Nel mare agitato della sicurezza informatica, oltre ai classici temi della pericolosità delle nuove minacce e alla vigilia dei grandi cambiamenti promessi dall’Internet delle Cose, la discussione circa l’efficacia della sicurezza ha prepotentemente guadagnato la ribalta. Una tematica detonata dopo le sconvolgenti rivelazioni di Edward Snowden, ex amministratore di sistema di CIA e NSA, sulle capacità di intercettazione e intrusione dei servizi di intelligence
Il Datagate ha colpito al cuore i valori americani e il presidente degli Stati Uniti Barack Obama ha riformato lo spionaggio. Tono risoluto, sostanza debole. Così Obama dopo aver riconosciuto che il Datagate ha inferto un colpo gravissimo ai valori americani, la libertà e i diritti dei cittadini, si è rivolto al suo popolo e in uno dei primi passaggi del suo discorso afferma: «Il mondo pretende che l’America rispetti i diritti civili e la costituzione, noi siamo ciò che i nostri valori dicono di noi». E ancora: «Il mondo deve sapere che gli Stati Uniti non sorvegliano cittadini che non siano sospettati di attività criminali e questo vale anche per i leader politici stranieri». La risposta del presidente Obama – però – non prospetta quel cambiamento radicale da più parti invocato. Nei 45 minuti del suo discorso (mai nessuno prima aveva parlato così a lungo di spionaggio), ha preso corpo la prima proposta ufficiale di riforma dei modi di sorveglianza fin qui utilizzati dal suo immane apparato di intelligence. Idee. Non decreti. E tralasciando volutamente di alterare alcuni pilastri dell’attività di spionaggio. Come l’autorizzazione alla raccolta dei dati e i controlli sul suo svolgimento che continueranno a essere affidati a un tribunale speciale. Solo la politica e una rappresentanza civile potranno – forse – esercitare una qualche forma di supervisione. Oppure, la conservazione e l’utilizzo dell’enorme massa di dati sin qui raccolta che non sarà ovviamente distrutta, e sarà affidata a un’entità ancora da definire, lontana – si spera – dall’intelligence, che ne regolerà l’accesso attraverso specifiche autorizzazioni. Nulla più che un leggero maquillage, che però senza le rivelazioni di Edward Snowden – oggi nelle mani di Putin – non ci sarebbe stato.
Credibilità intaccata
Forse, come riportano i sondaggi, a gran parte degli americani importa poco dello scandalo NSA. Diversa invece è la posizione delle aziende hi-tech USA. Infatti, Richard Salgado, legale di Google Corp, lo scorso novembre, ha dichiarato davanti a una commissione del Senato che «le rivelazioni hanno tutte le carte in regola per provocare seri danni alla competitività delle aziende USA». Per i colossi della tecnologia come Google è importante che la gente si fidi o torni a fidarsi di Internet e da mesi mantengono un intenso scambio di incontri con l’amministrazione Obama per valutare l’impatto delle attività di sorveglianza sulla loro reputazione e per chiedere maggiori controlli e qualche limite alla raccolta di informazioni. Il 9 dicembre scorso in una lettera aperta indirizzata al presidente USA, otto grandi società del settore IT hanno chiesto di riformare il sistema di sorveglianza di Washington, accusato di violare la libertà e i diritti dei cittadini. Insieme, hanno lanciato l’RGS (Reform Government Surveillance), una proposta di riforma che si propone di applicare delle restrizioni più rigide alle capacità e al potere di sorvegliare dell’NSA. Della coalizione fanno parte alcuni dei grandi nomi dell’IT USA: Google, Yahoo, Apple, Microsoft, Facebook, Twitter e Yahoo. Solo Amazon spicca per la sua assenza.
Vendite web a rischio
L’effetto Snowden – secondo quanto stimato dall’ITIF (Information Technology & Innovation Foundation), il cui board comprende, tra gli altri, membri come IBM e Intel – potrebbe costare alle società USA circa 35 miliardi di dollari di mancati introiti da qui al 2016. «La potenziale ricaduta è ancora più pesante se si considera la dipendenza della nostra economia dalle informazioni per la sua crescita» – osserva Rebecca MacKinnon della New America Foundation, un gruppo di pressione politico con sede a Washington.
Secondo quanto riporta The Independent, lo scandalo sta già costando miliardi di dollari su mercati importanti per l’economia statunitense, meno propensi ad affidare i propri dati sensibili alle società USA. Il tabloid inglese calcola che IBM e Cisco da sole hanno visto calare di oltre un miliardo di sterline le potenziali vendite nella sola regione Asia-Pacifico. IBM avrebbe patito una contrazione pari a quasi il 15% nel trimestre dal 15 agosto al 15 ottobre 2013, rispetto allo stesso periodo nell’anno precedente, due volte quella registrata dal colosso USA prima delle rivelazioni di Snowden. Anche Cisco avrebbe subito perdite consistenti, pari all’8,75% rispetto al trimestre precedente, in aumento rispetto alla contrazione del 2,84% dei tre mesi precedenti [1]. Anche Bloomberg conferma le difficoltà di Cisco, con una diminuzione degli ordini dalla Cina di 18 punti nel trimestre chiusosi il 26 ottobre scorso. Cisco, contattata da Data Manager, dopo aver ribadito di essere orgogliosa della sua reputazione a livello globale e l’impegno di adottare misure attive per salvaguardare la sicurezza e l’affidabilità delle proprie apparecchiature, ci conferma che «domande relative alle società tecnologiche americane vengono sollevate a livello globale; che i clienti di Cisco si sono fermati ad affrontare maggiormente il tema della sicurezza; e che ciò è visto come un’opportunità per rafforzare il ruolo di fornitore di fiducia». Cisco – si legge ancora nella nota – ritiene che la rete sia «l’unica opzione per portare visibilità sulla sicurezza e il controllo di questo nuovo universo dei dispositivi collegati». In relazione invece al calo di vendite in Cina, Cisco ci comunica di aver visto «criticità legate sia a fattori politici sia macroeconomici. Tuttavia, questi fattori politici non hanno avuto alcun impatto materiale in qualsiasi altro paese o regione. Le vendite per soluzioni di sicurezza di Cisco sono cresciute dell’8% nell’ultimo trimestre, con la network security in crescita del 12% (i dati si riferiscono al I trimestre del FY 2014, chiusosi il 26 ottobre 2013 – ndr)».
In tutti i casi, sono in molti a ritenere che la Cina sia oggi uno dei paesi più refrattari ad acquisire prodotti e servizi made in USA. Memore della disputa commerciale tra l’amministrazione USA e Huawei, colosso cinese delle telecomunicazioni, al quale in passato fu vietato di vendere i propri prodotti in USA (e quindi di aggiudicarsi importanti commesse pubbliche) con l’accusa di non essere abbastanza indipendente dalla politica e dal settore militare, il governo cinese preoccupato dalle implicazioni sulla sicurezza delle rivelazioni sulle attività dell’NSA sembra orientato a favorire le società locali in vista dell’imponente progetto di ammodernamento delle infrastrutture volto a migliorare la velocità di connessione e a espandere l’accesso a internet anche alle aree rurali, del valore di 520 miliardi di dollari [2]. Il calo di vendite potrebbe non limitarsi al continente asiatico. In Germania, Deutsche Telekom si è fatta promotrice di un’azione di autotutela che consente di gestire i sistemi di posta e le ricerche su web entro i confini del paese. Anche il Brasile, dopo le notizie sulle intercettazioni ai danni del presidente Dilma Rousseff, sembra intenzionato a muoversi nella stessa direzione, proteggendo maggiormente le comunicazioni, a partire da un intervento legislativo che obblighi società come Google all’utilizzo di data center sul territorio brasiliano e all’acquisizione di tecnologia sviluppata localmente. Ma non sono solo i grandi nomi dell’IT USA che potrebbero pagare a caro prezzo questa situazione di sfiducia. E anche per le piccole e medie aziende USA, che operano nel settore finanziario, manifatturiero, farmaceutico, della formazione e dei trasporti, si prospettano tempi duri.
Cloud, il settore più a rischio
Tra le centinaia di pagine di materiale secretato e reso pubblico da Snowden, spiccano i dettagli di alcuni programmi di spionaggio condotti dall’NSA per impadronirsi dei dati salvati sui server delle società USA che erogano servizi cloud. Di fronte ai sospetti che l’NSA sia addirittura riuscita a intercettare il traffico da e per i data center di nomi importanti del web, da più parti ci si interroga sul grado di sicurezza dei dati che risiedono sulle infrastrutture cloud controllate da società USA. Secondo uno studio CSA (Cloud Security Alliance), organizzazione che riunisce alcuni dei più importanti fornitori di servizi cloud, le perdite stimate derivanti dal programma di spionaggio Prism oscillano tra i 35 e 45 miliardi di dollari di ordini persi nei prossimi tre anni. Il 10% circa di coloro che fuori dagli USA, a partire da maggio dello scorso anno, avevano stipulato un contratto cloud o erano in procinto di farlo, ha annullato il proprio ordine; e più del 46% dichiara di non avere intenzione di volerne utilizzare alcuno, almeno per il momento. Attualmente, gli USA – secondo i dati IDC – detengono più del 50% del mercato a livello globale, quota che potrebbe scendere al di sotto del 44% entro il 2017 [3]. «Se i clienti europei delle società USA di servizi cloud non hanno fiducia nel governo USA, è probabile che mancherà pure nei confronti delle società statunitensi. Personalmente, se fossi un fornitore di servizi cloud USA, sarei piuttosto arrabbiato con i miei governanti» – ha dichiarato nel luglio scorso Neelie Kroes, Commissario europeo per l’Agenda Digitale, sulle pagine del britannico The Guardian, gettando benzina sul fuoco delle polemiche successive alle prime rivelazioni di Snowden. Risultato? Dall’Estonia alla Germania si invoca la creazione di una nuvola europea, un’infrastruttura basata sul cloud computing, per competere ad armi pari con i giganti USA. L’idea è che se i paesi UE potranno disporre del cloud (ma su quale forma potrebbe prendere, chi dovrebbe costruirla e dove dovrebbe essere basata rimane oscuro), allora gli stati membri potrebbero costringere i provider a tollerare norme più restrittive imposte dall’UE. Secondo quanto riporta The Independent, la Francia ha già investito 135 milioni di euro in tecnologia cloud con aziende locali [4]. E presto, altri paesi potrebbero seguire l’esempio francese. Dall’altra parte dell’oceano, in questo atteggiamento si coglie soprattutto la portata degli interessi economici. Per la stampa USA, i politici europei vogliono che le società del continente sfruttino questa smagliatura evidente nella fiducia verso le società statunitensi per conquistare quote più consistenti di mercato. Un po’ come è avvenuto con l’Africa, dove negli ultimi dieci anni si è registrato un crollo verticale del volume di dati in transito verso gli USA a vantaggio dei provider europei, fornitori di apparati di rete e soluzioni di storage.
La risposta dei big dell’IT
Non tutti i cittadini europei naturalmente condividono le stesse preoccupazioni dei loro leader politici circa lo spionaggio. Diffusa è la convinzione di non possedere alcun segreto che possa interessare l’intelligence d’oltreoceano. Sul fronte aziendale – però – qualche preoccupazione in più c’è. Per esempio, in Germania è condivisa l’opinione che qualcosa si può e si deve fare, senza estremismi, ma senza neppure fare finta che non sia successo nulla. Numerose aziende sono sostanzialmente d’accordo con l’azione condotta da Viviane Reding, vicepresidente della Commissione europea e commissaria alla Giustizia, ai Diritti fondamentali e alla cittadinanza, per garantire parità di trattamento tra i dati dei cittadini europei e quelli statunitensi. Ma sono altresì orientate a spingere per un utilizzo più diffuso della crittografia piuttosto che ad andare in direzione della creazione di un’infrastruttura cloud europea. L’idea di fondo è che l’utilizzo regolare di sistemi di crittografia robusta possa rallentare sensibilmente gli sforzi USA di passare al setaccio il traffico internet. C’è poi anche chi ritiene che per noi europei sia virtualmente impossibile decidere di rinunciare ai servizi cloud USA e migrare altrove, paragonando l’egemonia statunitense a quella dei paesi del Golfo per i giacimenti petroliferi. E c’è chi ritiene anche che gli USA e i suoi servizi d’intelligence stiano solo sfruttando meglio di altri quelle zone grigie nei trattati tra gli stati. Quello che serve – concedono alcuni media USA – è un salutare dibattito democratico che porti a distinguere senza ambiguità quello che è legale da quello che non lo è[5]. Jim Reavis, CEO di CSA, ritiene che alla base ci debba essere la massima trasparenza verso la propria clientela, informandola per tempo qualora esista una qualche forma di collaborazione con il governo USA. Fondamentale poi è che la società cloud adotti tutte le misure necessarie per mettere in sicurezza i suoi sistemi, a partire da un utilizzo fattivo della crittografia[6]. Punto di vista questo, condiviso anche da Alberto Manfredi, presidente di CSA Italia (www.cloudsecurityalliance.it) che – contattato da Data Manager – invita ad approfondire queste tematiche trattate nell’ambito della community, di cui CSA Italy è parte integrante. E l’appello ha già trovato una risposta pragmatica e risoluta al tempo stesso da parte di IBM (www.ibm.com). L’azienda, infatti, ha annunciato un piano di investimenti di 1,2 miliardi di dollari per espandere a livello globale la propria presenza nel mercato del cloud computing. IBM aprirà 15 nuovi data center a livello mondiale, che andranno ad aggiungersi ai 13 esistenti di SoftLayer, azienda acquisita nei mesi scorsi e ai 12 già di proprietà. La società disporrà così di almeno quattro data center nelle principali regioni geografiche e centri finanziari, fornendo servizi cloud da 40 data center distribuiti in 15 paesi e quattro continenti, America settentrionale, America meridionale, Europa, Asia e Australia, a questi se ne aggiungeranno altri in Medio Oriente e in Africa a partire dal 2015. Con questo investimento, si legge nel comunicato ufficiale, «IBM intende offrire ai clienti maggiore flessibilità, trasparenza e controllo sul modo di gestire i dati, condurre il business e implementare le attività operative IT nel cloud».
Maggiore privacy
Dai sondaggi condotti negli USA dopo le rivelazioni di Snowden, emerge chiaramente l’aumento del livello di preoccupazione degli americani riguardo la loro privacy online. Per esempio, secondo una ricerca pubblicata lo scorso settembre, condotta da Harris Interactive e commissionata da ESET (www.eset.com/us/about/profile/overview/), [7]emerge che negli ultimi sei mesi un americano su due (53%) ha cambiato le impostazioni di sicurezza sui social media. Il messaggio è evidente. La gente vuole maggiore privacy. I giganti del web questo lo sanno e hanno intrapreso una serie di azioni concrete per rispondere al danno d’immagine e rispondere alle richieste degli utilizzatori dei servizi web, soprattutto al di fuori dei confini USA, dove a gran voce si chiede che le comunicazioni e i dati siano al sicuro dagli “artigli” dello spionaggio USA. Per proteggersi dalle intrusioni dell’NSA – però – le società sono state costrette a sostenere ingenti investimenti. I data center delle maggiori società dispongono di tutto l’armamentario di sicurezza fisica più aggiornato (sensori di calore, sistemi di videosorveglianza, tecnologie biometriche…). Ma la falla nei sistemi che le rivelazioni di Snowden ha portato alla luce riguarda la messa in sicurezza dei dati in transito sulla rete. È qui – secondo i responsabili di Google – che i dati in transito sulle dorsali in fibra ottica sono stati intercettati dallo spionaggio USA [8]. Ed è qui che Google è corsa ai ripari iniziando a crittografare tutto il traffico generato. Anche Yahoo ha seguito il cammino tracciato da Google e di recente per bocca dell’AD, Marissa Mayer, ha annunciato di aver pianificato nuove misure di sicurezza nel 2014 per crittografare il proprio traffico [9]. Mayer, sgomberando il campo da sospetti di collaborazione con lo spionaggio, ha confermato il progetto di aggiungere ulteriori livelli di sicurezza alla sua architettura web. «Nulla per noi è più importante della privacy dei nostri utenti. Per questo (…) renderemo Yahoo Mail ancora più sicura, introducendo a partire dal prossimo gennaio, un nuovo algoritmo di crittografia a 2048 bit (SSL – Secure Sockets Layer)»[10]. Yahoo ha poi fatto sapere che entro la fine di marzo di quest’anno [11] estenderà questa protezione anche a tutti gli altri servizi, fornendo la possibilità agli utenti di crittografare tutti i dati da e verso i propri server.
Libertà e controllo
Il trade-off della sicurezza
Dopo mesi, non siamo ancora in grado di prevedere quali conseguenze le rivelazioni di Edward Snowden avranno nel prossimo futuro. Di certo, la vicenda ha aperto gli occhi a molti di noi. Quale che sia la nostra posizione, a favore o contro Snowden, oggi grazie a quella che l’ex capo dei servizi inglesi David Omand ha definito “la fuoriuscita di dati più catastrofica nella storia dell’intelligence britannica” e al lavoro di analisi di fogli d’informazione come The Guardian e di giornalisti come Glenn Greenwald, disponiamo di un quadro più vivido dello scenario entro cui si svolgono i programmi di sorveglianza dello spionaggio USA.
Quella che sembrava una visione anacronistica e ideologica portata avanti da Cina e Russia di poter esercitare un maggior controllo su internet dopo le rivelazioni di Snowden, sta guadagnando rapidamente credito anche in paesi storicamente lontani per posizioni e orientamento politico. Paesi come l’India, il Messico e la Corea del Sud – oppure il già citato Brasile di Dilma Rousseff, tra i primi a richiedere la ridefinizione della governance di internet, in ciò spalleggiata dal sostegno della Germania della Cancelliera, Angela Merkel, altra grande attenzionata dallo spionaggio USA – potrebbero cambiare radicalmente la natura della Rete così come oggi la conosciamo. E portare a una rimodulazione degli accordi alleati. Oppure al blocco di accordi futuri. Come quello in corso tra UE e USA per liberalizzare ancora di più il transito di beni e persone. La conseguenza più temuta dagli Stati Uniti è che passi l’idea che sia auspicabile un maggior controllo della rete, “annacquando” e rendendo meno credibile il loro sforzo di promuovere la libertà su internet. E tuttavia qualsiasi arretramento da parte degli USA rischia di avere conseguenze negative per quelle società che beneficiano della sostanziale apertura della rete. Con quasi il 40% della popolazione mondiale online, nessuna società è disposta ad accettare la perdita di un mercato che secondo l’ITU conta circa 2,7 miliardi di persone online. Il rapporto di collaborazione tra governi e aziende del settore IT – oggi tutt’altro che paritario – ha portato a situazioni imbarazzanti e spiacevoli. Talvolta consenzienti o con gradi diversi di riluttanza, più spesso vittime, costrette a collaborare per ragioni di stato, le grandi società del web dovranno trovare un modus operandi nuovo per opporsi con maggiore efficacia alle intrusioni da parte delle agenzie governative. Infine, anche tra vendor di sicurezza e aziende consumatrici finali dei prodotti e delle soluzioni di sicurezza è auspicabile l’instaurarsi di un rapporto più maturo di collaborazione. Il gesto di Snowden ha innescato un dibattito che – travalicando i confini statunitensi – potrebbe protrarsi per anni.
