Nulla di nuovo sotto il sole: la sicurezza informatica resta una chimera
di Alessandro Curioni
Fonte: www.ilsole24ore.com del 03/09/2019
L’evento più sorvegliato è stato quello in cui l’aeronautica degli Stati Uniti ha offerto la possibilità a un gruppo ristretto di ricercatori di verificare la sicurezza dei sistemi di volo di un aereo da combattimento F15. Inutile dire che alla fine sono state scoperte delle vulnerabilità tali da permettere al gruppo di lavoro di spegnere la Trusted Aircraft Information Download Station, un sistema che raccogliere i dati dalle videocamere e dai sensori dell’aereo durante il volo. La presentazione più insolita, invece, è stata probabilmente quando un gruppo hacker è penetrato nei sistemi che gestiscono le attività di due aspirapolvere di ben note marche.
L’attacco ha permesso di raccogliere i dati raccolti dal robot, compresa la planimetria della casa. La palma del momento più inquietante lo hanno regalato il team di esperti sicurezza che ha fatto il punto sullo stato dell’arte in materia di connessioni neurali tra uomo e macchina. La possibilità di comandare con il semplice pensiero sistemi e oggetti sta attirando una grande quantità di investimenti perché il traguardo appare molto vicino. Tuttavia esso potrebbe coincidere con il definitivo addio a qualsiasi possibilità di privacy: se oggi qualcuno si preoccupa di cosa sta combinando Facebook con i suoi dati oggi, si può facilmente immaginare cosa potrebbe fare chi avrà accesso diretto alle informazioni custodite nel suo cervello.
Tutto questo è molto altro è andato in scena a cavallo tra la fine di luglio e l’inizio di agosto, periodo in cui Los Angeles e Las Vegas ospitano rispettivamente il BlackHat e il DefCon, forse le due più importanti convention in materia di sicurezza informatica e cyber security.
Ancora una volta, e sono oltre venti anni che i due eventi si svolgono, il messaggio che arriva è sempre lo stesso: un oggetto qualsiasi connesso a un rete è raggiungibile da chiunque, e con la stessa certezza presenterà delle debolezze che permetteranno di prenderne il controllo anche se non si è legittimati a farlo. In effetti quello che stupisce non sono i risultati dei diversi test, ma la pervicacia con cui le aziende immettono sul mercato prodotti che integrano tecnologie dell’informazione senza che la loro sicurezza sia parte integrante del ciclo produttivo.
In questo senso un esempio evidente lo forniscono le attività dell’IoT Village. Quest’area del DefCon riservata all’Internet delle Cose ha svelato nei cinque anni dalla sua creazione oltre 300 vulnerabilità che affliggono i dispositivi più disparati: dai termostati ai baby monitor, dagli smart tv alle auto, passando per frigoriferi e sedie a rotelle. Eppure anche nel 2019 non sono mancati casi analoghi a partire dalle già citate aspirapolveri per proseguire con dispositivi medicali e senza dimenticare ancora una volta le automobili.
Se le aziende, complice la necessità di arrivare per primi sul mercato al prezzo migliore, fanno troppo spesso “orecchio da mercante”, allora devono intervenire i governi e, come nel caso della protezione dei dati, l’Unione Europea ha provveduto il 17 aprile 2019, quando il Parlamento e il Consiglio hanno sottoscritto il regolamento 881, meglio noto come “Cybersecurity Act”. In esso si parla dell’istituzione di “sistemi europei di certificazione della cibersicurezza” che possano garantire “che i prodotti, servizi ICT e processi ICT valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.
In queste poche righe vengono ripresi i concetti che sono alla base anche del GDPR come la protezione fin dalla progettazione e per impostazione predefinita, l’importanza di adeguare la sicurezza al contesto in cui i servizi o i prodotti sono utilizzati, la fondamentale responsabilità di ogni singolo attore dell’intero ciclo di vita (accountability). Si tratta di indicazioni che se prima erano ampiamente note soltanto a chi si occupava di sicurezza per lavoro, oggi sono state nobilitate da una base giuridica “forte”: resta soltanto da vedere se le aziende riusciranno a farle proprie sotto la spinta dell’obbligo di legge.
Non meno importante sarà la spinta che potrebbe fornire il mercato se i consumatori riusciranno ad acquisire quel minimo di consapevolezza necessaria per comprendere che le tecnologie dell’informazione non offrono soltanto benefici, ma presentano anche rischi. Se oggi nessuno comprerebbe un’auto senza impianto frenante si può sperare che in futuro nessuno acquisti un frigorifero che possa essere protetto da una solida password.
(*) presidente di Di.Gi. Academy