domenica 27 ottobre 2019

Italia: nuove tecnologie, formazione e governo del rischio inesistente

Oggi il computer è in molti casi "invisibile"  almeno nell'accezione di uno strumento necessariamente costituito da una unità centrale più o meno ingombrante che contiene il processore, dischi, memoria, ecc., una tastiera, un monitor, e altre periferiche.  
Come aveva previsto nel 1998 Don Norman (The Invisible Computer, The MIT Press, 1998 - https://www.nngroup.com/books/invisible-computer/), oggi il computer è presente in molte forme nella nostra vita quotidiana.  Smartphone, consolle giochi, smart TV, auto connesse sono solo alcuni  degli esempi. Il computer è anche elemento centrale in numero sempre crescente di attività produttive industriali, manifatturiere, dei servizi, nella sanità. Non esiste oggi attività umana che non dipenda in modo più o meno stretto dal computer o da una rete di computer.  
L'usabilità del computer "invisibile", nascosto in molti oggetti, ha reso popolari strumenti fino a poco tempo fa orientati a un pubblico specialistico. Pensiamo ad esempio ai gruppi di radioamatori che negli anni '70 e '80 creavano gruppi accessibili solo a chi avesse le competenze per installare una staziona radio. Oggi tale possibilità è immediatamente disponibile a chiunque abbia un telefono connesso e sia iscritto a una delle tante piattaforme per la creazione di reti sociali. Tuttavia la facilità con cui si utilizzano gli strumenti e ci si collega ad altre persone non è stata accompagnata da una approfondita riflessione sulle sicurezza delle informazioni. 
Qualunque computer oltre a memorizzare informazioni su di noi, memorizza anche informazioni sulle persone con cui siamo in contatto. Inoltre è una potente risorsa di calcolo che, quando connessa in rete, può essere violata in modo da essere controllata da un estraneo. L'invisibilità del computer (includendo tutti gli strumenti smart-) e delle informazioni che memorizza e elabora rende più difficile far percepire i pericoli e i rischi connessi. Fra i tanti esempi possibili, cito la rete "Mirai", costruita violando migliaia di dispositivi connessi in rete come videocamere di sorveglianza. L'obiettivo degli attaccanti non è stato quello di rubare informazioni, ma di utilizzare la potenza computazionale per lanciare un attacco di tipo DDoS (Distributed Denial of Service) che nel 2016 ha reso per diverse ore inaccessibili la maggior parte dei siti Internet da parte degli abitanti della costa orientale degli USA (per una descrizione approfondita https://elie.net/blog/security/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/). Questo significa che è necessario non solo proteggere le informazioni che riguardano la nostra sfera personale e le informazioni delle persone con cui siamo in contatto e che memorizziamo nei nostri sistemi, ma proteggere i sistemi stessi per evitare che diventino delle vere e proprie "armi" in mano di attaccanti che in modo invisibile ne prendono il controllo per attaccare i veri obiettivi. 
Nel mondo fisico siamo molto attenti a possibili pericoli visibili per l'incolumità personale e per quella altrui, tanto che per utilizzare utensili professionali di lavoro, macchine operatrici o per condurre un automezzo, occorre frequentare dei corsi e superare esami teorici e pratici.  
Nel momento in cui i computer sono praticamente invisibili ma si trovano a gestire numerosi strumenti che hanno un effetto nel mondo fisico e che, conseguentemente, la loro interconnessione in rete comporta effetti a catena potenzialmente pericolosi, cosa si fa nel mondo reale per mitigare il rischio? 
L'effetto fisico infatti si può realizzare attraverso catene di connessioni, a partire da un computer non direttamente connesso a un dispositivo fisico, ma che può essere raggiunto attraverso una relazione di fiducia fra dispositivi connessi anche consentita dalle persone che ne gestiscono l'utilizzo.  
Focalizziamoci per un momento sullo smartphone, l'oggetto connesso oggi più diffuso. 
Oggi non ci stupiamo che qualunque smartphone localizzi immediatamente il volto di una persona quando inquadriamo per scattare una foto. Eppure fino a una decina di anni fa, questo era un compito che richiedeva una potenza di calcolo elevata e algoritmi non sempre privi di errori.  Oggi con il medesimo smartphone in modo naturale passiamo dal commentare le foto dell'amico, a disporre un bonifico bancario, a gestire contratti di varia natura, interagire con documenti di lavoro e controllare elettrodomestici di casa. Alla intuitività dell'interazione purtroppo non è accompagnata la necessaria consapevolezza (awareness) dei rischi dovuti a malintenzionati che abusano della nostra fiducia. 
Ora, fin da bambini ci insegnano i rudimenti della circolazione stradale per renderci da subito in grado di usare le strade, comprendere le regole e i segnali, in modo da usarle in sicurezza per se e per gli altri che utilizzano la strada. Quando ero bambino, uno strumento come l'ascensore era proibito prima del compimento dei 12 anni e nel palazzo in cui vivevo i pulsanti erano posti in alto, fuori dalla portata di un bambino piccolo.
 Image result for targa ascensore vietato uso minori anni 12  Ora, è evidente a tutti come la rapida evoluzione delle tecnologie informatiche e della comunicazione siano un fattore di sviluppo non solo economico ma anche sociale, per le maggiori possibilità di interagire, di conoscere il mondo al di fuori della propria cerca, di poter cogliere opportunità. 
Ma per poter godere di questa opportunità occorre governare da subito i rischi e i pericoli per evitare che l'introduzione e lo sviluppo di strumenti così importanti per il miglioramento del benessere individuale e sociale (pensiamo agli effetti positivi nel mondo sanitario, sia in termini di strumenti per la cura, sia per la possibilità di poter offrire cure in zone geograficamente disagiate) venga arrestato da una assenza di consapevolezza diffusa su potenzialità e rischi. 
Se guardiamo il panorama nazionale, la situazione è purtroppo desolante.
Da tanti anni in Italia l'investimento in istruzione, in termini di azioni positive di governo che assegnino risorse, compiti e obiettivi, è del tutto assente. L'insegnamento delle nuove tecnologie nelle scuole elementari, medie e superiori, che dovrebbe coinvolgere tutti gli studenti indipendentemente dal loro percorso formativo è lasciato alla iniziativa volontaria delle singole scuole e alla passione dei singoli docenti. 
A livello universitario sono presenti corsi specialistici per la formazione di professionisti, ma il loro numero è insufficiente per coprire le esigenze del mercato del lavoro (https://www.consorzio-cini.it/index.php/it/labcs-home/formazione-in-cyber-security-in-italiA). 
Quasi totalmente assente anche in ambito universitario una formazione orizzontale alle tecnologie informatiche e alla loro sicurezza. 
E se pensiamo che non c'è attività professionale che oggi non debba fare i conti con l'informatica…
Questo scenario, oltre a rappresentare un pericoloso campanello dall'allarme per la competitività della nostra nazione, che non forma adeguatamente le competenze necessarie a confrontarsi con la rapida trasformazione tecnologica in ambito internazionale, risulta particolarmente critico per la sicurezza dal momento che diventa difficile poter gestire un "perimetro" di sicurezza quando i singoli sono scarsamente consapevoli che è compito di ciascuno difendere quel perimetro. 
La passione di diversi docenti delle scuole di ogni ordine e grado, così come le competenze presenti in ambito accademico non devono essere solo uno spunto per iniziative estemporanee. 
Occorre uno studio approfondito degli obiettivi formativi per ciascuna fascia di età e la conseguente formazione degli insegnanti. 
Non ci si può basare su buona volontà e conoscenze acquisite per curiosità personale. Come per qualunque disciplina l'improvvisazione può creare danni. 
E' già molto tardi. Ma se continuiamo a far finta di niente, non solo saremo sempre più esposti a pericoli facilmente evitabili con una buona formazione di base. 
Nel mentre che si attende, tutto il paese perde in competitività per la sua dipendenza dalle nazioni che invece investono in cultura e formazione e da chi usa questa cultura e formazione per esercitare dominio sulle altre nazioni. 
In Italia abbiamo già numerose professionalità e competenze riconosciute a livello internazionale. 
Occorre mettere in campo risorse e strategie per non disperdere questo patrimonio e utilizzarlo come fattore moltiplicatore (https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco).

Giorgio Giacinto

Nessun commento:

Posta un commento