La rete che sarà consegnata ai nostri figli, sarà quella costruita dalle aziende ma anche quella costruita sotto regole che tutelino la responsabilità nell’uso dei dati. Questo argomento merita una riflessione.
Non si può parlare sempre di trasparenza
Uno dei termini più abusati negli ultimi dieci anni è quello di trasparenza, tra l’altro anche mal impiegato in molti casi.
Spesso è stato associato il termine trasparenza al termine fiducia: accrescendo la trasparenza si accrescerebbe la fiducia. È solo uno slogan: in realtà se c’è trasparenza, non c’è bisogno di fiducia. La fiducia è “l’atteggiamento[…]per cui si confida nelle altrui o proprie possibilità, e che generalmente produce un sentimento di sicurezza e tranquillità”. Se c’è trasparenza non c’è bisogno di “confidare nelle altrui possibilità”, perchè la situazione è nota, ne conosco esattamente i contorni e non devo compiere alcun atto di fiducia o affidamento. Non a caso il filosofo Han correttamente fa notare che “la trasparenza disfa la fiducia“.
C’è bisogno di cultura
C’è bisogno di attenzione sul trattamento dei dati ma soprattutto c’è bisogno di un’etica e una deontologia professionale, che porta gli addetti ai lavori a operare in modo corretto. I recenti attacchi hacker hanno mostrato, per l’ennesima volta, due facce negative dei data breach: da una parte l’azione spregiudicata di cybercriminali che indubbiamente va condannata. Dall’altra, tuttavia, il silenzio assordante di molte aziende, organizzazioni, testate editoriali. In altri casi, quando l’incidente fa notizia, vengono spesso fornite informazioni approssimative, se non del tutto errate.
In questi giorni si discute dell’incidente all’Istituto Prosperius, intervistato da Repubblica il legale dell’Istituto ha dichiarato che “non si sono persi dati sensibili dei pazienti“. Viene da domandarsi come mai, né Repubblica, né il legale abbiano menzionato la presenza di documenti giudiziari presenti nella cartella DIGIT pubblicata dagli hacker. La vicenda è stata ampiamente raccontata da Dario Fadda in questo articolo. Viene quindi da farsi alcune domande:
I dati giudiziari (ad esempio i verbali d’intercettazione), non sono forse dati particolari?
I referti medici pubblicati dagli hacker in cui sono presenti dati come nome, cognome del paziente, descrizione della patologia, esame compiuto, non sono forse dati particolari?
Perchè se la risposta ha questa domanda fosse “sì, sono dati particolari” allora sarebbe certo che questi dati sono stati persi: se ne è perso il controllo. Questi dati sono stati illecitamente acquisiti, sono stati illecitamente pubblicati e, seppur ripristinati da un backup, non si è riusciti a garantire l’adeguato livello di protezione. La questione terminologica non è banale: la Treccani definisce il verbo perdere come segue “cessare di possedere qualche cosa, restarne privo per averla smarrita, per colpa d’altri” e poiché i dati devono mantenere un possesso controllato e gli hacker non hanno un diritto ad ottenere quelle informazioni ma sono riusciti a prenderle comunque, sarebbe comunque più corretto dire che il controllo su quelle informazioni è andato perduto. Tra l’altro verrebbe da domandarsi, leggendo l’articolo pubblicato da Leonardo Pini in merito alla frase “qualche referto non ripristinato“.
Non è forse questo un dato perso? Dov’è la verità? Sono stati perduti alcuni dati e non vi è stata alcuna perdita? Quindi, ricapitolando:
- Nella fase di esfiltrazione, si è perso il controllo esclusivo sui dati.
- Nella fase di corruzione, si è perso il mantenimento dell’integrità dei dati.
- Nella fase di ripristino, a quanto scritto dal giornalista, si è persa la capacità di ripristinare tutti i dati.
Si potrebbe assumere che i dati non siano stati persi? Ha davvero senso fare questa domanda? Il quesito sarebbe posto male, perchè ad esser persi sono alcune delle caratteristiche essenziali del ciclo di vita del dato.
Cosa stiamo sbagliando?
Etica e cultura sono scarse, a volte anche per ragioni capziose. Si ritiene che denunciare correttamente un data breach potrebbe portare problemi e non si capisce che derubricarlo significa esporsi al fatto che la verità sull’accaduto venga sbattuta in faccia dagli stessi hacker e analizzata da centinaia di specialisti della sicurezza sicurezza oltre che da studiosi e dalle stesse autorità.
La reazione a questi eventi è spesso altrettanto sbagliata: diffide, querele, sono le armi più miopi e ottuse che possono essere utilizzate per reagire ad un tweet, ad un articolo o ad un commento. Usate come mezzo per intimorire chi effettua un lavoro di analisi utile ad innalzare le misure di sicurezza in modo corretto. Forse vale la pena ricordare a tutti la storia dell’utente Evariste Gal0is, querelato per aver portato alla luce, senza fini lesivi, una falla di sicurezza nella piattaforma Rosseau del Movimento 5 Stelle (per approfondire cliccare qui). Mentre in altri paesi l’hacking etico viene premiato perchè risolve un problema all’azienda, in questo viene perseguito per nascondere le irregolarità sottaciute per mesi o anni. S’ignora che ogni analisi di sicurezza compiuta dagli specialisti può divenire una fonte di consulenza per la vittima (tra l’altro gratuita in molti casi) ma invece di cogliere una potenziale opportunità, si preferisce trincerarsi dietro ad un’azione legale. Spesso s’ignora, tra l’altro, che questo tipo di atteggiamento resistivo è proprio quello che poi provoca la diffusione maggiore di questi contenuti. Occorre quindi parlare di prevenzione: quando i dati vengono ispezionati si trova di tutto. Password dentro i file di testo, dati particolari senza alcuna forma di protezione all’accesso, dati personali mischiati a quelli professionali, formati documentali errati contenenti informazioni riservate. Insomma, a volta è quasi più spaventoso il modo in cui questi dati sono stati gestiti dalle organizzazioni, piuttosto che la violazione in sé.
Conclusioni
Oggi una persona cara mi raccontava che suo figlio piccolo si è documentato sul caso Sony e ha commentato l’accaduto con i genitori. Il padre mi ha contattato molto fiero del fatto che suo figlio si fosse interessato alla vicenda e l’avesse intesa dal verso giusto. Ecco, questo è un caso in cui la cultura è stata costruita tassello dopo tassello ma per casi virtuosi come questi, ce ne sono altrettanti davvero deprecabili che sono sotto gli occhi di tutti. Abbiamo bisogno di cultura, di etica, di persone competenti all’interno delle strutture. Senza il giusto approccio al problema, non si diffonderà mai la cultura nella gestione del dato personale e la rete non sarà un bel posto da lasciare ai nostri figli.