicurezza e ancora non si vede il tanto atteso Dpcm sul Csirt (che aspetta quindi ancora l’operatività).
Ma andiamo oltre questi tasselli che, se visti troppo da vicino – rischio molto comune in Italia, invischiata da sempre in guerre di competenze – possono farci perdere la vista d’insieme. L’obiettivo ultimo.
Partiamo dal presupposto che al di là della “quaestio politica”, da cui non si può comunque prescindere, l’attenzione della nostra governance verso concetti come sicurezza e difesa nazionale non può abbassarsi né rallentare o fermarsi e perdere il treno del resto del mondo che giudica questi temi centrali per la vita sociale ed economica dei paesi e delle persone. A tal punto ci auguriamo di iniziare a parlare di “gestione ottimale”, mentre si decidono le sorti del Paese, di questi concetti e portare a concretezza idee fondamentali prodotte dal governo precedente.
Perimetro cibernetico: non è solo questione di web
Parlo in primis del perimetro di sicurezza che non ha destre, sinistre o centro. Il Perimetro, come si evince già dalla su radice etimologica, è delimitazione attraverso una linea di un contenuto, luogo o contesto. Da qui si desume che la parola rimanda alla possibilità di rispondere a minacce di determinati e vari contesti in maniera concreta. Essa ha a che fare con la nostra vulnerabilità e, quindi, la nostra protezione. Protezione che non va confusa, facendo l’errore della tendenza attuale, con il solo mondo del web. Essa risponde in maniera più seria e completa alla nostra esposizione verso criticità varie date dal concetto più ampio di inclusività sociale.
Ovvero all’interno di sistemi sociali già conosciuti, dove per inclusivo si intende anche la nostra vulnerabilità fisica (quando prendiamo una metro, quando andiamo in auto, quando siamo in treno, a casa etc.) ed eterea (propriamente del web e del corredo Cyber). Questa delineazione rimanda ad un impegno sempre più forte e completo che a sua volta ci descrive meglio il tutto chiamando in ballo, ormai da tutti, la “riesumata” cibernetica. Quest’ultima non è però una parola semplice o da poter applicare ovunque come resilienza, mitigazione e altro, ma è una singola scienza che non gestisce le sole connessioni web o eteree. Essa è un controllo o studio dei sistemi integrati, naturali ed artificiali, vivi o non-vivi, fondata nel 1948 dal matematico americano Norbert Wiener.
Il nostro mondo è ormai integralmente costituito da sistemi intrecciati tra loro e che interagiscono. Il Perimetro cibernetico, unendo le due parole, si rivolge, quindi, a questi sistemi che sono gli oggetti che ci circondano, le interazioni sociali, le economie di più paesi, la rete fisica di una strada, ma anche una rete di computer, una cellula, un organismo vivente che produce ecosistema e tutti i macchinari intelligenti che interagiscono tra loro e con i vari device.
Cosa vuol dire proteggere le reti
Lo strumento normativo che si sta cercando di attuare andrà a proteggere la sicurezza di queste infrastrutture: proteggere il perimetro cibernetico vuol dire, quindi, proteggere le reti in generale. La possibilità che ogni connessione ad alta velocità (non solo 5G) sia attuabile è chiaramente alta, ma non può essere realtà se non ha il supporto delle reti e, appunto, delle infrastrutture fisiche che sono alla base della struttura di ogni connessione. Da questo lato non dimentichiamo le parole di qualche tempo fa del già presidente del Copasir, e ora Ministro della Difesa, Lorenzo Guerini, che ha affermato che un provvedimento del genere (in quel caso riferendosi al Golden Power) può essere uno “snodo fondamentale nel contesto del sistema di sicurezza cibernetica nazionale”.
Qui non è in ballo la mera velocità di un collegamento o la sua ipotetica applicazione secondo solo delle norme, bensì l’incertezza del nostro Paese che ha di fronte dei pericoli seri che vanno dagli attacchi informatici ai blackout energetici. Dopo la direttiva ultima NIS, il nuovo comma 3-bis inserito nell’art. 1-bis del DL 21/2012, questo concetto di Perimetro fa paio e completa quello di qualche tempo fa sui big data varato da Agcom, Antitrust e Garante Privacy. Con tale termine, non si assiste, quindi, solo ad una politica di attenzione maggiore sulla Cyber Security, ma a una polarizzazione su tutto l’asse delle nostre vite. Da qui spero si rendano consapevoli i tanti che ancora oggi approcciano il sistema cibernetico a piccoli mattoni, senza capirne l’interezza e la loro dipendenza.
I tre pilastri del perimetro cibernetico
In tal senso penso ad un suo futuro con tre principali compiti e relativi impatti. Vediamo quali.
- Il primo è spingere sempre più l’acquisizione da parte dello stato di veri poteri speciali (citati anche dal già Golden Power),
- il secondo è generare, in una sorta di reticolarità di informazioni, sempre più la tutela della difesa e della sicurezza nazionale,
- il terzo andare a definire in maniera finalmente seria una disciplina come quella della omogenizzazione degli interventi (in termini di contratti) su reti fisiche e reti “eteree” date dai cloud o server dislocati.
Cosa accadrebbe fattivamente all’interno di questi tre compiti e tre topic? Il primo, quello dei poteri, nasce in maniera diretta nel controllo e nella valutazione di un’eventuale gestione errata delle reti nelle loro interazioni. Ovvero mi auspico che si monitoreranno sempre più i fattori di vulnerabilità dei dati, della cosiddetta tecnologia emergente, ma anche di come tali tecnologie impattano nella nostra realtà quotidiana. In pratica nel momento in cui si vanno ad aggiornare le reti in base al nuovo flusso dei dati, si tende a controllare l’integrità e la caducità degli stessi che circolano ad una velocità mai conosciuta prima. Questo aspetto è fondamentale nella cosiddetta “catena di valore” dei prodotti in circolazione e dei contratti in essere. Da qui si dovrà obbligatoriamente capire il flusso della realizzazione di una rete.
Cioè dal contenuto del dato, ai suoi tempi e relative modalità di sviluppo informativo. Questo aspetto è proprio fondamentale per la riduzione delle asimmetrie tra utenti e operatori digitali. Verrà monitorato il processo dalla prima fase della raccolta dati e verrà studiato nella sua trasformazione a informazione nelle piattaforme digitali degli operatori, quindi come i dati transitano nei cavi sotto forma di flusso e come vengono utilizzati dalle società di rilievo e come tali dati si intersecano con gli oggetti.
In questo scenario sarà importante tenere conto della provenienza delle sorgenti dei dati e come queste ultime generano quelle che possiamo chiamare “entità destinanti”. Se questi dati hanno una sorgente definita, la vera sfida sta nella possibilità di comprensione del come vengono interpretati e di quale ruolo avranno. Il primo compito apre la strada al secondo: ciò che questo perimetro potrà dare nella tutela della difesa e della sicurezza nazionale. Con quest’ultimo riusciremmo a tracciare il percorso dei dati in una rete definita, per capirne i collegamenti, i canali di interconnessione tra nodi e comprendere i nodi di commutazione chiamati switching nodes. Questi ultimi sono da controllare bene perché se non si controlla questo percorso (il vero perimetro che di per sé può diventare illimitato) si tende a non individuare l’informazione finale. Se non c’è controllo dell’interconnessione, provenienza e sviluppo dei dati sulla rete, si potrebbero perdere i nodi terminali e le informazioni in cui un sistema si pone come tale. Tale interconnessione è proprio della rete sociale, ma anche degli attacchi Cyber. Questo atteggiamento mette in “contatto” i dispositivi con i loro stessi collegamenti.
La necessaria ricezione del perimetro
Qui un altro punto importante del concetto di Perimetro e della sua necessaria ricezione. I device oggi sono interconnessi con le cose (anche se oggi in una percentuale bassa rispetto a ciò che dicono) e queste ultime hanno lo scopo di tramutare e consentire il messaggio iniziale in un’altra realtà fisica, che chiamiamo comunemente Internet del Tutto (che sta sostituendo Internet delle cose) o segnali di commutazione. Se ad esempio aumenta la velocità del trasferimento dei dati, deve altresì aumentare la possibilità di capire come quel trasferimento sta avvenendo e come farlo “dialogare” con le altre cose. Qui, con l’istituzione del perimetro, il controllo dovrà essere l’oggetto di quel trasferimento.
Se aumentiamo questo controllo dobbiamo essere consapevoli che le reti, passando dalla banda larga, diventano dei core networks, cioè degli smistatori integrati in cui in mezzo dovrà passare il controllo delle reti pubbliche, private, integrate, radio, wireless e tanto altro. Questo secondo compito mira a individuare possibili fattori di vulnerabilità e apre le porte alla verticalizzazione e alla consapevolezza di delineare, nel suo terzo compito, una disciplina e omogenizzazione di talune regole. Qui iniziamo a parlare seriamente di applicare il perimetro cibernetico. Si dovrà delimitare e sensibilizzare, da parte dello Stato, tanto l’impresa privata che le PA, per riportarle ad un senso di responsabilità transnazionale in cui i timori della piramide della vulnerabilità, posti dalla velocità dei dati stessi, sia non un quadro normativo da incorniciare, ma un possibile riferimento dei pericoli della rete stessa. Quest’ultimo compito mira a rendere consapevoli gli addetti ai lavori, del fatto che portare la sicurezza nella propria infrastruttura attraverso un percorso articolato composto da link propedeutici può causare solo problemi e danni di tipo trasversale ed è esattamente obsoleto.
Il disegno di legge andrebbe a contrastare questo composito approccio chiamato anche Directory Traversal. Da una pagina di informazioni di una singola impresa o PA qualsiasi hacker può risalire ad ogni singola informazione di quel file. Una sorta di informazione su come quel sistema colloquia nel suo interno. Dai sistemi di movimentazione delle merci alle abitudini degli impiegati e al sistema sociale in genere, fino a poter entrare nella rete aziendale per poi linkare file depositati sui server e attaccare il sistema stesso. Studiato il sistema e represse tutte le informazioni (anche quelle operative e di controllo), basta lanciare una query SQL dentro l’azienda studiata e distruggere i sistemi. Si agisce sugli script che alterano la stabilità del sistema. In tal caso, oltre che ai dettagli tecnici come l’introduzione delle Intrusion Detection System (IDS) e Web Application Firewall (WAF), serve la presenza forte e dettagliata dello Stato. Il perimetro cibernetico potrà fare questo: si potrebbe iniziare a sentire forte anche la possibilità delle imprese di investire nelle risorse interne e nei consulenti seriamente competenti.
In tale direzione inizia a prendere corpo da una parte una sensazione di maggiore autonomia dell’Italia nei confronti di altri paesi, per rivendicare un ruolo centrale sulla gestione delle problematiche web e soprattutto sociali, e dell’altra si percepisce vitalità dei nuovi studi sulla crittografia, non dimenticando che tanti paesi si stanno muovendo per una propria crittografia o una propria rete non attaccabile dall’esterno, vedi Russia, Cina, Iran, Venezuela, in parte Israele e Cile.
