Una “cultura della cybersecurity”? Ma anche no!

Premessa-confessione numero uno: quello che avete appena letto è ovviamente un titolo “ad effetto”. Serve per avere la speranza di trattenervi fino alla fine di queste righe.

Premessa-confessione numero due: chi scrive non è un esperto di “cyber” e nemmeno di sicurezza informatica, non nel senso “professionale” del termine almeno.

In ogni caso, giusto o sbagliato che sia, la questione “cyber” e quella della ICT security sono tematiche che lambiscono anche l’OSINT in termini – diciamo così – di conseguenze informative. Pertanto non è intelligente far finta che non esistano e bollarle come “non di competenza”.

Ebbene, WannaCry è l’argomento del giorno e probabilmente non è questa la sede per affrontare una discussione tecnica nel merito del fenomeno. Quel che è certo, comunque, è che “l’argomento di questo giorno” durerà in realtà qualche settimana o forse qualche mese. Certamente durerà fino al momento in cui l’attenzione mediatica non verrà catturata da un qualche altro fenomeno (più o meno simile a questo) che soppianterà l’affaire WannaCry.

Ad ogni modo, in questi giorni molte utilissime informazioni sono state fornite dai media affinché gli utenti di un certo particolare sistema operativo a finestre (che non è quello della mela morsicata e nemmeno quello del pinguino) potessero mettersi in una condizione di “ragionevole sicurezza”: buone prassi nell’uso della posta elettronica, modalità affidabili di aggiornamento del sistema operativo, impiego e configurazione di antivirus e firewall e così via. Tutte prescrizioni assolutamente utili che potenzialmente possono fare la differenza tra una normale fruttuosa giornata di lavoro (o di divertimento) e un potenziale Pearl Harbor digitale in ufficio (o a casa).

Di qui l’appello accorato da parte di molti autorevoli esperti finalizzato al raggiungimento di una diffusa cultura della cybersecurity tra gli utenti. Ciò vuol dire che chi usa sistemi informatici (per lavoro e per diletto) necessariamente deve anche essere pratico di politiche di backup, di configurazione di firewall, di sistemi per la gestione e l’aggiornamento di password “robuste”, deve conoscere le minacce e saper riconoscere tempestivamente il comportamento dei più comuni malware, deve essere in grado di impiegare i sistemi di crittografia a doppia chiave, deve essere in grado di scegliere – con orientamento alla massima sicurezza – un sistema operativo invece di un altro e così via. Tutto questo pena l’esposizione a rischi indicibili in termini di perdita di dati, informazioni, danneggiamenti di hardware e software, con conseguenti costi stratosferici di ripristino.

Insomma tanto l’utente standard (general purpose, si sarebbe detto una volta) quanto quello professionale – commercialista, architetto, professore universitario, medico, eccetera – oltre a saperne di contabilità e fisco, architettura, didattica, chirurgia e via dicendo, per poter lavorare tranquillamente con la tecnologia ICT che il mercato, pagando, gli offre (ed è chiaro che al giorno d’oggi non può scegliere di fare diversamente) deve necessariamente anche essere un… mezzo esperto di sicurezza informatica (il termine – da interpretarsi in senso affettuoso – identifica un ipotetico profilo di competenze che va dal collega “bravo col computer” che si chiama quando si blocca la coda di stampa, al funzionario amministrativo, per lo più autodidatta, al quale vengono affidate mansioni da sistemista o “responsabile CED”).

Per come stanno le cose oggi deve essere così, non si può negare. Però a una domanda – di quelle che sorgono spontanee – uno deve pure provare provare a farsela, se non altro perché magari può capitare di imbattersi casualmente in qualche risposta.

La domanda è: ma perché?

Perché accettiamo tutte questa – grave – criticità nell’uso delle tecnologie ICT? Perché siamo disposti ad impegnarci, a studiare, ad investire tempo e denaro nel farci formare (o nel formarci) per essere più sicuri quando usiamo le tecnologie ICT? Perché siamo così teneri con la tecnologia ICT e non lo siamo allo stesso modo con altre tecnologie che impieghiamo quotidianamente e alle quali ogni tanto affidiamo anche la vita?

Perché quando guidiamo l’automobile – che pure è un sistema tecnologico complesso – a 190 chilometri orari sulle autostrade (svizzere…) pretendiamo di non doverci preoccupare di che prestazioni avranno le sospensioni, gli pneumatici e i freni a disco a quella particolare velocità, su quella particolare vettura, su quella strada, in quelle particolari condizioni climatiche, con quel particolare carico?

Perché quando prendiamo l’ascensore per fare 20 piani pretendiamo di non doverci occupare di come il meccanismo di fermata (elettromeccanico si presume) arresterà correttamente la cabina al piano giusto – né 2 centimetri sopra né 2 centimetri sotto il livello stabilito – tanto nel caso in cui l’ascensore viaggi vuoto quanto nel caso in cui trasporti 12 persone e un cane di media taglia (senza museruola)?

Ancora più banalmente: perché quando usiamo la fotocopiatrice per riprodurre un documento di 70 pagine fronte-retro inserito nell’alimentatore automatico sfacciatamente pretendiamo di non doverci preparare al caso in cui l’apparecchio inceppi la carta, frigga il toner, surriscaldi il tamburo incendiandosi totalmente?

Pretendiamo di non doverci occupare di queste cose semplicemente perché quando acquistiamo una automobile, quando decidiamo di prendere un ascensore o quando firmiamo un contratto per il leasing di un fotocopiatore da 35 pagine al minuto sappiamo che spendiamo i nostri soldi per un oggetto che in linea di massima farà esattamente quello che deve fare, svolgendo esattamente il compito per il quale è stato progettato e commercializzato, con un livello di sicurezza assolutamente soddisfacente.

Nessuno di noi si sognerebbe – oggi – di dover impratichirsi nel richiudere la testata del motore con la chiave dinamometrica (o nello spurgo del circuito dei freni) prima di comprarsi l’automobile. Nessuno di noi immaginerebbe oggi di dover imparare perfettamente la manovra di sblocco di un ascensore (o una prova di carico dei cavi d’acciaio) prima di usarlo, così come sicuramente nessuno di noi ha fatto un corso antincendio prima di usare la fotocopiatrice “grande” che sta negli uffici del Direttore al primo piano (il corso antincendio però sarebbe utile in ogni caso ? )

Nessuno di noi, in buona sostanza, sarebbe disposto a farsi una completa cultura motoristica, ascensoristica, antincendio solo per essere in grado di andare la mattina in ufficio e sperare di tornare a casa in orario e senza troppe ustioni.

Dato che invece è esattamente questo quello che facciamo con l’ICT, perché siamo disposti a farlo? Quindi mi ripeto: perché decidiamo di essere così teneri con l’ICT? Intendiamoci, non che io abbia una risposta definitiva a questa domanda. Anzi non ne ho nemmeno una che sia lontanamente soddisfacente. Ciò non toglie, però, che porsi le domande (possibilmente quelle giuste) sia l’unico modo per affrontare ciò che non conosciamo (e in effetti anche ciò che conosciamo).

In linea di massima mi sento di aderire all’idea del filosofo Luciano Floridi (nella speranza di non averla eccessivamente semplificata o peggio mal interpretata): è tutta una questione di design. Ovvero: è tutta una questione di come vogliamo che questo nuovo “mondo” – l’infosfera – sia e di come vogliamo che sia il nostro modo di essere in questo mondo (l’onlife).

Dopodiché – e concludo – è tutta una questione di capire la differenza tra come vorremmo che fosse questo mondo e come in realtà lo stiamo costruendo. Siamo sicuri che lo stiamo facendo nel modo giusto? Che lo stiamo facendo come vorremmo? Non sarà forse che invece di adattare la tecnologia all’uomo e al suo ambiente stiamo adattando noi e il nostro ambiente alla tecnologia?

Per cui, non me ne vogliate, la mia risposta alla domanda “una cultura della cybersecurity è indispensabile?” per il momento rimane… ma anche no!

Chiosa finale: tutto quanto sopra non significa affatto che non debbano esserci bravissimi esperti di cybersecurity. Anzi paradossalmente più gli esperti di cybersecurity saranno bravi, di minor “cultura della cybersecurity” noi utenti-semplicemente-utenti avremo bisogno.

E di questo saremo loro eternamente e sinceramente grati.