Cosa insegna il caso AshleyMadison.com? Nulla di nuovo
Si rincorrono in questi giorni le notizie, talora tragiche, legate al caso del furto di dati al sito AshleyMadison.com
La ricostruzione che ne fa Sole24Ore è buona, anche se un po’ moralistica. La natura del sito presta il fianco ai risolini del giorno dopo e questo fa distogliere l’attenzione dalla vera natura del problema.
Senza entrare nel dettaglio c’è solo da dire che il caso AshleyMadison.com non insegna nulla di nuovo ma semplicemente conferma Le 4 Grandi Verità di Internet.
Prima Grande Verità: Internet non è un luogo sicuro. La memoria corta delle nuove generazioni e l’ubriacatura degli entusuasmi con i quali si accoglie acriticamente la tecnologia ha fatto dimenticare che Internet è nativamente una risorsa pubblica. È nato per condividere pubblicamente tra militari, spie, gentiluomini e accademici dati e documenti. Le esigenze successive hanno fatto lievitare le necessità della sicurezza di dati e documenti riservati, forzandolo verso una piega “privata” o addirittura “nascosta” (si pensi al Deep Web). Così mentre l’infrastruttura di Internet resta immutata lungo 40 anni (si prenda come esempio il protocollo TCP/IP), il suo impiego ha assunto connotati molto diversi. Pensare che crittografia e sistemi sicuri possano risolvere i problemi sollevati dalle nuove esigenze è come ritenere che le proprie chiavi di casa siano al sicuro solo perché invece di lasciarle sbadatamente nella toppa le nascondiamo sotto lo zerbino.
Seconda Grande Verità: la sicurezza informatica non è curata a sufficienza dai gestori. Negli ultimi anni sono comparsi montagne di articoli, badilate di libri, alluvioni di seminari-convegni-conferenze, tsunami di siti web, assortimenti di società più o meno brave specializzate in sicurezza informatica: tutti a dire che i gestori (dal piccolo imprenditore al grande network) che vogliono stare in rete non possono fare a meno di spendere denaro per difendere i loro dati. In verità i loro dati sono i loro affari, i loro clienti, la loro credibilità; perso questo, perso tutto. La realtà è che solo una minoranza di gestori di impianti informatici ha un’autentica strategia di sicurezza per la quale è disposta a cospicui investimenti in termini di software, impianti, personale specializzato e formazione. Tutti dobbiamo diventare consapevoli che facciamo parte di un sistema dove non siamo più gli unici proprietari dei nostri dati. I nostri dati e i nostri documenti sono ospitati su macchine non nostre, in località per lo più sconosciute, mantenute da persone che lavorano per società che non sappiamo in che modo selezionano e retribuiscono il loro personale. La fiducia che riponiamo nei gestori deve essere ragionevolmente riposta e meritata.
Terza Grande Verità: l’anello debole della sicurezza informatica è l’elemento umano. Per quanto si voglia perfezionare strumenti di sicurezza informatica già esistenti o individuarne di nuovi l’esperienza ha dimostrato che l’elemento umano rappresenta l’anello più debole della catena. Vuoi a causa di errori o sottovalutazioni, vuoi per comportamenti fraudolenti (basti pensare a Julian Assange o a Edward Snowden solo per citare due dei casi più eclatanti) per ammissione unanime l’uomo rappresenta il rischio maggiore per la sicurezza informatica. Non solo chi intende violare le barriere di difesa – in nome di un discutibile ideale o più prosaicamente per vil denaro – ma anche lo sprovveduto utilizzatore finale come pure il fantaccino impiegatizio che dimentica di uscire da un account e abbandona la postazione, sono mine vaganti nella rete. La volgarizzazione della tecnologia ha creato un numero indeterminato di scimmiette ammaestrate a digitare su tastiere o touch screen per soddisfare i loro impellenti bisogni informatici ma se non si rende raffinato l’accesso agli strumenti la sicurezza informatica resterà comunque un’utopia. Persino come auspicabile riduzione del rischio.
Quarta Grande Verità: non bastano nuove strategie tecnologiche senza nuove strategie etiche. Le nuove strategie tecnologiche hanno certamente contribuito a ridurre il rischio: introduzione dei PIN, codici usa e getta, SMS associati a login, strumenti hardware, riconoscimenti antropometrici eccetera. Moltiplicare la complessità dei sistemi introduce inevitabilmente nuovi rischi, primo tra tutti – tipico dei sistemi complessi – il rischio di errori e di default, sia nelle tecnologie (per esempio di programmazione) sia umani (per esempio di utilizzo dell’hardware). Non passa inosservato che il limite superiore di complessità in un sistema come l’attuale Internet sia sfiorato se non già superato. Mentre però si impongono nuovi standard (per esempio HTML5) si osserva che un nuovo protocollo come IPv6 non riesce nemmeno ad insidiare IPv4. Questa spinta verso i limiti di una crescente complessità contrasta con la semplicità originaria di utilizzo di Internet, quando questo era una risorsa limitata e quindi da risparmiare e salvaguardare. Nessuna nostalgia dei presunti tempi d’oro ma una doverosa proporzione: come furono trovati a suo tempo i termini di una netiquette condivisa, semplice ma efficace, così occorre costruire un’etica che sappia abbracciare le nuove frontiere di Internet, un’etica valida per l’epoca della globalizzazione. In particolare della globalizzazione della diffusione e protezione dei dati e del commercio (come di fatto è il sito AshleyMadison.com: un sito commerciale, indipendentemente da ciò che si può pensare della merce scambiata). Le strategie etiche devono tenere conto che Internet non è l’isola felice, the second life, ma un posto dove interagiscono persone, dove si riproducono dinamiche sociali presenti in ogni altro ambiente e che ha un riflesso a volte tragico sulla vita delle persone stesse. Non sofisticata terra di nessuno, quindi, ma bene comune indivisibile. Che come tale va goduto, rispettato e fatto rispettare e protetto affinché l’uomo lo possa utilizzare umanamente e non contro l’uomo stesso.
Come l’energia atomica produce elettricità o Hiroshima, così Internet si trova ad un bivio storico. Si tratta di cogliere ora le sue potenzialità.
