Intervento di Giampaolo Bella, ordinario di Informatica al Dipartimento di Scienze politiche e sociali dell'Università di Catania
La risoluzione delle complessità intrinseche dell’informatica ha rappresentato un problema, quantomeno, sin dal secondo dopoguerra. Se non è mai stato minimamente ovvio che un complesso microprocessore, una volta realizzato, funzioni precisamente come da progetto, allo stesso modo, verificare che svariate decine di migliaia di linee di software diano i risultati attesi è stato un rompicapo già per informatici e filosofi del calibro di Alan Turing e Amir Pnueli.
I problemi di sicurezza in informatica sono un po’ più recenti, probabilmente databili verso la fine degli anni ‘60, quando si cominciava a intuire che le password non andassero memorizzate in chiaro su un computer e, altresì, che le reti di computer del tempo non potessero resistere ad utilizzi indebiti. Ha così avuto inizio la storia della cyber security, nota ai più per il tramite dei suoi infausti rappresentati susseguitisi negli anni, quali virus, worm, vulnerabilità, attacchi, intrusioni, furti di risorse, di dati e perfino di capitali.
Ne deriva che qualunque sistema informatico, sia esso di tipo hardware o software, non sia semplicemente tenuto a funzionare secondo gli scopi previsti ma debba oltretutto resistere ad esplicita attività malevola da parte di criminali meglio noti come hacker, attività finalizzata ad alternare il funzionamento del sistema per un qualche tornaconto criminale.
Per esempio, un registratore di cassa impeccabile a gestire i prezzi degli articoli e le addizioni nella lista di una spesa sarebbe stato, probabilmente, considerato perfetto negli anni ‘60. Il medesimo registratore immerso in una prospettiva cyber security del giorno d’oggi potrebbe risultare inaccettabile, magari perché un criminale si sia accorto, per caso o tramite attività deliberata, che il totale spesa si dimezza quando l’ultimo importo inserito accada essere, precisamente, 37 centesimi di euro.
Gran parte dei dispositivi elettronici dei nostri giorni sono interconnessi, ovvero raggiungibili tramite Internet o tramite un’applicazione di controllo che possiamo eseguire comodamente dal nostro smartphone ad inclusione di automobili, lampadine, centraline per riscaldamento domestico o per irrigazione del verde, forni da cucina, spazzolini da denti e tazze per il cappuccino. Si tratta di una lista in continua crescita, destinata a diventare infinita a mano a mano che la tecnologia implementa la cosiddetta Internet delle cose e quindi Internet del tutto.
Ne deriva che i possibili scenari da hackerare sono illimitati. Il team che mi inorgoglisce coordinare, i nas.inf, ha dimostrato che anche una stampante di rete, una lampadina smart e perfino Alexa possono essere sfruttate per penetrare nella rete domestica e quindi fare incetta delle risorse locali e dei dati personali che gli utenti generano. Di volta in volta abbiamo collaborato in segreto coi produttori dei dispositivi per illustrare le problematiche e orientarne la risoluzione, contribuendo così a migliorare la sicurezza dell’ecosistema tecnologico che, gioco forza, circonda noi e le nostre famiglie.
In ambito scientifico c’è piena consapevolezza della capillarità dei rischi in ambito cyber security, specie per settori nevralgici del nostro paese e di tutto il mondo moderno come quello sanitario, dell’energia e dei trasporti. L’Europa e l’Italia in particolare stanno reagendo bene negli ultimi anni anche dal punto di vista giuridico, specialmente con il Regolamento per la Protezione dei Dati Personali (GDPR), la direttiva per un Livello Comune Elevato di Cibersicurezza nell’Unione (NIS2) e il Perimetro di Sicurezza Cibernetica Nazionale (D.L. 105/2019).
Se il quadro generale dimostra buona consapevolezza, rimane da chiedersi quanto tempo debba ancora passare prima che tali normative trovino reale applicazione, capillare e generalizzata, ad esempio per garantire a ciascuna istituzione che qualunque piccolo fornitore di un piccolo servizio non aumenti significativamente la superficie attaccabile dell’istituzione stessa. Al momento sembra ci sia ancora tanto da fare per aumentare la consapevolezza che i costi da affrontare per la compliance cyber security verranno ampiamente ripagati negli anni in termini di garanzie di affidabilità e quote di mercato.
C’è quindi urgente necessità di informare i giovani sulle immense opportunità professionali che il settore cyber offre ed offrirà, quindi di formarli rendendoli progettisti visionari e implementatori esperti di misure di sicurezza nonché micidiali ethical hacker.
Costoro potranno spiegarci eventuali problematiche dei sistemi informatici che abbiamo e avremo in uso nei prossimi anni, quindi come porvi rimedio, con l’obiettivo di prevenire attacchi informatici prima che le falle possano essere sfruttate da hacker con intenti criminali. Con il continuo avvento di nuove tecnologie da mettere in sicurezza, è ragionevole credere che la disciplina cyber security pervaderà la quotidianità di numerose generazioni future.
Il prof. Giampaolo Bella