La questione della fiducia è oggi al centro di numerosi dibattiti nel settore della sicurezza informatica e assume una dimensione strategica, poiché foriera di costanti questioni irrisolte anche lato tensioni geopolitiche, fortemente percettibili nel 2018, che hanno avuto numerose ripercussioni nel cyberspazio.
In aggiunta ai sospetti riguardo la presenza degli Stati dietro ai maggiori cyberattacchi e l’apertura di scuole di cyberspionaggio in alcuni Paesi, il 2018 è stato caratterizzato dall’annuncio di un embargo contro certi fornitori, sospettati di attività di spionaggio, nonché dalla presenza di backdoor nelle tecnologie straniere. Una delle aziende a farne le spese è stata Huawei. In un contesto simile, diventa facile immaginare che possano sorgere dubbi legati all’affidabilità e all’integrità dei software, soprattutto in termini di soluzioni di sicurezza. Queste ultime sono, infatti, particolarmente sensibili a causa della loro funzione di “guardiano del tempio”: mantenere il controllo sui sistemi di protezione significa avere accesso diretto a risorse protette. Per questo, la scelta del giusto partner nell’ambito della cybersecurity è cruciale per imprese e istituzioni.
Diverse le posizioni prese dagli Stati in merito alle spinose vicende delle backdoor e dell’indebolimento dei meccanismi di cifratura. La Russia ha già introdotto una legge che obbliga i produttori a fornire alle autorità i mezzi per accedere alle comunicazioni cifrate. Gli Stati membri dell’alleanza “Five Eyes”* desiderano imporre l’introduzione di punti deboli nelle applicazioni. L’obiettivo principale e ufficiale è quello di poter decifrare eventuali scambi di informazioni legati ad attività terroristiche, condividendo in seguito le informazioni ottenute con i servizi segreti.
Fermo restando che la lotta contro il terrorismo è un obiettivo prioritario, c’è da chiedersi quanto sia appropriato implementare backdoor, che diventerebbero uno strumento indiretto di accesso a informazioni sensibili di aziende o privati, rendendo così qualsiasi scenario plausibile: spionaggio da parte degli Stati, accesso a segreti industriali, violazione delle libertà individuali etc. Tutti elementi non direttamente legati alla guerra contro il terrorismo, ma che potrebbero danneggiare il patrimonio di informazioni di aziende e istituzioni come dei singoli.
L’uso di queste backdoor non è condiviso all’unanimità. L’Europa si oppone al loro utilizzo e raccomanda una cifratura punto-punto nelle comunicazioni, al fine di garantire la totale sicurezza. Già nel 2017, il Vicepresidente della Commissione Europea sosteneva questa posizione, sottolineando la minaccia indotta dall’apertura di porte, sfruttabili anche a fini criminali. In effetti, l’indebolimento di un sistema di protezione o di cifratura potrebbe essere scoperto e in seguito utilizzato da malintenzionati, offrendo loro una via concreta per perpetrare attacchi.
Questa constatazione mostra ancora una volta che il concetto di fiducia digitale va ben oltre considerazioni puramente tecnologiche e funzionali, ma assume anche una dimensione geopolitica. Comprendere l’origine delle tecnologie digitali e, in particolare, di quelle che manipolano o proteggono i dati sensibili, costituisce un pilastro della fiducia digitale.
Prima ancora di affidare le chiavi di sicurezza dei loro sistemi a un qualsiasi fornitore, le aziende dovrebbero integrare questo concetto nella loro strategia. In tal senso, è necessario un lavoro di sensibilizzazione continua in seno alle organizzazioni private e pubbliche. Peraltro, i produttori europei di soluzioni di sicurezza dovrebbero essere più trasparenti in merito alla loro posizione e adottare una linea comune. Apprezzabile in questo senso il lavoro svolto in favore della fiducia digitale su scala europea da differenti agenzie governative, come ad esempio l’ANSSI. La qualificazione dei prodotti di sicurezza dell’Agenzia nazionale per la sicurezza informatica francese impone, infatti, un esame dei codici sorgente volto ad assicurare il livello di robustezza delle funzioni di protezione e l’assenza di backdoor. L’ENISA – Agenzia Europea per la sicurezza delle reti e delle informazioni – ha ricevuto recentemente il mandato di diffondere questa iniziativa in maniera più ampia nel quadro di certificazione europea. Non resta che augurarsi che ciò avvenga quanto prima.
*Alleanza che riunisce i servizi segreti di Stati Uniti, Australia, Nuova Zelanda, Regno Uniti e Canada.