Piattaforma di informazione sul rapporto digitale fra macchine, persone e sicurezza. 

CYBERSECURITALY

Categoria: Editoriali

Docente del corso «Sicurezza dell’informazione» presso l’Università Cattolica di Milano, ha ideato e tenuto corsi di formazione in cyber security e data protection per oltre 100 aziende di livello internazionale e nazionale. È autore e saggista in materia di cyber security, commentatore e divulgatore sui media nazionali. Ha gestito oltre 200 progetti di information security. È membro del comitato tecnico scientifico della Cyber & Security Academy di Leonardo Company ed è fondatore e presidente di DI.GI Academy, azienda specializzata nella sicurezza delle informazioni. Alessandro Curioni, nuovo editorialista di 000.

di Enzo Argante

Ci offrirà spunti di riflessione sulle implicazioni della tecnologia rispetto agli esseri umani.

Alessandro Curioni, nuovo editorialista di 000, tra le altre tantissime cose. Cerchiamo di conoscerle una dopo l'altra. Cominciamo con la principale: docente del corso Sicurezza dell'Informazione all'Università Cattolica. Cosa si intende per sicurezza delle informazioni nel tuo corso? 

Ovviamente io sono nell'ambito della facoltà di giurisprudenza e, quindi, devo fornire i rudimenti a quelli che domani saranno avvocati, magistrati, procuratori, notai e quant'altro. Quegli elementi che sono la base per comprendere quali sono le tematiche connesse alla sicurezza del dato, alla sicurezza dell'informazione. Parliamo tanto di crimini informatici, di data protection, dell'impianto normativo che l'Unione Europea sta mettendo in campo in questi anni per regolamentare la società dell'informazione e, ovviamente, gli devo fornire quei rudimenti tecnici in modo che, se si trovano di fronte un interlocutore che inizia a parlare di firewall piuttosto che di intelligence protection system, abbia l'idea di che cosa siano questi oggetti. Quindi è un po' un corso dal linguaggio divulgativo per tecnici del diritto.

 

Un altro corso che hai progettato e che tieni è sulla formazione in Cyber Security e Data Protection. Più di 100 aziende hanno usufruito a livello nazionale di questo tuo corso. Una curiosità: c'è differenza tra cyber security e data protection? Sono due cose diverse? 

Sì, sono diverse. Nel senso che fondamentalmente se da un lato la data protection è il focus sul dato personale dell'utente - utente inteso come persona fisica - e quindi anche se banalmente la valutazione del rischio è legata all'impatto che può subire una persona fisica da una violazione dei suoi dati o da un trattamento illecito dei suoi dati, dall'altra parte la cyber security va a coprire un ambito che in qualche modo incorpora parte della sicurezza dell'informazione, tutta la sicurezza che una volta chiamavamo sicurezza informatica, e poi quel pezzo nuovo, emergente che è legato da un lato alle tecnologie, che ormai si spingono a gestire la conoscenza come, per esempio, l'intelligenza artificiale, e non più semplicemente le informazioni e dall'altro tutti quegli oggetti che utilizzano le informazioni per fare altro, in cui l'informazione non è destinata a noi esseri umani, ma è destinata spesso a una comunicazione machine to machine. Parliamo di Internet of Things, parliamo di reti operative o della cosiddetta Operational Technology, quindi che gestiscono reti elettriche, reti di distribuzione idriche e quant'altro. Sono dei mondi che in qualche modo si incrociano e si sovrappongono parzialmente, ma sono cose diverse, con implicazioni diverse sia dall'altro lato della tecnologia sia dal lato dell'approccio che c'è nell'affrontare diverse tipologie di sicurezza. Sta diventando sotto questo punto di vista un mondo piuttosto complicato per il mondo intero, spesso e volentieri gli interessi sono divergenti, gli interessi di un'organizzazione spesso non sono gli interessi di una collettività o di uno Stato. 

 

Infatti questa complessità è alla base della tua attività di commentatore e in generale di divulgatore. Hai scritto anche dei saggi, che sono evidentemente cosa diversa dal corso di formazione, ma in che cosa sono diversi? 

I primi saggi che ho scritto erano di carattere decisamente divulgativo, estremamente divulgativo. Erano destinati all’utente che si trova alle prese con le nuove tecnologie, le usa ma non le comprende totalmente, per renderlo in qualche modo consapevole di che cosa stanno maneggiando. Titoli come “Come pesci nella rete”, “La privacy vi salverà la vita” oppure un saggio destinato al rapporto genitori, figli e tecnologie come “Questa casa non è un hashtag”. Poi sono passato a una saggistica più specialistica, ho scritto una guida al Regolamento europeo sulla protezione dei dati, poi ho scritto “Cyber war” nel 2017 in cui affronto, insieme ad Aldo Giannuli che è mio co-autore, il tema delle guerre cyber, quindi non parlo, per esempio, di info war, cioè dell'utilizzo delle informazioni in qualche modo per condizionare i comportamenti collettivi per far prendere le decisioni sbagliate. Affronto proprio il tema della possibilità concreta di colpire temi che hanno un impatto poi sulla vita reale. Si può fare un attacco a una rete elettrica, a un impianto di depurazione idrica, si possono dirottare le auto per causare incidenti massivi? Ecco, l'utilizzo in questo caso delle tecnologie per produrre danni cinetici, il tutto ovviamente con un sottostante, in questo saggio, sul ruolo dell’intelligence e della possibilità di gestire ormai basi dati che trascendono di gran lunga la capacità umana di elaborazione. E poi sono passato direttamente alla narrativa… 

 

Bel passaggio, magari ne parliamo dopo. Adesso continuiamo su questo ahimè tragico indirizzo che ci hai dato che immaginiamo che in questo momento - piccola parentesi di attualità - stia succedendo di tutto in giro per il Mediterraneo e il Medio Oriente dal punto di vista della guerra cyber.

Il vero problema della guerra cyber è che noi vediamo qualche bagliore ogni tanto ed è molto difficile capire cosa sta concretamente succedendo perché ovviamente questa è una guerra che, salvo in rarissime eccezioni, fa molto poco clamore e si ha il diritto di negare. Cinque giorni fa gli hacktivisti di Cyber Avengers vicini ad Hamas hanno rivendicato di avere preso il controllo di sistemi di depurazione dell’acqua in alcune zone di Israele, sembra che si tratti di una fake news e quindi di una manipolazione di schermate che erano già disponibili in rete. Dall'altra parte non possiamo dimenticare che prima di questa guerra calda tra Hamas e Israele ci sono stati molti anni di guerra apparentemente meno calda che hanno portato poi Israele e l’Iran a confrontarsi in attacchi cyber che hanno avuto impatti fisici molto violenti. Purtroppo ci resta nell'ombra questa cosa perché nessuno ha reale interesse a diffonderlo, a divulgare i pezzetti di un eventuale attacco che abbia compromesso i suoi sistemi. Peraltro anche qui l’uso strumentale… se annuncio pubblicamente che l’acqua che “state per bere è avvelenata” genero panico nella popolazione. È un tipo di guerra che si caratterizza per fortissime asimmetrie, vuoi perché chi si difende spesso sono privati e chi attacca sono eserciti, perché se io attacco i sistemi di depurazione dell’acqua di un paese sto attaccando una società privata, ma la sto attaccando con forze militari, vuoi perché l’asimmetria è data dal fatto che bastano relativamente pochi mezzi facilmente reperibili, cioè questa è una guerra accessibile a tutti. Un gruppo di persone sufficientemente determinate con a disposizione una serie di tool liberamente scaricabili dalla rete che potrebbero causare danni enormi a un paese particolarmente esposto alla digitalizzazione. C'è una complessità straordinaria in questo e nel cercare di comprendere quali sono le dinamiche di questo tipo di guerra e come questi conflitti si svolgono. 

 

A proposito di guerre, di tecnologie, di armi, tu hai anche un'altra angolatura di visuale particolarmente intensa e importante è l'essere parte del comitato tecnico-scientifico della Cyber Security Academy di Leonardo. La tecnologia sta facendo sicuramente fare dei passi da gigante in avanti, quando diciamo avanti vuol dire anche nel senso di efficacia di queste armi.

Sì e le rende però per altro esposte a categoria di attacchi che fino a ieri sembrava non le riguardasse. Questo è l'altro tema, quello di riuscire a garantire per esempio che un elicottero militare, un aereo militare, un drone possa essere compromesso e quindi la necessità di dover progettare della componentistica che prima doveva preoccuparsi solo ed essenzialmente di quella che era la semplice sicurezza fisica dell'oggetto, doversi preoccupare anche di come si scrive il firmware, per esempio il software che gestisce questi oggetti, doversi preoccupare di introdurre delle misure di sicurezza a livello di design, di sicurezza cyber. Quindi c'è una duplicità: se da un lato la tecnologia rende queste armi decisamente più micidiali di prima, dall'altra parte le espone a nuove categorie di attacchi che fino a poco fa non erano neanche presi in considerazione. Consideriamo altresì che il ciclo di vita spesso di alcuni armamenti è estremamente lungo. I caccia, gli aerei da combattimento che vediamo oggi sono stati progettati dieci anni fa, quindici anni fa e sono tuttora in servizio. Ma questo vale per tutti quei sistemi che quando li compri il prezzo si misura in centinaia di milioni di euro, di miliardi di euro, quindi c'è un tema di trovarsi con delle tecnologie di questa parte non si preoccupavano, ma che in realtà oggi sono esposte a questi rischi. Un generale americano alcuni anni fa disse “Ma io sono poco preoccupato della sicurezza dei nostri caccia da combattimento perché voglio capire da dove tireremo fuori il criminale informatico che sia in grado di interpretare il linguaggio di sviluppo che è stato usato quaranta anni fa per sviluppare determinati software”. In questo caso l’ignoranza diventa una forma di protezione poi non è non è sempre così, anzi raramente è così.

 

Potremmo definire affascinante quello che ha detto se non ci fosse il dramma che si portano dietro tutte le guerre del pianeta. Indubbiamente dal punto di vista tecnologico è un mondo davvero intrigante. Sulla parte diciamo così civile invece Alessandro Curioni ha gestito più di 200 progetti di Sicurezza Informatica, information Security e per questo hai  fondato addirittura una vera e propria azienda, DI.GI. Academy. 

Academy, ovviamente, nasce come accademia perché io sono fissato con la formazione. da 30 anni a questa parte. Però è una società che fa anche consulenza in diversi ambiti, focalizzata sulla Cyber Security. Noi per anni siamo stati un'azienda specializzata nell'ambito della Security governance, nell’adozione delle Best practice, degli standard di alto livello. In quest'ultimo periodo invece stiamo spostando il nostro focus anche su quella che potremmo definire una hard cyber security e quindi fortemente tecnologica. Abbiamo ampliato il nostro spettro d’azione acquisendo un'azienda specializzata che si occupa proprio di, non solo penetration test e vulnerability assessment, ma anche di reverse engineering dei malware, incident response, analisi forense, sviluppo di prodotti destinati alla gestione di questa casistica, quindi soprattutto nell'ambito dell'incident response. Diciamo che oggi DI.GI. Academy ha un'offerta che comprende tutti quelli che sono gli ambiti della cyber security. Ovviamente essendo una piccola azienda, puntiamo molto su un livello più alto. Nel senso che abbiamo delle risorse fortemente specializzate con un’expertise maturato nel corso di molti anni e quindi siamo un pochino una boutique di Cyber Security. Facciamo progetti anche grandi, ovviamente molto molto particolari. DI.GI. Academy ha compiuto i suoi 16 anni, tra un po' diventerà maggiorenne e auspicabilmente continueremo su questa strada.

 

Tutto ciò premesso, quali saranno i contenuti, quale sarà diciamo la linea dei tuoi editoriali? 

Quello che vorrei è dare degli spunti di riflessione che abbiano non tanto a che vedere con la tecnologia in quanto tecnologia, ma con le implicazioni della tecnologia rispetto a noi esseri umani. Intendo dire che io di estrazione sono un filosofo e ho trovato che nella cyber security in generale c'è molta più filosofia di quanto si possa immaginare e ci sono nella tecnologia degli impatti che apparentemente sembrano lontani da noi, dal nostro mondo fisico, reale, ma in realtà sono molto concreti. Faccio un esempio per dare un'idea di cosa vorrei parlare. Un anno fa scrissi un articolo dicendo perché le intelligenze artificiali non sono neutrali, perché le sviluppiamo noi esseri umani, le sviluppano dai Paesi, delle Nazioni, delle aziende private che stanno nei paesi e ognuno di questi paesi ha dei suoi criteri e così dicevo che sicuramente quando - visto che la Cina intendeva investire circa 1000 miliardi di dollari di intelligenza artificiale - ho detto “Ma voi che intelligenza vi aspettate che sarà quella cinese? Ovviamente sarà un'intelligenza artificiale socialista” e in effetti il regolamento che è appena stato pubblicato in Cina parla proprio all'articolo 4 che l’intelligenza artificiale operante sul territorio cinese dovrà essere socialiste, non potranno indurre, provocare o determinare alcunché che possa sovvertire l'ordine costituito. Ora, l’intelligenza cinese sarà fatta così, ma quella europea sarà fatta sulla base delle linee etiche europee e via dicendo. Quindi non esisteranno intelligenze artificiali neutre, neutrali tutte avranno un loro bias e quindi un loro pregiudizio e il pregiudizio sarà dato dall’etica dominante. Questo è un esempio di come io intendo approcciare. Ho scritto un articolo in cui parlavo… si parla tanto di dual use dell’intelligenza artificiale, che può essere utilizzata per rivelare un beneficio ma può essere utilizzata anche per come dire scrivere una mail di phishing e io ho introdotto il tema, che si chiama e che potrebbe essere oggetto di varie riflessioni, del Dual Think, cioè come penseranno questa intelligenza artificiale, quindi non soltanto il doppio uso, ma anche un doppio pensiero con il quale dovremo confrontarci per esempio se pensiamo alle questioni di intelligence. Non a caso molti servizi di intelligence si sono posti la domanda di quanto potente può essere l'intelligenza artificiale nella gestione delle informazioni per fornire come dire un supporto al processo decisionale. Sono arrivati alla conclusione che in realtà i decisori, basandosi sulle indicazioni fornite dall'intelligenza artificiale, dovranno sviluppare una maggiore tolleranza al rischio per due ordini di ragioni. La prima è perché sarà pressoché impossibile verificare l'affidabilità della fonte, cioè l’AI, stessa e secondo perché sarà molto difficile capire i processi cognitivi che l'hanno portata a suggerire una cosa piuttosto che un'altra. Quindi il paradosso è che ci troveremo ad avere più informazioni gestite, ma con un rischio più alto quando invece in realtà uno dice se ho tutte le informazioni posso prendere una decisione migliore. Ecco l'approccio che voglio tenere è un po' questo. Ho fatto due esempi sull'intelligenza artificiale perché va tanto di moda adesso, quindi se ne parla, però l'idea è questa: fornire degli spunti di riflessione.