Cybersecurity, tecnologia e democrazia: che fare?
In Italia, come in altri paesi europei, non esiste sostanzialmente un’iniziativa strutturata volta ad aumentare la cybersecurity degli attori chiave del nostro sistema democratico. Sono necessarie nuove misure che non comportino una crescente dipendenza da un numero limitato di aziende tecnologiche: la sicurezza informatica in politica non può esistere indipendentemente dalla politica
Nel mondo aziendale è opinione comune che le buone pratiche di sicurezza informatica dovrebbero essere basate su un’analisi costi/benefici. Nella maggior parte dei casi questo è un approccio ragionevole, ma senza alcuni incentivi per garantire pratiche migliori può essere problematico in una serie di contesti. Come evidenziato dagli studiosi in riferimento alla cybersecurity, "essere preparati ad eventi con bassa probabilità/alto rischio raramente può essere giustificato in termini di mercato" (fonte). Questa non è una specifica caratteristica della sicurezza informatica ed è il motivo per cui le normative impongono che individui, imprese e autorità pubbliche si attengano ad un determinato insieme di standard di sicurezza o di qualità in diversi settori. In Europa è ancora piuttosto limitata la regolamentazione specificamente mirata alla sicurezza informatica: finora, lo sviluppo di un quadro di protezione della privacy a livello sia nazionale che europeo ha invece svolto un ruolo più forte nel promuovere migliori pratiche di sicurezza informatica.
Una consapevolezza più ampia dei rischi posti dalle vulnerabilità cibernetiche servirebbe a contenere preoccupazioni sproporzionate, aumentare la comprensione dei rischi più diffusi e promuovere risposte proporzionate a tutti i livelli. Tale orientamento è particolarmente importante nel caso della cybersecurity, che in molti ambiti può ancora essere definita un “rischio incerto”: i dati che consentirebbero una stima accurata del rischio sono spesso scarsi e difficili da comprendere per i non professionisti.
Infine, analogamente a quanto accade in altri contesti, la percezione pubblica della minaccia è spesso associata ad attori malevoli distanti. Tuttavia, il crescente uso di stalkerware, il ruolo delle informazioni mediate digitalmente nelle relazioni abusanti e pratiche preoccupanti come la violenza sessuale basata sull’immagine (comunemente denominata, pur in modo inappropriato, "revenge porn") o il cyberbullismo potrebbero rappresentare preoccupazioni più pressanti per molte persone.
Il contesto conta
Questa breve introduzione delinea una questione chiave alla base di qualsiasi strategia e politica di sicurezza informatica: le preoccupazioni e le risposte sulla sicurezza informatica variano in modo significativo a seconda del contesto e degli attori coinvolti, vale a dire del modello di minaccia (noto anche come threat model). Definire il proprio modello di minaccia e valutarne le implicazioni richiede tempo e competenze, o le risorse per procurarseli: in un paese come l’Italia, dove le piccole e medie imprese rappresentano una parte considerevole dell’economia, le valutazioni dei rischi per la sicurezza informatica sembrano essere un’utopia per la maggior parte delle aziende. Tali considerazioni, tuttavia, probabilmente non sfiorano nemmeno la maggior parte delle ONG e no-profit, e apparentemente non sono state adeguatamente prese in considerazione nemmeno dai grandi partiti politici italiani.
Dovrebbero esserci degli incentivi per condurre tali valutazioni e migliorare le pratiche?
Le crescenti preoccupazioni sulla cybersecurity a livello di policy hanno portato all’introduzione di importanti misure volte a proteggere le infrastrutture critiche e le autorità pubbliche in diversi paesi: in Italia, si tratta del “perimetro di sicurezza cibernetica” (introdotto a fine 2019 e non ancora implementato appieno). Inoltre, gli attuali obblighi di tutelare la riservetezza dei clienti hanno spinto alcune aziende che non rientrano nell’ambito di questa normativa a prendere più sul serio la sicurezza informatica: sarebbero probabilmente nell’interesse pubblico ulteriori incentivi per aumentare la consapevolezza tra le imprese di tutte le dimensioni.
Tuttavia, oltre alle infrastrutture critiche e alle imprese, ci sono altre componenti fondamentali di ciò che fa dell’Italia una democrazia, e sono strutturalmente escluse da tali iniziative. Partiti politici, ONG, attivisti e giornalisti sono centrali nei processi democratici e si sono dimostrati vulnerabili agli attacchi informatici. Il loro modello di minaccia e la loro capacità di mitigare le vulnerabilità informatiche differiscono sostanzialmente da quelli delle imprese.
I partiti politici sono un obiettivo ad alto rischio: risorse limitate, struttura decentralizzata e un’ampia gamma di attori potenzialmente interessati ad ottenere l’accesso alle loro comunicazioni e documenti interni, dai servizi di sicurezza stranieri agli hacktivisti interni.
ONG, organizzatori di comunità e attivisti dei movimenti sociali a volte faticano a unire gli sforzi per espandere la loro rete e sviluppare nuove forme di interazione, garantendo al contempo la privacy e le comunicazioni private quando necessario.
I giornalisti, e in particolare i giornalisti investigativi, devono mantenere elevati standard di sicurezza informatica poiché lavorano su attori e figure potenti e potrebbero avere accesso a informazioni altamente riservate. Essendo personaggi pubblici, devono anche fare i conti con la sottile linea tra violenza online e minacce offline.
In breve, vista la prevalenza della comunicazione mediata digitalmente e l’ubiquità dei dispositivi digitali, la sicurezza informatica è motivo di preoccupazione ben oltre i servizi pubblici, le infrastrutture critiche e le imprese: attori centrali delle democrazie contemporanee come quelli sopra elencati sono spesso esclusi dagli sforzi per migliorare la sicurezza informatica standard nelle democrazie occidentali.
Fornire incentivi e assistenza alle organizzazioni politiche
L’agenzia UE per la sicurezza informatica ha tre raccomandazioni in merito:
- dovrebbe essere istituito un obbligo giuridico che imponga alle organizzazioni politiche di implementare un livello elevato di sicurezza informatica nei loro sistemi, processi e infrastrutture;
- le competenze dello Stato in materia di sicurezza informatica dovrebbero essere utilizzate per assistere i professionisti politici nella protezione dei propri dati e comunicazioni;
- i partiti politici dovrebbero disporre di un piano di risposta agli incidenti per affrontare e contrastare lo scenario di fuga di dati e altri potenziali attacchi informatici.
Tutto ciò sembra essere pertinente e valido, e quindi un utile punto di partenza per una conversazione sostanziale orientata alla policy. Ciascuno di questi punti, tuttavia, solleva ulteriori questioni:
- se sembra ragionevole che le organizzazioni politiche e le campagne ufficiali debbano essere spinte verso migliori standard di sicurezza informatica, requisiti aggiuntivi per i partiti politici rischiano di disincentivare la registrazione di nuove formazioni politiche (o di fornire pretesti per ulteriori abusi in contesti meno democratici); nuovi requisiti dovrebbero invece essere accompagnati da incentivi, tra cui risorse aggiuntive;
- le autorità statali dovrebbero fornire i propri servizi alle organizzazioni politiche attraverso formazione, sistemi di allarme rapido e, in alcuni casi, anche assistenza diretta; tuttavia, nella maggior parte dei casi, i servizi di sicurezza dovrebbero mantenere le distanze e astenersi dall’utilizzare le disposizioni sulla sicurezza informatica delle organizzazioni politiche come un modo per ottenere potenzialmente l’accesso alle loro comunicazioni. Dato il sospetto strutturale intorno ai servizi di sicurezza in alcuni paesi, è consigliabile fornire tale supporto tramite dipartimenti che hanno meno probabilità di essere percepiti come politicizzati (ad esempio l’autorità per la protezione dei dati o qualche altro dipartimento tecnico);
- infine, i partiti politici dovrebbero non solo avere un piano di risposta agli incidenti, ma anche impegnarsi a dire la verità su quanto accaduto piuttosto che diffondere informazioni imprecise per seminare dubbi su qualsiasi cosa emerga dall’hack. Infatti, il GDPR impone ora un grado di trasparenza quando i dati privati vengono violati; non sarebbe possibile con la legislazione attuale fingere che non sia successo niente (o quasi), come ha fatto ad esempio la Lega dopo l’episodio del 2018; all’epoca, hacker diffusero in internet oltre 20 GB di email interne del partito , ma dallo staff di Salvini si minimizzava l’accaduto . I partiti politici dovrebbero tenere in considerazione il fatto che essere il più trasparenti possibile sull’accaduto e descrivere in dettaglio le misure adottate all’indomani dell’evento è il modo più ragionevole per mantenere la fiducia del pubblico.
Supportare alternative open source
Il Cybersecurity Campaign Playbook pubblicato nel 2017 dal Belfer Center for Science and International Affairs, Harvard Kennedy School, rimane forse il punto di partenza più accessibile e completo con consigli pratici sulla sicurezza informatica per le campagne politiche. È pieno di ottimi consigli, ma alcuni di essi potrebbero non essere graditi a tutti, in particolare il loro esplicito consiglio di fare affidamento su provider di cloud consolidati come Google e Microsoft (entrambi forniscono opzioni di sicurezza aggiuntive per le campagne politiche). In linea di massima, l’argomento esposto nel Playbook secondo cui tali servizi "sono molto più sicuri di qualsiasi cosa voi possiate configurare" è valido, ma la sicurezza informatica non è l’unica (né la principale) priorità per gli attivisti politici: essere coerenti nelle proprie scelte può essere non meno importante. Affidarsi ai giganti tecnologici USA può essere problematico per organizzazioni politiche di diverse convinzioni e creare una dipendenza malsana da un piccolo numero di società private straniere, cosa che è intrinsecamente problematica anche per le autorità pubbliche, come evidenziato ad esempio in un report commissionato dal governo tedesco. Il numero di computer nelle istituzioni pubbliche che si basano sul sistema operativo e sui pacchetti software forniti da un unico fornitore con sede negli Stati Uniti è una chiara prova di eccessivo affidamento su un quasi monopolio. Passando ai servizi cloud, ancora una volta istituzioni e organizzazioni si affidano principalmente ad una tra una gamma estremamente limitata di società con sede negli Stati Uniti, come risultato ancora più evidente nel 2020 a causa della pandemia in corso. Garantire la disponibilità di alternative sicure dovrebbe quindi far parte del più ampio dibattito sulla sicurezza informatica e il pluralismo, in particolare a sostegno degli attori della società civile che non potrebbero altrimenti essere facilmente protetti tramite una politica mirata.
Questa linea di pensiero può essere controversa in termini di sicurezza informatica, poiché nel breve periodo le alternative potrebbero essere meno sicure dei servizi forniti, ad esempio da Google (di nuovo, a seconda del modello di minaccia). Anche per questo insistiamo nel sollevare la questione nel contesto di dibattiti sulla sicurezza informatica per le campagne politiche: la sicurezza informatica in politica non può esistere indipendentemente dalla politica.
Date le dinamiche prevalenti nella Silicon Valley, è improbabile che alternative aperte emergano indipendentemente. Accettare lo stato attuale delle cose perché non ci sono alternative è un argomento controproducente: le alternative devono essere costruite, promosse e sostenute. La “Open source software strategy 2020-2023” dell’Unione europea fissa obiettivi ambiziosi per progredire verso l’autonomia digitale per l’Europa, ma contiene poche disposizioni concrete per consentire effettivamente tali progressi. Realisticamente, senza un’azione coraggiosa la dipendenza da un piccolo numero di grandi società continuerà ad aumentare.
Sostenere librerie open source
Quando si parla di sicurezza informatica, gran parte della conversazione verte sulla gestione inadeguata delle password o altre cattive pratiche di sicurezza da parte di individui o aziende. Tuttavia, esiste una serie di vulnerabilità molto più alla base: se esiste una vulnerabilità che può essere sfruttata in una libreria o protocollo utilizzato da milioni di server che eseguono i servizi che tutti noi usiamo, avere buone password e buone pratiche di sicurezza informatica potrebbe non aiutare molto. Esistono software e librerie che, consapevolmente o meno, tutti noi usiamo regolarmente, poiché fanno parte dei componenti principali utilizzati nei server che alimentano Internet come lo conosciamo, consentono ai software più diffusi di funzionare come previsto (ad es. media player) o fanno parte dei sistemi operativi che alimentano i nostri dispositivi mobili. Tali vulnerabilità sono emerse in passato, a volte con importanti conseguenze su gran parte della rete, ed emergeranno sicuramente in futuro. Ciò è dovuto ad una combinazione di fattori, tra cui il fatto che molti dei componenti alla base delle tecnologie diffuse sono significativamente sottofinanziati, con poche risorse dedicate alla manutenzione e agli audit di sicurezza. Iniziative come FOSSA dell’Unione europea affrontano questo problema, ma rimangono una goccia nel mare. Le autorità pubbliche che fanno affidamento su questi software, che sono a tutti gli effetti beni pubblici, dovrebbero sponsorizzare tali iniziative in modo più generoso.
Il grande problema
La sicurezza informatica non è solo una questione tecnica, ma fa inevitabilmente parte di una più ampia conversazione sociale e politica. Gli sforzi rivolti a specifici attori centrali per le nostre democrazie o ad affrontare questioni tecniche dovrebbero accompagnare campagne di sensibilizzazione e corsi di formazione mirati offerti dai governi gratuitamente. Nella sezione del suo sito web dedicata alla lotta all’influenza straniera, l’FBI promuove la propria iniziativa sulla sicurezza informatica, Protected voices ("L’iniziativa Protected Voices dell’FBI fornisce strumenti e risorse a campagne politiche, aziende e individui per proteggersi dalle operazioni di influenza straniera online e dalla minacce informatiche"); data la reputazione di sorveglianza invasiva che si è guadagnato l’apparato di sicurezza statunitense, potrebbe non essere facile guardare all’iniziativa senza ironia, ma rimane lodevole. Il National Cyber Security Centre del Regno Unito offre materiale informativo sulla sicurezza informatica per vari tipi di organizzazioni e ha iniziative educative per bambini in età scolare e adolescenti.
Data la pervasività degli strumenti e delle tecnologie digitali, è opportuno promuovere iniziative di sensibilizzazione alla cybersecurity rivolte a tutte le fasce d’età. Le persone che possono essere particolarmente esposte, ma non sarebbero coperte da altre iniziative summenzionate, come i giornalisti, dovrebbero ricevere formazione e risorse aggiuntive. È necessaria una strategia di sicurezza informatica più ampia e politicamente più consapevole che vada oltre le infrastrutture critiche e le questioni tecniche.
Questa pubblicazione è stata prodotta nell’ambito del progetto ESVEI, co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.