Le persistenti preoccupazioni riguardo alle “minacce alla privacy e alla (cyber)security”, come riportato da Politico.eu, avrebbero spinto i tecnici del Parlamento Europeo a disattivare da remoto le funzionalità basate su intelligenza artificiale degli strumenti utilizzati da parlamentari e collaboratori. In particolare, questa decisione sarebbe stata presa a causa dell’incerta quantità e qualità delle informazioni che potrebbero essere inviate alle piattaforme cloud che gestiscono i servizi.
Una scelta più simbolica che efficace
È noto agli stessi tecnici del Parlamento Europeo che questa misura ha un’efficacia limitata, dato che invitano i destinatari della “misura di sicurezza preventiva” a non utilizzare tali funzionalità sui propri dispositivi personali, che non sono quindi controllati centralmente.
Il messaggio è inequivocabile: evitate di compromettere il nostro intervento, diffondendo informazioni al di fuori del nostro controllo. Tuttavia, è altrettanto evidente che questa speranza rappresenti solo una vana illusione. I benefici derivanti dall’uso di strumenti che semplificano la comprensione di argomenti complessi sono così numerosi da rendere altamente improbabile che i parlamentari europei smettano di utilizzarli “per garantire la sicurezza”.
La contraddizione: intatti gli altri servizi cloud
Inoltre, è piuttosto difficile comprendere perché gli stessi tecnici del Parlamento Europeo abbiano mantenuto attivi i servizi di gestione documentale, della posta elettronica e dei calendari, che funzionano anch’essi in cloud e sono gestiti da aziende extracomunitarie (o di proprietà di aziende extracomunitarie), ma soprattutto — appunto — perché abbiano lasciato operativi gli strumenti di controllo centralizzato simili a quelli che in Italia sono stati rapidamente denunciati come potenziali strumenti di spionaggio per i magistrati.
La perdita del controllo e l’aumento del rischio
A questo si aggiunge un’altra considerazione: finché gli strumenti utilizzati dai parlamentari erano sotto controllo centrale, era possibile almeno temporaneamente intensificare le verifiche e prevenire potenziali problematiche. Se, invece, parlamentari e collaboratori utilizzano strumenti “fuori perimetro”, viene meno anche questa minima possibilità di intervento.
Le lezioni, anzi, le lezioni di questa situazione sono almeno tre.
Alla ricerca della sovranità digitale perduta
La prima riguarda la (mai raggiunta e probabilmente irraggiungibile) “sovranità digitale”. Finché si utilizzeranno tecnologie extracomunitarie, il prezzo da pagare è evidente: chi le controlla, gestisce nel proprio esclusivo interesse l’uso che ne fanno gli utenti, compresi parlamenti ed esecutivi.
La sicurezza non è formazione, ma un’attitudine da coltivare e praticare
La seconda mette in evidenza l’assenza di una reale sensibilizzazione di chi opera in ambiti in cui circolano informazioni riservate o comunque di contenuto critico.
Non risulta che a parlamentari e collaboratori siano forniti almeno i fondamenti di op-sec, operational security, necessari per evitare la diffusione di informazioni da proteggere. Ma anche se questo fosse stato fatto, a quanto pare i risultati non sono particolarmente incoraggianti se è stato necessario adottare una misura tanto drastica quanto inefficace come quella di cui stiamo discutendo.
Non è sufficiente aver partecipato a qualche corso di formazione, magari online, dove l’esperto di turno ripete come un disco rotto concetti risalenti a quarant’anni fa (la sicurezza è un processo e non un prodotto, l’utente è l’anello più vulnerabile della catena, la formazione è la base della sicurezza). Ciò che è necessario, piuttosto, è la pratica costante e lo sviluppo di un’attitudine a comportarsi in modo da non generare rischi.
Per comprenderlo, basta osservare che vedere un video didattico, ad esempio, per l’apprendimento di una lingua o di qualsiasi altra abilità non implica, di per sé, la capacità di utilizzare quelle conoscenze. Questo è ancor più vero per la sicurezza, che non può essere praticata a tempo determinato o solo quando ci si ricorda della sua esistenza.
L’inevitabilità del controllo centralizzato come snodo cruciale
La terza lezione riporta nuovamente alla questione dell’inevitabilità del controllo centralizzato nella gestione di un’infrastruttura tecnologica complessa.
Da un lato, dovremmo essere consapevoli che, al giorno d’oggi, non ci sono alternative al fatto che la sicurezza di un sistema informativo richiede un’analisi continua, diffusa e dettagliata di tutto ciò che transita attraverso una rete.
Dall’altro, dovremmo interrogarci su chi abbia, realmente, il “controllo sul controllo” e ammettere che non abbiamo ancora fornito una risposta alla domanda che Giovenale poneva nelle sue satire, secoli fa: quis custodiet ipsos custodies?
I commenti sono chiusi.