Da anni le cronache parlano di attacchi portati da organizzazioni «state sponsored», assimilabili a gruppi paramilitari. In situazione di guerra cibernetica questi soggetti probabilmente verrebbero militarizzati, ma chi si troverebbe sul fronte opposto? Si tratta di capire quali sarebbero gli obiettivi degli aggressori, ma come abbiamo già scritto non è difficile immaginare che molto probabilmente si tratterebbe di tutte le infrastrutture critiche destinate a erogare servizi essenziali dai trasporti, all'energia, fino all'acqua potabile. Se fosse vero, sul fronte dei difensori si schiererebbero dunque i civili. Ebbene sì, la prima linea di difesa sarebbe rappresentata dal personale destinato a gestire la sicurezza dei sistemi di decine di aziende come Terna, Enel, Eni, Telecom. Per fare un paragone sarebbe come se durante la prima guerra mondiale a respingere gli austroungarici sul Piave ci fossero stati i dipendenti della Fiat, della Pirelli, della Montecatini guidati dai rispettivi dirigenti. Non basta perché in questo tipo particolare di conflitto viene ribaltato uno degli assiomi di tutte le guerre convenzionali, quello secondo cui il vantaggio è di chi si difende. Nel contesto del virtuale la condizione favorevole è quella dell'attaccante perché può colpire ovunque senza essere notato immediatamente. Il fronte da proteggere sembra essere infinito, se pensiamo all'interconnessione tecnologica tra le organizzazioni strategiche e i loro partner. Volendo penetrare i sistemi del principale operatore energetico di un Paese, molto probabilmente il primo e silenzioso attacco sarebbe indirizzato al più oscuro dei suoi fornitori.
Gli analisti della Rand corporation, il celebre think tank statunitense, in uno dei loro report definiscono sette caratteristiche tipiche dello strategic information warfare. La prima riguarda le basse barriere di ingresso sostenendo che «a differenza delle tradizionali tecnologie militari, lo sviluppo di tecniche basate sulle informazioni non richiede consistenti risorse finanziarie o il supporto governativo. Gli unici prerequisiti sono delle adeguate conoscenze dei sistemi e l'accesso ai principali network». Da quel lontano 1996, questa affermazione non soltanto mai è stata smentita, ma al contrario ha acquisito contorni sempre più inquietanti. Innanzitutto i network sono diventati un unicum rappresentato da Internet e le «adeguate conoscenze» sono ormai patrimonio di tanti e raggiungibili praticamente da tutti. A questo hanno contribuito anche le numerose fughe di notizie che hanno coinvolto agenzia come la Nsa, che negli ultimi anni ha subito il furto di una parte significativa del suo arsenale cibernetico ad opera di un fantomatico gruppo di criminali informatici noto come Shadow brokers. In tale situazione un conflitto cibernetico conferma tutta la sua asimmetria non soltanto dal punto di vista del difensore, ma anche dell'attaccante. Tutto sommato un gruppo piuttosto ristretto di persone, fortemente motivate, con una non superlativa preparazione tecnica e munito di alcune armi reperibili facilmente e gratuitamente o quasi sulla Rete, potrebbe attaccare uno Stato e avere buone possibilità di infliggere danni gravissimi se non di metterlo in ginocchio. Come abbiamo già scritto, Wannacry ha fatto danni non trascurabili e si trattava di una sola arma utilizzata in una singola aggressione, peraltro con obiettivi indifferenziati. Su queste premesse il concetto stesso di superpotenza è dunque definitivamente superato? Se il termine è associato a uno Stato, probabilmente sì, ma trasferendolo in un altro contesto scopriamo che ha una sua attualità e questo ci porta ai potenziali protagonisti di un conflitto.
Secondo un report del 2018 della Rand corporation tra gli attori statali con elevate capacità in materia di operazione cyber spiccano Russia, Cina, Corea del Nord e Iran, tuttavia la natura fortemente asimmetrica della guerra cibernetica consente potenzialmente a chiunque di scatenarla. Probabilmente è soltanto questione di tempo prima che anche le organizzazioni terroristiche, che fino ad oggi hanno puntato essenzialmente sull'information warfare, inizino a strutturarsi per l'altro fronte di guerra. Allo stesso modo organizzazioni criminali, per esempio i trafficati di stupefacenti che operano in Paesi deboli, potrebbero ipotizzare di affrontare sul terreno cyber i propri governi. L'universo di possibilità che si apre sembra rendere inapplicabile l'idea di superpotenza alla guerra cibernetica o per meglio dire non può essere la sola e semplice capacità offensiva a definirla.
Se rientrando dalle vacanze trovaste la vostra casa svaligiata sarebbe senza dubbio una sgradita sorpresa, ma se poi qualcuno vi spiegasse che il «complice» dei ladri è stato il vostro robot aspirapolvere probabilmente vi prenderebbe un colpo. Eppure non stiamo parlando di fantascienza. In un caldo sabato di agosto, in quel di Las Vegas, un gruppo di esperti di sicurezza ha spiegato come sia possibile infiltrarsi nel sistema che governa le operazioni di almeno due aspirapolvere di ben note marche. Gli hacker sono riusciti a dimostrare come sia possibile raccogliere tutti i dati relativi alle attività del robot, dalla planimetria della casa alle abitudini degli inquilini, e impartirgli comandi da remoto.
Tutto questo è accaduto in un caldo sabato di questo agosto a Las Vegas nel corso del Defcon, annuale convention dedicata alla sicurezza informatica e ormai anche alla cybersecurity. Naturalmente i ricercatori non si sono limitati alle «faccende domestiche». Una presentazione dall'autoesplicativo titolo La tua auto è la mia auto ha chiarito come si possa controllare da remoto il veicolo altrui. Quasi divertente il seminario dedicato alla manipolazione dei telefoni di emergenza, in particolare quelli presenti sugli ascensori che sono stati riprogrammati per diventare sistemi di intercettazione ambientale. Decisamente più inquietanti invece il workshop dedicato alla violazione dei sistemi medicali intelligenti (falsificare i dati delle analisi potrebbe uccidere i pazienti), e quello riservato alla prospettiva di oggetti intelligenti che potremmo gestire con la forza del pensiero tramite connessioni neurali, uno dei campi in cui si stanno concentrando grandi investimenti. L'esordio di uno dei relatori è stato molto chiaro: se siete preoccupati per cosa sta facendo Facebook con le vostre informazioni oggi, immaginate cosa potrebbero fare il giorno che avranno i dati direttamente dal vostro cervello.
Il Defcon, così come il Blackhat, manifestazione analoga ma con un taglio più aziendale che si è svolta a Los Angeles la settimana precedente, sono ormai guardati con attenzione anche dai governi, per cercare di capire quanto i propri sistemi sia vulnerabili. Non a caso per la prima volta l'aeronautica degli Stati Uniti ha concesso a un gruppo di hacker la possibilità di testare la sicurezza dei sistemi di volo di un aereo da combattimento F15 e ci sono riusciti. Allo stesso modo la Darpa, l'agenzia statunitense per le ricerche avanzate di sicurezza, aveva portato a Las Vegas il suo prototipo di macchina elettorale elettronica sul quale ha investito 10 milioni di dollari. Questo dopo che negli ultimi due anni al Defcon erano riusciti a violare la sicurezza dei modelli commerciali «in meno di un minuto». Sfortunatamente il gruppo di hacker ingaggiato non è riuscito a testarne la sicurezza, perché ci sono stati problemi di configurazione dei dispositivi. In pratica non funzionavano correttamente.
Chiudiamo la nostra carrellata con la dimostrazione di un sistema di disturbo degli autovelox in uso alla polizia statunitense, che il relatore si è costruito dopo avere analizzato il funzionamento delle dotazioni delle forze dell'ordine. Nel corso della demo è stato precisato che il sistema rende il vostro veicolo praticamente «invisibile» alle forze dell'ordine, ma non in tutti gli stati è legale.
Sono proprio queste le occasioni in cui vale la pena fare qualche riflessione sul nostro rapporto con le tecnologie dell'informazione dalle quali oggi siamo circondati, ma nelle quali domani saremo completamente immersi. L'Internet delle cose, con la sua pletora di oggetti intelligenti, sta rapidamente colonizzando le nostre case e negli ultimi anni proprio nelle diverse edizioni del Defcon sono state rivelate oltre 300 vulnerabilità che hanno interessato ogni genere di dispositivo dagli smart tv ai pacemaker. Non dovremo stupirci quindi se tra qualche anno il detto «casa, dolce casa», si trasformerà in «case da incubo» o forse in un «mondo da incubo». Quello di cui non abbiamo ancora parlato riguarda questi sistemi che gestiscono gli oggetti un po' più «grandi» perché non sono soltanto aspirapolveri, tv e frigoriferi a sfruttare la forza delle nuove tecnologie, ma anche aerei, treni, centrali elettrici e in generale centinaia di macchine industriali. I sistemi di comunicazione e navigazione aereoportuali fanno ormai un massiccio ricorso alle tecnologie wireless; vedere dei ricercatori che, sfruttandone le vulnerabilità, fanno apparire aerei fantasma sui radar, modificano le reali posizioni degli aerei e falsificano i messaggi della torre di controllo non è un bello spettacolo.
Su queste premesse in Europa qualcosa si è mosso, con l'Ue che ha da poco emanato il Cybersecurity act in cui, tra l'altro, si vogliono anche uniformare gli standard di sicurezza tecnologica dei prodotti. Comunque dobbiamo essere consapevoli che le norme non bastano, ma come consumatori abbiamo la grande opportunità di fare pressione sulle aziende privilegiando quei prodotti che tengano nella giusta considerazione i requisiti di sicurezza, ricordandoci sempre che se un oggetto lo possiamo raggiungere noi da remoto può potenzialmente farlo chiunque. Così quando comprate il prossimo elettrodomestico smart fatevi spiegare quali sono le contromisure per proteggerlo da attacchi informatici. Già questo sarebbe un bel passo avanti.
«Chi non c'è, non ci sarà» è un vecchio detto cui la Grande rete sta facendo vivere una seconda giovinezza, perché un'organizzazione che non abbia conquistato un posto al sole (cioè nella prima pagina) dei principali motori di ricerca; che non sia ben posizionata sui social network; che non comunichi e interagisca con i suoi utenti-consumatori via web; che non produca contenuti significativi e accattivanti è sostanzialmente «spacciata». Eppure percorrere questa strada è tanto necessario quanto pericoloso. Scivoloni e cadute, nella migliore delle ipotesi solo imbarazzanti, sono all'ordine del giorno e la natura di Internet ne conserva l'immagine perpetuamente.
Queste topiche sono quelle che mettono a repentaglio la preziosa immagine aziendale online, la cosiddetta Web reputation, sulla quale le aziende tanto stanno investendo. Quando si verifica il disastro, le imprese più strutturate costituiscono vere e proprie unità per la gestione della crisi che si occupano di monitorare le reazioni dei consumatori, di solito sui social, produrre e gestire smentite, pubblicare nuovi contenuti favorevoli all'azienda e in generale lottare nei giorni successivi per scacciare il «mostro» dalle prime pagine dei motori di ricerca (quelle cui si limitano il 90 per cento degli utenti). Di solito entro un mese la fase acuta della crisi si risolve con costi che possono oscillare tra qualche migliaio e svariate decine di migliaia di euro, fino a 100.000 euro a persona. Tuttavia a passare è stato il «picco», ma non sono rari i colpi di coda a molti mesi di distanza, tanto da rendere necessario un progetto di lungo periodo.
Un caso esemplare ha interessato una nota multinazionale alimentare italiana, il cui presidente ebbe l'idea di dichiarare pubblicamente che mai avrebbe utilizzato una famiglia gay in una campagna pubblicitaria. Su Twitter si scatenò l'inferno con decine di migliaia di messaggi che invitavano a boicottare il brand, un intero mondo per alcune settimane mise mediaticamente all'angolo l'azienda. Le conseguenze dell'improvvida dichiarazione spinsero il management a lanciare un progetto articolato che da quattro anni le permette di ottenere il punteggio massimo, pari a 100/100, nel Corporate equality index (Cei), sviluppato dalla statunitense Human rights campaign in Usa, che valuta e analizza politiche e pratiche aziendali messe in atto per contrastare l'omofobia. Nonostante l'inversione di rotta, la prima volta che l'impresa entrò nella graduatoria la maggior parte dei commenti sui social erano ancora negativi perché la «buona notizia» fece riemergere quella «cattiva». In questo caso l'investimento per mettere al sicuro la propria Web reputation può essere misurato in milioni di euro. Tutto è bene quello che finisce bene, ma l'affermazione del presidente è sempre facilmente reperibile tramite qualsiasi motore di ricerca, ed è l'ennesima dimostrazione che quando si parla di Internet si deve imparare a convivere con i propri errori per sempre.
Se anche non si tratta di «autolesionismo», ma di informazioni «sgradite» pubblicate da terzi, la situazione non cambia di molto. Per quanto sia sempre possibile, in caso di contenuti diffamatori, smentire, chiedere la «deindicizzazione» (rimozione dei risultati dai motori di ricerca), esigere la rimozione da tutti i siti che li hanno pubblicati e infine ricorrere ad avvocati e giudici, la certezza che tali informazioni non riemergano dagli abissi del web non esiste. Ancora nel 2017 la quantità di dati circolanti su Internet ha superato la soglia di 1 zettabyte (si tratta di un 10 seguito da 21 zeri) e per il 2022 dovrebbe più che quadruplicare. Questi numeri da soli danno un'idea di come fare una pulizia completa sia difficile. Per trasformare il «difficile» in «tecnicamente impossibile» aggiungiamo che quanto andiamo cercando potrebbe essere custodito nella memoria di uno dei 5 miliardi di dispositivi elettronici (smart phone, tablet e pc) attualmente nelle mani di qualche miliardo di abitanti di questo pianeta e ognuna di queste persone potrebbe, in qualsiasi momento, postare quel contenuto per esempio sul suo profilo pubblico su un social network.
A complicare il quadro delle aziende si aggiunge una certa «debolezza» delle norme a loro tutela. Se il privato cittadino può appellarsi al Regolamento europeo in materia di protezione dei dati che gli garantisce la possibilità di esercitare il diritto all'oblio, le aziende non hanno questo privilegio, in quanto la norma a loro non si applica. In ultima analisi, per un'organizzazione potrebbe non valere la pena tentare di rincorrere per tutta la Rete i contenuti da rimuovere, quanto piuttosto impegnarsi a «sostituirli» con altri che gli siano più graditi da posizionare sui siti giusti al momento opportuno, un mestiere per cui esistono dei veri e propri specialisti pronti a intervenire in soccorso della Web reputation aziendale. Il genio della finanza Warren Buffet ebbe a dire che «ci vogliono 20 anni per costruire una reputazione e 5 minuti per rovinarla»: peccato non abbia specificato quanto tempo serva per ricostruirla.