L’analisi di com’è nato e come si è sviluppato lo scandalo che sta travolgendo l’amministrazione Obama, spinge a riflettere sulle misure che le aziende possono, nel loro piccolo, adottare per salvaguardare le proprie informazioni riservate
Quello alla libertà e alla segretezza delle conversazioni private rappresenta un diritto inviolabile e costituzionalmente garantito (articolo 15) nel nostro ordinamento, tuttavia lo sviluppo della cosiddetta “società dell’informazione” ha complicato non poco la sua effettiva tutela. L’avvento dei mezzi elettronici e la capillare diffusione della rete hanno offerto la ghiotta possibilità di localizzare tecnicamente qualunque comunicazione a distanza, di conoscerne l’ora e la durata, di tracciare il percorso dei dati trasmessi, di conoscerne il contenuto, di identificarne la fonte e la destinazione. Tali informazioni sono ora disponibili e potenzialmente in mano a soggetti pubblici e privati, che possono servirsene per i propri scopi, legati al benessere della cittadinanza o ad esigenze di natura commerciale.
Alla base della questione vi è un conflitto tra diritti ugualmente meritevoli di tutela, che spinge a interrogarsi sulla legittimità o meno di azioni volte a comprimere la riservatezza per garantire il rispetto di altri interessi, non ultimo quello alla sicurezza pubblica. L’acquisizione e il trattamento del traffico dati relativo alle attività svolte dagli utenti possono, infatti, rivelarsi spesso essenziali per la repressione e la prevenzione di comportamenti illegali; allo stesso tempo, però, una simile operazione mette seriamente a repentaglio una parte della sfera dei diritti fondamentali della persona. La legislazione e la giurisprudenza nazionali e internazionali sembrano avere non poche difficoltà nel ristabilire un equilibrio, suscitando, di volta in volta, il malcontento o il plauso dei detentori di opposti diritti.
Nella ribalta mediatica del Belpaese, la discussione che ruota attorno alla privacy è stata spesso legata al tema delle intercettazioni, sulle quali si è scagliato il dito infuocato di parlamentari e pensatori non proprio illuminati, interessati forse più a insabbiare i propri illeciti che a far valere un principio superiore.
Quando, però, a impugnare lo scettro della riservatezza è un cittadino americano di 29 anni, ex collaboratore di CIA (Central Intelligence Agency) e di NSA (National Security Agency), privo – almeno apparentemente – di interessi particolari, costretto, al contrario, a rinunciare alla propria tranquillità e a vivere da fuggitivo per sostenere i propri ideali, ecco allora che si crea un vero e proprio scandalo dalle dimensioni internazionali.
A questo scandalo la retorica giornalistica ha dato il nome di Datagate e alle sue origini vi sono alcune rivelazioni della talpa Edward Snowden, rimbalzate con estreme velocità tra le molte prime pagine cartacee e digitali di tutto il mondo. Negli ultimi quattro anni, Snowden ha lavorato per la NSA, in qualità di dipendente di diverse aziende esterne, tra cui Dell e – ultima – la società di sicurezza privata Booz Allen Hamilton (quest’ultima l’ha licenziato pubblicamente, in seguito alle sue rivelazioni). Lo scorso 20 maggio egli avrebbe scelto di lasciare le Hawaii – dove si trovava proprio per conto della Booz Allen Hamilton – motivando la dipartita ai propri superiori con la necessità di curare l’epilessia. Dopo aver copiato diversi documenti riservati, aver salutato la bellissima fidanzata e aver detto addio a uno stipendio da 200mila dollari l’anno, si sarebbe rifugiato a Hong Kong, dove, a suo dire, vige un forte impegno a tutela della libertà di parola e del dissenso politico.
Dall’hotel nel quale aveva scelto di nascondersi, sarebbe, allora, partita la prima soffiata – originariamente anonima – al quotidiano britannico The Guardian circa l’esistenza di un’ordinanza che imporrebbe alla compagnia di telecomunicazioni Verizon di conservare e rivelare all’FBI tutti i dati sensibili dei propri utenti (come numeri, identificatori unici, durata, orario e luogo in cui avvengono le conversazioni telefoniche), con pesanti ripercussioni in termini di privacy. Come si legge in un documento segreto pubblicato dal quotidiano, l’ordinanza sarebbe stata emessa dalla Foreign Intelligence Surveillance Court lo scorso 25 aprile 2013 e sarebbe valida per soli tre mesi, fino al prossimo 19 luglio. Essa vieta alla Verizon di rendere pubblica la questione e, pur non estendendosi al contenuto dei messaggi o alle informazioni personali degli utenti, permette al governo di tenere sotto controllo il traffico delle telefonate realizzate, all’interno dei confini Usa o tra Usa e altri Paesi, da milioni di cittadini ignari.
Legalmente la richiesta ricade sotto le disposizioni dell’Usa Patriot Act, la discussa legge emanata dopo gli attacchi dell’11 settembre 2001, con lo scopo di intensificare la lotta al terrorismo. Allo stesso tempo essa evidenzia come siano cambiate nel tempo le attività dell’intelligence americana, prima rivolte all’estero e ora decisamente più “domestiche”.
Se questo accesso ai tabulati telefonici risulta recente, lo stesso pare non si possa dire per l’attività di capillare spionaggio relativa alle informazioni e ai dati scambiati online dagli utenti. Un successivo scoop del The Guardian e del The Washington Post ha, infatti, dimostrato l’esistenza, fin dal 2007, di un programma di sorveglianza top-secret denominato PRISM e gestito dalla NSA. Esso consentirebbe al governo statunitense di richiedere ai Big dell’informatica e della rete – tra cui Google, Facebook, Microsoft, Yahoo!, Aol, Apple, Skype (ormai parte del gruppo di Redmond) e PalTalk – l’accesso alle mail, ai video, alle foto, alle chat vocali, alle notifiche di accesso e ad altre informazioni, sotto l’approvazione di un mandato Fisa (il controverso Foreign Intelligence Surveillance Act, che autorizza il governo americano a intercettare telefonate e email all’estero). In molti hanno notato l’assenza di un nome di rilievo, nella lista di chi avrebbe cooperato con Prism, quello di Twitter, già in passato mostratosi particolarmente attento nel difendere i dati personali dei propri utenti.
Nei resoconti giornalistici della vicenda, si sono moltiplicate le voci e le ipotesi circa il reale funzionamento del PRISM: secondo alcuni – tra i quali il The New York Times – l’accesso alle informazioni non sarebbe così diretto, le aziende non fornirebbero un accesso diretto ai propri server, al contrario avrebbero costruito una sorta di casella postale protetta alla quale il governo statunitense può accedere, e dove vengono depositati i soli dati frutto di specifica richiesta Fisa, valutata legittima dagli avvocati aziendali. Nessun invio di massa e automatico, dunque. Dal canto suo, il The Guardian ha pubblicato una diapositiva tratta da una presentazione PowerPoint segreta, interna alla NSA, nella quale si parla di cinque programmi da utilizzare: quattro servirebbero a intercettare i dati “nei cavi in fibra e nelle infrastrutture in cui scorrono”, e l’ultimo, il Prism appunto, prevedrebbe la “raccolta diretta” dai server di aziende statunitensi.
La slide rientrerebbe nel materiale consegnato da Snowden al The Guardian e al The Washington Post, materiale che, tuttavia, risulta per la maggior parte ancora inedito, malgrado la richiesta del 29enne di rendere pubbliche tutte e 41 le slide inviate. Nessuno dei documenti segreti finora pubblicati sembra chiarire realmente se lo spionaggio sia automatico e ampio oppure ristretto e mediato dagli avvocati delle aziende coinvolte.
A ciò si aggiungono le pesanti parole usate dalla “talpa” Snowden nella video intervista pubblicata dal The Guardian in cui rivela la propria identità: “L’Nsa ha costruito un’infrastruttura che le permette di intercettare praticamente tutto. Con la sua capacità la grande maggioranza delle comunicazioni umane è digerita automaticamente senza obiettivi. Se volessi vedere le tue email o il telefono di tua moglie, devo solo usare le intercettazioni. Posso ottenere le tue mail, password, tabulati telefonici, carte di credito. Non voglio vivere in una società che fa questo genere di cose… Non voglio vivere in un mondo in cui ogni cosa che faccio e dico è registrata. Non è una cosa che intendo appoggiare o tollerare”.
In una successiva intervista rilasciata a un giornale di Hong Kong, il South China Morning Post, Snowden ha difeso nuovamente la propria posizione e ha alzato la posta in gioco: “Non sono né un traditore né un eroe, sono un americano”, ha affermato – parlando anche dei timori per le possibili ripercussioni della vicenda sulla sua famiglia – e ha rivelato come la NSA sia solita spiare, con vere e proprie azioni di hackeraggio, le reti informatiche di privati e istituzioni in Cina e ad Hong Kong, almeno fin dal 2009. “Coloro che pensano che ho fatto un errore a scegliere di venire ad Hong Kong equivocano le mie intenzioni”, ha detto infine. “Non sono qui per nascondermi dalla giustizia, ma per rivelare crimini”.
Sono in molti, infatti, a vedere qualcosa di sospetto nella scelta dell’ex colonia britannica per la fuga, dato che essa è sotto l’amministrazione della Repubblica Popolare Cinese dal 1997 ed è stata oggetto di forti accuse da parte della Casa Bianca, in relazione alle presunte operazioni di hackeraggio contro istituzioni, giornali e colossi informatici e finanziari Usa. Tali accuse erano al centro dell’incontro informale tra i Presidenti Obama e Xi Jinping, tenutosi proprio nei giorni in cui lo scandalo è scoppiato.
In una successiva chat con i lettori del The Guardian (l’hashtag per rivolgergli delle domande era #AskSnowden), Snowden ha, tuttavia, smentito le accuse di complicità con Pechino: “Non ho avuto contatti con il governo cinese… io lavoro solo con i giornalisti”, ha detto. Il mio, ha proseguito, “è un paese per il quale vale la pena di morire”. “Le rivelazioni daranno ad Obama l’opportunità di tornare alla ragionevolezza, alla politica costituzionale e alla legalità”. “Il governo americano” – ha concluso profetico – “non potrà insabbiare le cose uccidendomi o mettendomi in prigione. La verità sta arrivando e non può essere fermata”.
Gettando altra benzina sul fuoco, il Financial Times ha poi riferito che l’amministrazione Obama, due anni fa, chiese e ottenne dalla Commissione Europea di eliminare, dalle norme Ue sulla protezione dei dati, una misura che avrebbe complicato all’intelligence americana il compito di spiare i cittadini europei. Tale misura, nota come Anti-Fisa clause, avrebbe reso nulla qualsiasi richiesta Usa alle società di telecomunicazione e di tecnologia europee di consegnare dati relativi ai propri utenti.
I giganti della rete coinvolti hanno inizialmente negato di conoscere il programma PRISM e di aver offerto all’intelligence americana una porta aperta sui loro data center, salvo poi fare dietrofront e sferrare il contrattacco (http://daily.wired.it/news/internet/2013/06/12/datagate-rapporto-facebook-microsoft-google-426758.html#?refresh_ce), chiedendo al governo USA il permesso di pubblicare tutti i dati relativi ai loro rapporti con l’Nsa, per dimostrare una maggiore trasparenza circa il regime di sorveglianza cui sono sottoposti.
In base a quanto dichiarato dalle stesse aziende, nel secondo semestre del 2012, Facebook avrebbe ricevuto tra le 9 mila e le 10 mila richieste da parte dell’intelligence americana, relative agli account di 18-19 mila utenti; nello stesso periodo, Microsoft ne avrebbe ricevute 6-7 mila per 31-32 mila account. Tra il primo dicembre 2012 e il 31 maggio 2013, Apple avrebbe poi ricevuto tra le 4 e le 5 mila richieste relative a 9-10 mila account, mentre Yahoo! fra le 12 e le 13 mila. Si tratta comunque di statistiche che fanno poca chiarezza, mescolando le domande che riguardano reati comuni e quelle che hanno a che fare con la sicurezza nazionale, dato che per legge le società coinvolte non possono rivelare quali richieste ricadono nell’ambito del FISA, dunque nel programma di sorveglianza Prism. Google attende il via libera della NSA per poter effettuare la distinzione e pubblicare le informazioni relative alle sole richieste per sicurezza nazionale; al momento nel suo Transparency Report sottolinea comunque di aver ricevuto 8438 domande da parte di autorità locali, federali e nazionali degli Usa durante l’ultimo semestre dell’anno scorso (ha risposto nell’88%-90% dei casi rispetto al 94% di tre anni prima).
Dal canto suo, l’amministrazione Usa ha ammesso l’esistenza del Programma PRISM, spiegando che le informazioni cui l’FBI ha accesso riguardano solo i cittadini non americani o che vivono fuori dagli Stati Uniti, allo scopo di garantire la sicurezza nazionale da nemici esterni. Il Presidente Barack Obama ha subito evidenziato come il programma non fosse segreto, ma “riservato” e, allo stesso tempo, “legale e limitato”, autorizzato più volte dal Congresso, a partire dal 2007, con sostegno bipartisan, al solo scopo di prevenire il terrorismo.
Il Direttore della National Intelligence James Clapper ha sottolineato come le inchieste del The Guardian e del The Washington Post siano “riprovevoli” e piene di errori, mentre il Direttore dell’FBI Robert Mueller, in un’udienza al Congresso, ha ribadito il fatto che la sorveglianza delle comunicazioni da parte delle agenzie di sicurezza Usa è avvenuta nel pieno rispetto della legge e ha fatto sapere di aver avviato un’inchiesta penale nei confronti di Snowden, poiché le sue rivelazioni avrebbero causato “significativi danni” al Paese e alla sua sicurezza.
In una successiva intervista al canale Pbs, il Presidente Obama ha difeso l’operato della Casa Bianca: “Il sistema è trasparente, per questo le autorizzazioni dipendevano dal Foreign Intelligence Surveillance Act”; nel contempo ammette: “Dobbiamo trovare modi per garantire alle persone la presenza di controlli ed equilibri, la sicurezza che le loro telefonate non sono ascoltate e che i loro messaggi e mail non sono letti da un Grande Fratello”. Obama ha quindi annunciato di aver dato vita ad una Commissione per la difesa della privacy e delle libertà civili formata da cittadini indipendenti, per avviare un dialogo nazionale sulla questione. “Ritengo che il mio lavoro” – ha detto – “sia di proteggere il popolo americano, e anche di proteggere lo stile di vita americano, che comprende la nostra privacy”.
Le ultime rilevanti dichiarazioni sono quelle fatte dal Direttore della NSA Keith Alexander, nel corso di un’audizione davanti all’House Permanent Select Committee on Intelligence: egli ha rivelato come, grazie al programma PRISM, siano stati sventati oltre 50 complotti terroristici contro gli Stati Uniti, messi a punto dopo l’11 settembre. Gli attentati avrebbero riguardato più di 20 Paesi e, tra la decina pianificata nel territorio degli Stati Uniti, almeno due erano indirizzati a New York (uno alla metropolitana e uno a Wall Street).
Alexander ha anche spiegato quali siano i tipi di dati raccolti dalla NSA e in virtù di quali leggi: la sezione 215 del Patriot Act permette di raccogliere i dati relativi alle telefonate dalle compagnie, non, quindi, i dati relativi alle transazioni con carte di credito come inizialmente diffuso (che potrebbero però essere raccolti dall’Fbi), mentre la sezione 702 del Fisa permette la raccolta di dati relativi a chat, email e indirizzi Ip. Le informazioni relative al traffico telefonico – ha sostenuto ancora il capo della NSA – resterebbero a disposizione dell’agenzia per cinque anni e la loro raccolta non servirebbe ad analisi di data minging generiche, ma, al contrario, sarebbe limitata a specifici numeri di telefono. Le interrogazioni sui database telefonici, infine, possono essere richieste solo da un ventina di persone alla NSA.
La repentina giustificazione dell’amministrazione americana, che ha sottolineato come PRISM fosse rivolto esclusivamente ai cittadini esteri, è parsa a molti come una sorta di gaffe diplomatica verso il resto del mondo, suscitando non poche reazioni, anche in Italia. Lo scandalo spinge, a questo punto, a riflettere anche sulla reale capacità delle aziende italiane di proteggere i dati scambiati in rete, nei limiti, ovviamente, del proprio raggio d’azione.
Come noto, l’uso di antivirus, anti-spyware e altri strumenti classici di protezione è un requisito essenziale per la difesa dai pericoli esterni. Un’ulteriore forma di protezione potrebbe essere l’utilizzo di una rete VPN (Virtual Private Networks): essa tipicamente permette a computer ubicati in sedi fisiche diverse di stabilire un collegamento tramite Internet, ma, a differenza delle reti pubbliche, consente di crittografare i dati e inviarli solo a un computer o a gruppo di computer specifici. Ad essa possono accedere solo gli utenti autorizzati, poiché si crea una sorta di “tunnel” virtuale attraverso il web. Queste reti private vengono tipicamente usate dalle aziende per comunicare con le loro sedi remote o con i dipendenti che si lavorano fuori sede e che magari si collegano ad una rete Wi-Fi pubblica, tuttavia esse rappresentano una forma sicurezza in più anche quando si lavora su di una rete sicura locale.
La capillare diffusione delle piattaforme di Social Netwok ha poi posto nuove problematiche in tema di sicurezza, riconducibili, in particolare, a due categorie principali: da una parte i rischi derivano dai contenuti potenzialmente malevoli che possono essere scaricati dagli utenti attraverso link, file o applicazioni presenti nel canale (Malware Intrusion); dall’altra parte vi è il pericolo che alcuni dati di proprietà dell’azienda vengano divulgati in contesti e modi non conformi alla policy aziendale, causando potenziali problemi alla reputazione e alla proprietà intellettuale dell’azienda (Data Extrusion o Data Leakage).
L’utilizzo di piattaforme social non sembra essere più limitato alla sfera personale, sempre più esse rappresentano un canale informativo e commerciale; per questo la decisione di bloccare l’accesso ai Social da parte dei dipendenti, se da una parte elimina alcuni problemi di sicurezza, dall’altra persegue un modello di business piuttosto chiuso e impedisce di beneficiare dei potenziali vantaggi del web 2.0. Spetta alla specificità di ogni singola realtà valutare l’opportunità o meno di adottare simili misure, tuttavia nessuna azienda può prescindere dal definire policy aziendali capaci di indottrinare i dipendenti circa l’uso corretto dei Social Network e dall’utilizzare specifici strumenti di prevenzione.
Le minacce del tipo Malware Intrusion possono essere, ad esempio, affrontate partendo dal perimetro della rete aziendale, eliminando all’ingresso eventuali malware veicolati attraverso la connessione al Social Network (tipicamente sistemi di Network Intrusion Prevention, Network Antivirus, Content Filtering…), fino a tecnologie di protezione degli host (es. Host Antivirus, Host Intrusion Prevention). Le minacce di Data Extrusion si combattono, invece, applicando controlli di sicurezza il più vicino possibile ai dati, sugli host o analizzando i flussi di traffico in uscita per intercettare e bloccare le informazioni confidenziali.
Da qualche anno si assiste poi ad un’ampia espansione nell’utilizzo del cloud in azienda. Accanto agli ovvi benefici in termini di produttività, flessibilità e costi, si pone l’onere di adottare qualche livello di sicurezza in più per evitare che dati sensibili o riservati possano finire sotto lo sguardo di persone non autorizzate. I principali servizi di cloud storage assicurano che i file caricati sono crittografati e protetti, tuttavia essi mantengono il controllo delle chiavi di crittografia reali, quindi non garantiscono pienamente di essere protetti da attacchi provenienti dall’esterno (ad esempio dagli stessi gestori del servizio); inoltre sui computer usati per accedere al cloud tramite specifica applicazione, i file rimangono visibili ad altre persone che accedono a quegli stessi computer. Da qui deriva l’importanza di crittografare i dati, rendendoli inaccessibili agli estranei, attraverso l’utilizzo di specifici software.
Pubblicato su: PMI-dome
Bobiblog 