Il data breach è, in queste settimane, l’incubo principale di chiunque raccolga dati o, in generale, si stia occupando di sicurezza informatica. Già la locuzione, in sé, è minacciosa: breach richiama, ovviamene, una “breccia”, una falla di sicurezza, uno squarcio che causi la fuoriuscita di dati da realtà che, invece, li dovrebbero custodire con grande cura. C’è chi lo storpia in data “bridge”. Chi, d’estate, in data “beach”. Chi in data “break”. I più audaci, persino in data “bitch”. Ma è la “breccia”, ovviamente, quella che fa più paura. Il nostro Garante per la Privacy lo chiama, semplicemente, “violazione di dati”.
Il problema alla base dei data breach, oggi, è molto semplice da comprendere: prima o poi, capiteranno a tutti. Non è un problema di “se”, quindi, ma di “quando”. Anche il motivo di questa affermazione è semplice, e non c’è bisogno di esperti per comprenderlo: è lo stesso che fu alla base della caduta dell’Impero romano. Allora, si pensava ad allargare i confini per conquistare il mondo esistente ma, poi, non si era più in grado di proteggerli dall’ingresso dei barbari.
Oggi, tutti corrono verso i big data, tutti si impegnano per accumulare informazioni che sono viste come “il nuovo petrolio” (che, poi, mi risulta che il petrolio non se la passi proprio benissimo: in pieno lockdown girava l’esempio, forse più attuale, di come i dati fossero il nuovo lievito per la pizza), ma le misure di sicurezza che vengono poste attorno ai dati, molto spesso, sono quelle di dieci anni fa. Mi vengono in mente almeno cinque motivi per cui, prima o poi, un data breach colpirà tutti. Grandi e piccoli. Privati e pubblici.
1) La disattenzione alla “sicurezza by design”
Chi raccoglie grandi quantitativi di dati dovrebbe incorporare la sicurezza nei suoi progetti ancor prima di presentare il progetto stesso. Incorporarla nei server. Nelle app. Negli strumenti che saranno usati. Nei siti web che dialogheranno con i cittadini. Come se l’idea di sicurezza dovesse essere nello scheletro stesso, o nel Dna, del progetto. Prima ancora di iniziare a raccogliere i dati, si dovrebbe creare un ambiente sicuro.
Questo, purtroppo, nella maggior parte dei casi non avviene. La fretta di andare sul mercato, l’improvvisazione, il risparmio sui costi e il taglio agli investimenti o, semplicemente, incompetenza e dilettantismo portano sovente a sistemi già vulnerabili ancor prima di essere operativi. In altre parole: i nostri dati finiscono spesso, sin dall’inizio, in ambienti che non sono sicuri.
2) l’Internet delle Cose insicure.0
La società attorno a noi, nel quotidiano, si sta riempiendo di miliardi di dispositivi connessi – videocamere, automobili, frigoriferi, termostati, acquari, irrigatori, cancelli, braccialetti fitness, assistenti vocali. Sono tutti prodotti che devono essere venduti a prezzi concorrenziali (spesso i concorrenti si sfidano con prezzi a pochi euro l’uno dall’altro): di conseguenza, l’investimento per la sicurezza informatica di questi dispositivi è, spesso, minimo.
La concorrenza sui prezzi è troppo forte: un investimento in assessment della sicurezza porterebbe a prezzi finali troppo alti. Il fatto, poi, che molti dispositivi non abbiano un display porta a prendere sotto gamba il problema: il cittadino comune, e non esperto, pensa che, in fondo, “non siano computer”. Ma possono essere, invece, tranquillamente oggetto di attacco e punto di passaggio verso la rete cui sono connessi.
3) Tutti i nostri dati più intimi sono ormai esposti. E fanno gola
Non c’è mai stata una esposizione così grande e diffusa, come avviene oggi, dei nostri dati sensibili o “particolari”, ossia di quei dati che possono essere usati per discriminare o ricattare una persona: salute, sesso, opinioni politiche. Oggi i dati delle persone fanno più gola dei numeri di carta di credito o bancari. I dati di un neonato possono essere usati per truffe e rimanere sicuri per anni e anni (i criminali parlano di una “clean credit history”, precedenti della vittima che rimangono puliti e possono essere usati per aprire conti o linee di credito fino a quando il bambino non diventa adolescente e inizia a usare i suoi dati, facendo così scoprire la truffa).
I dati intimi delle persone girano ormai ovunque: app per il fitness, siti di dating e appuntamenti, assicurazioni, banche, enti pubblici, siti pornografici, ospedali e cliniche, piattaforme per la consultazione dei cittadini. E tutti sono luoghi che si sono dimostrati vulnerabili.
4) L’impossibilità di superare l’attuale senso di impotenza nell’utente comune
Il problema è che, spesso, non ci possiamo fare nulla. Noi ci fidiamo. I nostri dati li diamo a soggetti che, pensiamo, siano ben più sicuri del nostro piccolo computer o telefono. Ma questa garanzia, in realtà, ce la forniscono sempre meno. Sono centinaia i siti che ogni anno subiscono attacchi e data breach. E, spesso, i gestori non ci avvertono del breach e della improvvisa circolazione dei nostri dati.
5) Nel post-pandemia, gli investimenti in sicurezza informatica caleranno
Venivamo da due o tre anni molto interessanti. L’attuazione del regolamento europeo per la protezione dei dati, soprattutto nelle grandi realtà, aveva portato maggiore attenzione all’adeguamento. Ma ora, nelle realtà in crisi, la sicurezza informatica (e i costi relativi) sarà probabilmente messa da parte per risolvere contingenze economiche (spesso di vera e propria sopravvivenza sul mercato) percepite come ben più importanti. Da un lato, quindi, la ripresa si dovrà, inevitabilmente, concentrare attorno ai dati e al loro trattamento. Dall’altro, ci saranno spese e investimenti che saranno considerate più importanti, e si rischia di generare un quadro ancora più vulnerabile.
Siamo in presenza, in conclusione, di un piccolo-grande cortocircuito: vi è la corsa all’accumulo dei dati senza, però, blindarli. Lasciandoli, in molti casi, aperti e a disposizione del primo attaccante che abbia un minimo di competenza. Attaccanti che, spesso, sfruttano proprio le vulnerabilità del sistema dovute a incuria, a fretta nella programmazione o progettazione del sito e dei servizi, a improvvisazione. Non “se” violeranno i nostri dati, quindi. Ma “quando”.