Oggi il computer è
in molti casi "invisibile"
almeno nell'accezione di uno strumento necessariamente costituito da una
unità centrale più o meno ingombrante che contiene il processore, dischi,
memoria, ecc., una tastiera, un monitor, e altre periferiche.
Come aveva previsto nel 1998 Don Norman (The
Invisible Computer, The MIT Press, 1998 - https://www.nngroup.com/books/invisible-computer/),
oggi il computer è presente in molte forme nella nostra vita quotidiana. Smartphone, consolle giochi, smart TV, auto
connesse sono solo alcuni degli esempi.
Il computer è anche elemento centrale in numero sempre crescente di attività
produttive industriali, manifatturiere, dei servizi, nella sanità. Non esiste
oggi attività umana che non dipenda in modo più o meno stretto dal computer o
da una rete di computer.
L'usabilità del
computer "invisibile", nascosto in molti oggetti, ha reso popolari
strumenti fino a poco tempo fa orientati a un pubblico specialistico. Pensiamo
ad esempio ai gruppi di radioamatori che negli anni '70 e '80 creavano gruppi
accessibili solo a chi avesse le competenze per installare una staziona radio.
Oggi tale possibilità è immediatamente disponibile a chiunque abbia un telefono
connesso e sia iscritto a una delle tante piattaforme per la creazione di reti
sociali. Tuttavia la facilità
con cui si utilizzano gli strumenti e ci si collega ad altre persone non è
stata accompagnata da una approfondita riflessione sulle sicurezza delle
informazioni.
Qualunque computer oltre a memorizzare informazioni su di noi,
memorizza anche informazioni sulle persone con cui siamo in contatto. Inoltre è
una potente risorsa di calcolo che, quando connessa in rete, può essere violata
in modo da essere controllata da un estraneo. L'invisibilità del computer
(includendo tutti gli strumenti smart-) e delle informazioni che memorizza e
elabora rende più difficile far percepire i pericoli e i rischi connessi. Fra i
tanti esempi possibili, cito la rete "Mirai", costruita violando
migliaia di dispositivi connessi in rete come videocamere di sorveglianza.
L'obiettivo degli attaccanti non è stato quello di rubare informazioni, ma di
utilizzare la potenza computazionale per lanciare un attacco di tipo DDoS
(Distributed Denial of Service) che nel 2016 ha reso per diverse ore inaccessibili la maggior
parte dei siti Internet da parte degli abitanti della costa orientale degli USA
(per una descrizione approfondita https://elie.net/blog/security/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/). Questo significa che
è necessario non solo proteggere le informazioni che riguardano la nostra sfera
personale e le informazioni delle persone con cui siamo in contatto e che
memorizziamo nei nostri sistemi, ma proteggere i sistemi stessi per evitare che
diventino delle vere e proprie "armi" in mano di attaccanti che in
modo invisibile ne prendono il controllo per attaccare i veri obiettivi.
Nel mondo fisico
siamo molto attenti a possibili pericoli visibili per l'incolumità personale e
per quella altrui, tanto che per utilizzare utensili professionali di lavoro,
macchine operatrici o per condurre un automezzo, occorre frequentare dei corsi e
superare esami teorici e pratici.
Nel momento in cui i
computer sono praticamente invisibili ma si trovano a gestire numerosi strumenti che hanno
un effetto nel mondo fisico e che, conseguentemente, la loro interconnessione in rete comporta effetti a catena potenzialmente pericolosi, cosa si fa nel mondo reale per mitigare il rischio?
L'effetto fisico infatti si può realizzare attraverso catene
di connessioni, a partire da un computer non direttamente connesso a un
dispositivo fisico, ma che può essere raggiunto attraverso una relazione di
fiducia fra dispositivi connessi anche consentita dalle persone che ne
gestiscono l'utilizzo.
Focalizziamoci per
un momento sullo smartphone, l'oggetto connesso oggi più diffuso.
Oggi non ci
stupiamo che qualunque smartphone localizzi immediatamente il volto di una
persona quando inquadriamo per scattare una foto. Eppure fino a una decina di
anni fa, questo era un compito che richiedeva una potenza di calcolo elevata e
algoritmi non sempre privi di errori. Oggi con il
medesimo smartphone in modo naturale passiamo dal commentare le foto
dell'amico, a disporre un bonifico bancario, a gestire contratti di varia
natura, interagire con documenti di lavoro e controllare elettrodomestici di
casa. Alla intuitività dell'interazione purtroppo non è accompagnata la necessaria
consapevolezza (awareness) dei rischi dovuti a malintenzionati che abusano
della nostra fiducia.
Ora, fin da bambini
ci insegnano i rudimenti della circolazione stradale per renderci da subito in
grado di usare le strade, comprendere le regole e i segnali, in modo da usarle
in sicurezza per se e per gli altri che utilizzano la strada. Quando ero bambino,
uno strumento come l'ascensore era proibito prima del compimento dei 12 anni e
nel palazzo in cui vivevo i pulsanti erano posti in alto, fuori dalla portata
di un bambino piccolo.
Ma per poter godere di
questa opportunità occorre governare da subito i rischi e i pericoli per
evitare che l'introduzione e lo sviluppo di strumenti così importanti per il
miglioramento del benessere individuale e sociale (pensiamo agli effetti
positivi nel mondo sanitario, sia in termini di strumenti per la cura, sia per
la possibilità di poter offrire cure in zone geograficamente disagiate) venga
arrestato da una assenza di consapevolezza diffusa su potenzialità e rischi.
Se guardiamo il
panorama nazionale, la situazione è purtroppo desolante.
Da tanti anni in
Italia l'investimento in istruzione, in termini di azioni positive di governo
che assegnino risorse, compiti e obiettivi, è del tutto assente. L'insegnamento
delle nuove tecnologie nelle scuole elementari, medie e superiori, che dovrebbe
coinvolgere tutti gli studenti indipendentemente dal loro percorso formativo è
lasciato alla iniziativa volontaria delle singole scuole e alla passione dei
singoli docenti.
A livello universitario sono presenti corsi specialistici per
la formazione di professionisti, ma il loro numero è insufficiente per coprire
le esigenze del mercato del lavoro (https://www.consorzio-cini.it/index.php/it/labcs-home/formazione-in-cyber-security-in-italiA).
Quasi totalmente assente anche in ambito universitario una formazione
orizzontale alle tecnologie informatiche e alla loro sicurezza.
E se pensiamo che
non c'è attività professionale che oggi non debba fare i conti con
l'informatica…
Questo scenario,
oltre a rappresentare un pericoloso campanello dall'allarme per la
competitività della nostra nazione, che non forma adeguatamente le competenze
necessarie a confrontarsi con la rapida trasformazione tecnologica in ambito
internazionale, risulta particolarmente critico per la sicurezza dal momento
che diventa difficile poter gestire un "perimetro" di sicurezza
quando i singoli sono scarsamente consapevoli che è compito di ciascuno
difendere quel perimetro.
La passione di
diversi docenti delle scuole di ogni ordine e grado, così come le competenze
presenti in ambito accademico non devono essere solo uno spunto per iniziative
estemporanee.
Occorre uno studio approfondito degli obiettivi formativi per
ciascuna fascia di età e la conseguente formazione degli insegnanti.
Non ci si
può basare su buona volontà e conoscenze acquisite per curiosità personale. Come
per qualunque disciplina l'improvvisazione può creare danni.
E' già molto tardi. Ma se continuiamo a far
finta di niente, non solo saremo sempre più esposti a pericoli facilmente
evitabili con una buona formazione di base.
Nel mentre che si attende, tutto il paese perde in
competitività per la sua dipendenza dalle nazioni che invece investono in
cultura e formazione e da chi usa questa cultura e formazione per esercitare
dominio sulle altre nazioni.
In Italia abbiamo
già numerose professionalità e competenze riconosciute a livello
internazionale.
Occorre mettere in campo risorse e strategie per non disperdere
questo patrimonio e utilizzarlo come fattore moltiplicatore (https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco).
Giorgio Giacinto
Nessun commento:
Posta un commento