Opinioni

La cybersicurezza è un paradosso. Come proteggere le informazioni personali

Vincenzo Ambriola martedì 13 settembre 2022

I costi sostenuti per difendere un bene sono proporzionali al valore del bene stesso. Nessuno assumerebbe una guardia privata per evitare che, mentre facciamo il bagno in spiaggia, qualcuno ci rubi le ciabatte. Al massimo, se le ciabatte avessero un valore affettivo particolare, potremmo chiedere gentilmente a un bagnante di dare loro un’occhiata. Al contrario, nessuno lascerebbe il portafoglio in bella vista su una sedia a sdraio delle stessa spiaggia, ma lo affiderebbe a una persona fidata o lo chiuderebbe a chiave in un armadietto. Anche la sicurezza informatica, spesso chiamata CyberSecurity, si basa su questo principio. I calcolatori, ma soprattutto i dati memorizzati negli archivi digitali, sono difesi dai malintenzionati con un’intensità che dipende dal loro valore. L’elemento che rende soggettiva questa strategia è la determinazione del valore in ballo e, quindi, dei costi sostenibili.

A differenza dei beni tangibili, come ad esempio la collana d’oro ereditata dalla nonna, i dati non hanno una loro fisicità. Sono memorizzati in archivi digitali che, a loro volta, sfruttano le proprietà elettroniche di dispositivi fisici: il disco rigido di un computer, la chiavetta Usb che usiamo per scambiarci le foto, i dischi esterni su cui facciamo il back up (salvataggio) dei nostri dati, i floppy disk di una volta. Essendo oggetti fisici, dobbiamo difenderli come le ciabatte o il portafoglio. Possiamo mettere in cassaforte il pc, o la chiavetta Usb, ma non lo facciamo perché, come già detto, il valore che attribuiamo a questi oggetti e ai dati in essi contenuti non è così elevato. In realtà, se la chiavetta contenesse dati 'veramente preziosi' sarebbe opportuno metterla al sicuro in una cassaforte.

La situazione si complica quando i dati sono contenuti in una cartella condivisa in rete. Il dispositivo fisico usato per memorizzare questa cartella non è a noi noto, perché stiamo utilizzando un servizio fornito da un cloud. Questo servizio potrebbe essere gestito da un calcolatore situato in un data center collocato in India, in Europa o in Alaska. La difesa della cartella è in buone mani perché è a carico del data center, una struttura fisica protetta in maniera molto efficace. Ancora una volta entra in ballo il principio di proporzionalità: il valore dei dati contenuti in un data center è così grande da giustificarne i costi elevati di difesa.

I nostri dati sono memorizzati anche in altri archivi, per esempio in quello gestito dalla banca, dal gestore telefonico, dall’azienda per cui lavoriamo, dall’ospedale che ci ha curato, dalla pubblica amministrazione in generale. Come già detto sulle cartelle condivise in rete, la difesa di questi dati non è di nostra competenza, ma è a carico dei data center che ci forniscono i servizi digitali che usiamo quotidianamente. Il prezzo che dobbiamo pagare per questa deresponsabilizzazione (qualcuno difende i nostri dati al posto nostro) è l’uso e la protezione delle credenziali di accesso, la coppia login e password e, recentemente, il codice Otp ( One Time Password – letteralmente password usa e getta) che riceviamo sul cellulare per accedere ad alcuni servizi (Spid, conto corrente on line e così via). La sicurezza dei dati dipende perciò dalla sicurezza delle credenziali.

La faccenda si complica notevolmente per due ragioni: i dati sono memorizzati su sistemi diversi, ognuno dei quali ha le sue credenziali; la difficoltà di ricordare tutte queste credenziali ci porta di solito a memorizzarle sul cellulare o sul pc. Così facendo, però, ci troviamo davanti a un inatteso paradosso: per proteggere un mazzo di chiavi (le credenziali) lo mettiamo in una cassaforte (il cellulare, il pc) chiusa con una sola chiave. Per sicurezza, potremmo mettere la chiave in un’altra cassaforte ma così facendo ci ritroveremmo con un’altra chiave in mano. Una proposta per superare questo paradosso è stata raccontata in un articolo di Gigio Rancilio ( «Un mondo senza password. Un sogno che diventa reale»: tinyurl.com/y85xbbsu ) pubblicato il 24 giugno sulla rubrica 'Vite digitali' di questo giornale.

A lcuni recenti avvenimenti, attacchi informatici a Università, aziende private ed enti pubblici, hanno portato all’attenzione del grande pubblico il tema della sicurezza informatica. Siamo diventati consapevoli dell’esistenza dell’Acn (Agenzia per la Cybersicurezza Nazionale), abbiamo saputo che è stata messa a punto una strategia nazionale e che questa agenzia, in collaborazione con la Polizia Postale e i servizi segreti, analizza con grande attenzione e professionalità gli attacchi informatici per capirne la provenienza. La materia è molto complessa e si intreccia con la difesa nazionale, il terrorismo, le guerre in corso. Ancora una volta ci sentiamo indifesi in un mondo ostile.

Un attacco informatico è un’operazione tecnicamente difficile, che richiede competenze informatiche aggiornate e raffinate. L’immagine romantica del giovane hacker che entra nel 'cervellone' della Nasa e prende il controllo di un satellite può andar bene per la trama di un film, ma non corrisponde alla realtà dei fatti. Gli attacchi informatici sono condotti da persone qualificate, spesso inquadrate in agenzie create ad hoc per questa finalità, che lavorano per mesi su obiettivi strategicamente rilevanti. Sull’altro fronte ci sono esperti informatici che difendono i sistemi informatici con misure di sicurezza altrettanto raffinate e tecnologicamente avanzate. Così come le cittadelle medievali si difendevano costruendo alte mura e profondi fossati, i sistemi informatici sono protetti da firewall e simili artefatti.

Ciò che però i difensori delle cittadelle informatiche non possono controllare è il fattore umano e, in particolare, la difesa delle credenziali che ognuno di noi dovrebbe custodire con grande cura e consapevolezza del loro valore. Sono le credenziali la più semplice chiave di accesso ai sistemi informatici, chiavi che permettono agli attaccanti di entrare indisturbati e di cercare altre chiavi, fino ad arrivare al tesoro. I dati finiti nelle mani degli attaccanti sono immediatamente esfiltrati, un’espressione che già di suo mette paura, e pubblicati sul dark web. Da quel momento la nostra identità digitale è in pericolo e, purtroppo, è molto difficile evitare che possa essere utilizzata in maniera illecita, causandoci danni a volte irreparabili. In conclusione, in un mondo sempre più complesso e globalizzato, una piccola attenzione alle nostre chiavi (le nostre credenziali) può dare un grande contributo alla sicurezza nazionale.