Freedom of the net

Se l’hacker è lo Stato: ecco perché la cybersecurity dovrebbe essere un diritto fondamentale

Secondo l’ultimo rapporto “Freedom on the net” le autorità di molti Stati sono sospettate di avere accesso a sofisticati spyware o tecnologie di estrazione dati e usano forme di attacco informatico volte a compromettere la riservatezza delle informazioni. La soluzione? Rendere la cybersecurity un diritto fondamentale

30 Nov 2021
Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

Oggi la stragrande maggioranza delle nazioni dispone di squadre di professionisti o cyber legionari che attraverso azioni di quello che viene oramai comunemente denominato “government hacking” sfruttano l’insicurezza dei sistemi ICT per svolgere attività di controllo e invasione del cyberspazio a protezione della “sicurezza nazionale” seguendo un principio di sovranità nazionale declinato secondo il gradimento di ciascun governante.

Dai dati emersi dall’ultimo rapporto “Freedom on the net” si legge, ad esempio, che le autorità di almeno 45 dei 70 paesi considerati sono sospettate di avere accesso a sofisticati spyware o tecnologie di estrazione dati forniti da società come NSO Group, Cellebrite, Circles e FinFisher. Si tratta di strumenti che effettuano degli attacchi veri e propri tipicamente al cellulare del malcapitato su cui poi installano programmi spyware.

Trattandosi di situazioni di fronte alle quali le vittime sono completamente disarmate, ecco allora che si sta facendo strada la richiesta di equiparare la cybersecurity a un diritto fondamentale dell’uomo.

Hacking di Stato, serve una stretta contro il rischio “sorveglianza di massa”

Se l’hacker è lo Stato

La cybersecurity con la “C” maiuscola è sempre esistita e vede sul campo gli stati Sovrani impegnati nel controllo del cyberspazio nazionale e possibilmente internazionale. Si tratta di un contesto in cui, vista la posta in gioco, le risorse impiegate sono almeno quantitativamente di qualche ordine di grandezza superiori a quelle investite nella cybersecurity “ordinaria” di cui in un certo senso è stata precorritrice. Non dimentichiamo infatti che il primo grande attacco di cui si hanno dati certi è avvenuto sulla rete nel 1986 ai danni dei Livermore Laboratories (il lettore interessato può trovare nel testo “The cuckoo’s egg” di C. Stoll tutti i dettagli dell’attacco) e vedeva coinvolti sul lato attaccanti l’allora servizio segreto sovietico KGB e sul lato difesa appunto i Livermore Laboratories che operano e già al tempo operavano su commesse di ministeri statunitensi legati al settore della sicurezza nazionale.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Da allora il settore è significativamente cresciuto e purtroppo da parte dei governi autoritari e dittatoriali si è scoperto che l’insicurezza dei sistemi può essere usata non solo per svolgere “in comodità” azioni di intelligence, ma anche per attuare controlli interni particolarmente pervasivi.

Gli strumenti per il controllo statale del cyberspazio

Per il controllo del cyberspazio interno gli Stati possono disporre di strumenti impensabili per chi opera nella cybersecurity “ordinaria”. Possono ad esempio promulgare leggi che vietano o vincolano fortemente l’uso di particolari tecnologie come, ad esempio, l’uso delle VPN o dei servizi TOR oppure possono autorizzare l’adozione di sofisticate tecnologie di sorveglianza.

La chiusura di internet

Un altro strumento particolarmente efficace nel controllo della rete è la così detta “Chiusura di Internet”, cioè l’isolamento della rete nazionale dal resto della rete. Dal punto difensivo potrebbe essere un ottimo strumento se usato nel momento giusto, per esempio può essere usato per calmierare il diffondersi di un worm, o bloccare un DDos. Ci risulta però che sinora sia stato usato in senso opposto cioè per evitare che traffico interno, tipicamente informazioni e proteste possano essere veicolate verso l’esterno. Si tratta di uno strumento usato non poco, nel primo semestre del 2021 sono state 50 le chiusure di Internet effettuate in 21 paesi.

Quando lo Stato viola i diritti umani

Di fatto alcuni Stati usano diverse forme di attacco informatico finalizzate alla compromissione della riservatezza/integrità delle informazioni per lo svolgimento di attività di sorveglianza di massa o di attacchi mirati a difensori dei diritti umani o giornalisti, in violazione del diritto alla privacy, tra gli altri diritti.

Nell’ordinaria amministrazione sappiamo bene come comportarci di fronte ad un attacco informatico, gli standard e le buone pratiche ci indicano quali strumenti organizzativi e tecnologici predisporre per evitare o contenere l’attacco. Nel caso in questione siamo invece completamente disarmati, non ci sono standard e buone pratiche che tengano. L’unica arma possibile di fronte ad uno stato sovrano è il diritto internazionale. Qui la tecnologia deve arrendersi ai suoi limiti, se anche disponessimo di sistemi sicuri uno stato può vietarne l’uso come d’altronde già avviene per le tecniche crittografiche.

La cybersecurity come diritto fondamentale

Sulla scorta di queste considerazioni diverse associazioni e studiosi hanno iniziato a richiedere a gran voce che la cybersecurity sia trattata alla stregua di un diritto fondamentale dell’uomo. Da sottolineare che tra i soggetti più attivi in questo contesto c’è la Freedom Online Coalition a cui ha recentemente aderito anche il nostro paese.

La suddetta richiesta parte dalla constatazione che lo spazio cibernetico ha oramai invaso quello fisico, che attraverso lo spazio cibernetico esercitiamo molti dei nostri diritti, svolgiamo la nostra attività professionale e buon parte dell’attività sociale, accediamo a gran parte dei servizi e ci formiamo, non consentire alle persone di poter fruire appieno delle potenzialità della rete significa di fatto limitarne significativamente la creatività e le potenzialità di sviluppo. L’equiparazione della cybersecurity ai diritti fondamentali dell’uomo implicherebbe un pronunciamento da parte dell’assemblea delle Nazioni Unite e conseguentemente da parte della maggioranza delle nazioni l’impegno, almeno formale, a garantire a ciascun cittadino l’accesso alla rete e ai suoi servizi (disponibilità), la confidenzialità e l’integrità delle proprie informazioni, negando di fatto tutte le pratiche di cui abbiamo precedentemente discusso.

Conclusioni

Anche se tutti sappiamo che la dichiarazione universale dei diritti umani è purtroppo un documento che deve guadagnarsi giorno dopo giorno la sua realizzazione, questo tipo di riconoscimento alla cybersecurity avrebbe diverse valenze particolarmente importanti. Rappresenterebbe un punto di partenza per la tanto attesa governance globale della rete, ma soprattutto rappresenterebbe un riconoscimento della cybersecurity come fattore abilitante per lo sviluppo e la crescita dell’intero cyberspazio, il suo ruolo di forza “liberatrice” anziché repressiva. Forse anche per questo l’iniziativa troverà non pochi ostacoli sulla strada della realizzazione.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 4