Cybersecurity, non si dica più “non sapevo” e “non pensavo”

È un bene che si stia finalmente parlando della sicurezza informatica dei dispositivi in rete come un problema da affrontare con serietà, in particolare se questi dispositivi sono telecamere piazzate nei siti sensibili del nostro paese.
Altrove lo avevano fatto da tempo e davvero non si capisce perché la questione non dovesse interessare anche l’Italia.
In questo momento, è tuttavia importante evitare semplificazioni di comodo che potrebbero deviare l’attenzione dagli aspetti fondamentali del problema, con un’ovvia premessa: la vulnerabilità cibernetica riguarda ogni oggetto dotato di un indirizzo IP - come ben sa chiunque operi in qualsiasi ambito dell’elettronica e dell’informatica - e non solamente quelli prodotti in un dato paese o da taluni fabbricanti.
Detto questo, il primo aspetto da tenere presente è che la cybersecurity non deriva da un componente in più o in meno a bordo del singolo dispositivo ma, come dicono gli esperti, è l’effetto di un processo che inizia dalle fasi di progettazione (security by design) e continua durante l’intera vita operativa di quel dispositivo, a cura del produttore e dell’ecosistema che arriva fino all’utente finale.
Questo significa anche che si potrebbe trovare un prodotto non sicuro “made in qui” e, almeno in teoria, uno molto sicuro “made chissà dove”.
Il secondo aspetto deriva proprio dal fatto che la cybersecurity richiede un approccio integrato, con il coinvolgimento e la responsabilizzazione di tutti gli attori della filiera a valle dei fabbricanti: dai distributori che scelgono le marche e i prodotti da mettere in catalogo, ai progettisti ed agli installatori che suggeriscono ai propri clienti cosa mettersi in casa.
E questi ultimi non sono esenti da responsabilità, specie se hanno il compito di gestire la sicurezza o le operazioni di un’organizzazione, pubblica o privata che sia.
Un terzo aspetto è che tutto questo è regolamentato a chiare lettere da normative internazionali e leggi nazionali in vigore da anni, che delineano non solo i criteri qualitativi dei sistemi e delle procedure, ma identificano anche i soggetti che hanno l’onere di attuarli stabilendo le sanzioni che colpiscono non tanto la mera violazione di prescrizioni ma, piuttosto, l’eventuale inadeguatezza delle soluzioni adottate per la sicurezza degli aventi causa.
Dal momento che “ignorantia legis non excusat”, nessuno può chiamarsi fuori e dire “non sapevo”.
Ultimo aspetto: stiamo parlando, è vero, di sicurezza di dati personali e aziendali ma, in questo momento, non possiamo non pensare a quali conseguenze estreme possa portare quella “inadeguatezza delle soluzioni adottate” quando riguarda la sicurezza delle persone. I principi di consapevolezza e di responsabilizzazione sono i medesimi.
Quindi, anche nella cybersecurity nessuno dovrebbe più permettersi di dire “non pensavo”.