Le persistenti preoccupazioni riguardo alle “minacce alla privacy e alla (cyber)security”, come riportato da Politico.eu, avrebbero spinto i tecnici del Parlamento Europeo a disattivare da remoto le funzionalità di intelligenza artificiale degli strumenti utilizzati da parlamentari e collaboratori. In particolare, la decisione sarebbe stata presa a causa dell’incerta quantità e qualità delle informazioni che potrebbero essere inviate alle piattaforme cloud responsabili dei servizi.
Una scelta più simbolica che efficace
Che questa misura sia poco efficace è ben noto agli stessi tecnici del Parlamento Europeo, i quali esortano i destinatari della “misura di sicurezza preventiva” a non utilizzare tali funzionalità sui propri dispositivi personali, che non sono quindi soggetti a controllo centralizzato.
Il messaggio è inequivocabile: evitate di compromettere il nostro intervento, diffondendo informazioni al di fuori della nostra supervisione. Tuttavia, è altrettanto evidente che questa speranza sia solo un’illusione. I benefici derivanti dall’uso di strumenti che semplificano la comprensione di argomenti complessi sono così numerosi da rendere altamente improbabile che i parlamentari europei smettano improvvisamente di utilizzarli “per garantire la sicurezza”.
La contraddizione: intatti gli altri servizi cloud
Parlando di sicurezza, risulta piuttosto incomprensibile il motivo per cui i tecnici del Parlamento Europeo abbiano mantenuto attivi i servizi di gestione documentale, email e calendari, che funzionano anch’essi in cloud e sono gestiti da aziende extracomunitarie (o di proprietà di tali aziende). In particolare, è curioso che siano stati lasciati operativi strumenti di controllo centralizzato simili a quelli che in Italia sono stati rapidamente denunciati come potenziali strumenti di spionaggio per i magistrati.
La perdita del controllo e l’aumento del rischio
Aggiungiamo a tutto ciò un’ulteriore considerazione: finché gli strumenti utilizzati dai parlamentari erano sotto controllo centralizzato, era possibile almeno temporaneamente intensificare le verifiche e prevenire potenziali problematiche. Se, al contrario, parlamentari e collaboratori utilizzano strumenti “fuori perimetro”, viene meno anche questa minima possibilità di intervento.
Le morali di questa situazione sono almeno tre.
Alla ricerca della sovranità digitale perduta
La prima concerne la (mai raggiunta e probabilmente irraggiungibile) “sovranità digitale”. Finché si continuerà a utilizzare tecnologie extracomunitarie, il prezzo da pagare è evidente: chi le controlla, gestisce nel proprio esclusivo interesse l’uso che ne fanno gli utenti, inclusi parlamenti ed esecutivi.
La sicurezza non è formazione, ma un’attitudine da coltivare e praticare
La seconda mette in evidenza la mancanza di una reale sensibilizzazione di coloro che operano in contesti dove circolano informazioni riservate o di contenuto critico.
Non risulta che a parlamentari e collaboratori siano forniti almeno i fondamenti di op-sec, operational security, necessari per evitare la diffusione di informazioni da proteggere. Ma anche se questo fosse stato fatto, i risultati non sembrano particolarmente incoraggianti, dato che è stata necessaria l’adozione di una misura così drastica quanto inefficace come quella di cui stiamo discutendo.
Non è sufficiente aver partecipato a qualche corso di formazione, magari online, dove l’esperto di turno ripete come un disco rotto concetti risalenti a quarant’anni fa (la sicurezza è un processo e non un prodotto, l’utente è l’anello più vulnerabile della catena, la formazione è la base della sicurezza). Ciò che è necessario, piuttosto, è la pratica costante e lo sviluppo di un’attitudine a comportarsi in modo da non generare rischi.
Per comprenderlo, basta osservare che guardare un video didattico, ad esempio, per apprendere una lingua o qualsiasi altra abilità non implica, di per sé, essere in grado di applicare quelle nozioni. Questo è ancor più vero per la sicurezza, che non può essere praticata a tempo determinato o solo quando ci si ricorda della sua esistenza.
L’inevitabilità del controllo centralizzato come snodo cruciale
La terza morale riporta nuovamente alla questione dell’inevitabilità del controllo centralizzato nella gestione di un’infrastruttura tecnologica complessa.
Da un lato, dovremmo essere consapevoli che, al giorno d’oggi, non esistono alternative al fatto che la sicurezza di un sistema informativo richiede un’analisi continua, diffusa e precisa di tutto ciò che transita attraverso una rete.
Dall’altro, dovremmo interrogarci su chi abbia, realmente, il “controllo sul controllo” e ammettere che non abbiamo ancora fornito una risposta alla domanda che Giovenale poneva nelle sue satire, secoli fa: quis custodiet ipsos custodies?
I commenti sono chiusi.