Come innovazione e sicurezza possono andare d'accordo

Il progresso e la diffusione delle tecnologie dell'informazioni hanno realmente reso il mondo un posto migliore? Questa domanda sembra appartenere alla categoria di quelle che non meritano una risposta. I vantaggi sono enormi in tutti i settori economici e in molti aspetti della vita di ogni individuo che a questa tecnologia abbia accesso. Forse è proprio la dimensione del successo a rendere invisibili i rischi connessi all'inarrestabile incedere della società dell'informazione. Raramente qualche perturbazione oscura questo cielo sempre terso. A volte si tratta di piccoli temporali. A fine 2018, per esempio, la nostra Autorità Garante per la Protezione dei Dati ha minacciato di bloccare l'entrata in vigore dell'obbligo di fatturazione elettronica e tutti i suoi innumerevoli vantaggi - potenziamento della lotta all'evasione fiscale, la riduzione degli adempimenti dei contribuenti, minori costi per la pubblica amministrazione, etc. -. Il Garante, infatti, ha fatto notare alcuni gravi pecche in materia di protezione - mancata adozione di tecniche di cifratura per la trasmissione dei dati e l'utilizzo di strumenti non propriamente sicuri come la PEC -, e l'eccedenza della quantità di dati rispetto alle finalità perseguite. In altre situazione invece si tratta di piccole nuvole che però lasciano intendere potrebbe piovere.

E' questo il caso del Payment Legislative Package, voluto dalla UE per favorire la diffusione dei pagamenti digitali, che di fatto permetterà ai big player del web di trasformarsi a tutti gli effetti in banche. Dopo gli scandali in materia di protezione dei dati che negli ultimi due anni hanno travolto Facebook, qualcuno ha sussurrato come, se fossero stati noti prima, probabilmente il Regolamento IFR e la Direttiva PSD2 sarebbero stati molto diversi. Le stesse voci fuori dal coro hanno poi avanzato ulteriori dubbi su come l'interpretazione della “Customer Strong Authentication” prevista dalla Direttiva rischi di trasformare lo smart phone in un oggetto ad “alto rischio”. Truffe come il SIM swap, in cui i criminali riescono a bloccare la SIM della vittima e a subentrare nel suo numero telefonico, sono già arrivate anche in Italia. Tuttavia le previsione del tempo non mutano: cielo sereno su tutto il pianeta, ma di quale mondo stiamo parlando? Ovviamente di quello che si trova al di qua dello schermo, perché se proviamo a dare un sguardo dall'altra parte, potremmo scoprire che gli elementi non sono poi tanto favorevoli. In primo luogo è bene tenere presenti due aspetti non trascurabili. La sempre maggiore diffusione della tecnologia sta producendo la dilatazione delle dimensioni di quella che potremmo definire la cybersfera. L'edizione 2018 del Cisco Visual Networking Index ha stimato in 4,8 zettabyte la quantità di dati transitata sulla Rete tra il 1984 ed il 2016 e valuta che sarà pari alla mole di dati trasmessa nel corso del solo 2022. Se il mondo reale diventa sempre più piccolo quello virtuale cresce proporzionalmente e diventa sempre più complesso da gestire e governare.

Il secondo elemento è la sua “popolazione” che abbraccia oltre 4 miliardi di persone con l'inevitabile conseguenza di replicare dinamiche sociali ben presenti nel quotidiano. Per esempio, se è vero che la criminalità segue il denaro non stupiscono i dati forniti dalla polizia postale, secondo i quali il 2018 si è chiuso con un incremento di 11 punti percentuali delle truffe informatiche, poco più di 13 mila, che ha determinato la scomparsa di oltre 42 milioni di euro da conti correnti delle aziende.

Non possiamo poi sottovalutare le peculiarità del mondo digitale e tutte le sue debolezze, figlie della sua natura di costrutto umano e pertanto soggetto a errori. Si parla allora di vulnerabilità la cui diffusione segue di pari passo la crescita della cybersfera e la rapidità con cui viene popolata, per esempio di nuovi software, che devono arrivare al consumatore, sia esso azienda o privato, nel più breve tempo possibile: magari sacrificando “qualcosa”, di solito quelli che tecnicamente si definiscono requisiti non funzionali come la sicurezza. Alcuni numeri potrebbero aiutare a comprendere la dimensione del problema. Alla fine del 2017 i ricercatori di Imperva, società specializzata in web security, segnalavano come nell'anno le vulnerabilità applicative individuate fossero cresciute del 212% passando dalle 6.615 del 2016 a ben 14.082. Sempre per il 2017, un report di Positive Technology, società specializzata in penetration testing, indicava in 10 il numero medio di vulnerabilità presenti in ogni singola applicazione. A questo si aggiungono quelle a grande diffusione.

Podcast LE VOCI DEL SOLE 24 ORE

Le notizie raccontate dai nostri giornalisti

Scopri di più

Libro

Noi, i Biden

Scopri di più

Così all'inizio del 2018 esplodeva il caso legato a Meltdown e Spectre, due “errori” in una funzionalità presente su praticamente tutti i processori prodotti a partire dal 1995. Un altro dato significativo lo forniscono gli analisti della RAND Corporation, noto think thank statunitense, secondo i quali la vita media di una vulnerabilità è prossima ai sette anni, ma non si deve trascurare il fatto che la soluzione del problema non implica la scomparsa del rischio. Due casi emblematici sono quelli di WannaCry e NoPetya. I due malware che hanno segnato il 2017 si diffusero a cavallo tra i mesi di maggio e giugno, sfruttando una falla di un protocollo utilizzato dai sistemi Microsoft. Nonostante l'azienda di Redmond avesse reso disponibile l'aggiornamento nel mese di marzo furono comunque colpiti decine di migliaia di sistemi sparsi in tutto il mondo.