martedì 28 febbraio 2012

Libere riflessioni su Privacy e Sicurezza nel web

“Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita nè la libertà nè la sicurezza.” (Benjamin Franklin)
Parto in modo velatamente provocatorio citando Benjamin Franklin, uno dei Padri Fondatori degli Stati Uniti d’America, e mi addentro – vista anche la mia posizione di tecnico – nell’insidioso terreno della sicurezza e della privacy. Argomento che coinvolge ed incuriosisce, e che tanto ha a che fare con la nostra vita nel web, sia esso interpretato nella sua forma quasi arcaica della posta elettronica, nelle interconnessioni dei social network o nella comoda “tascabilità” delle applicazioni per smartphone o per tablet.
La questione merita tutta l’attenzione e dovrebbe spingere il cittadino a capire e ad acquisire consapevolezza sul problema.
Ho provato a riflettere su come le persone si confrontano con le problematiche di sicurezza e privacy, notando alcuni aspetti e giungendo alle mie personalissime deduzioni:
  1. Il cittadino viene bombardato dai media sulle violazioni di questo o quel produttore tecnologico. Ma qual è il rischio che questo bombardamento mediatico risenta dell’influenza dei produttori stessi verso una qualche forma di marketing denigratorio?
  2. In rete si diffondono quotidianamente allarmi, voci e notizie riguardanti presunte violazioni ai danni della sicurezza e della privacy, operate magari da un social network o da ipotetiche organizzazioni o sistemi dedicati a questo scopo. Si tratta in una grande maggioranza di casi di voci che risentono dell’effetto “telefono senza fili” e che partendo magari da una base vera o perlomeno verisimile, ne escono modificate, amplificate, distorte.
  3. Le informative sulla privacy presenti in siti e portali web, o allo stesso modo in formato cartaceo quando si concedono i propri dati a terzi, vengono spesso firmate o accettate con una scarsa o pressoché nulla consapevolezza reale del contenuto.
  4. La maggior parte delle persone ignora quasi completamente il concetto di reputazione on-line.
  5. E soprattutto, nella comune interpretazione sull’argomento, i termini chiave Privacy e Sicurezza vengono spesso uniti per semplificazione in un’unica soluzione, quando invece dovrebbero camminare su binari diversi.
Faccio un passo indietro (stavolta non scendendo fino ai tempi dei Padri Fondatori) tornando alle dichiarazioni del presidente degli Stati Uniti George W. Bush in seguito agli attacchi dell’11 settembre 2001, ed alle successive azioni legislative che portarono alla nascita del celeberrimo Patriot Act.
Potremmo affermare che il Patriot Act è stato l’episodio che ha portato il web a perdere la sua “innocenza” originaria. Attraverso il noto provvedimento federale (celebrato in modo ironico ma molto incisivo anche in una puntata dei Simpson) forse per la prima volta i termini Privacy e Sicurezza vennero distinti, quasi che l’uno fosse opposto all’altro. In poche parole: “Ti togliamo un po’ di privacy in cambio di più sicurezza”.
Il concetto è passato e si è solidificato negli anni cibandosi delle paure del nuovo millennio, producendo persino delle interessanti variazioni sul tema quali “ti togliamo un po’ di privacy per soddisfare al meglio i tuoi gusti personali” o la nuova made in Italy “ti togliamo un po’ di privacy purché le tasse le paghino tutti”.
Così, un concetto come la Sicurezza è diventato il fine da raggiungere attraverso il mezzo della privacy, in una logica deduttiva che però ha portato stranamente a controversi risultati.

Sono all’ordine del giorno, ed in questo caso la notizia e reale e documentata, intrusioni, violazioni ed attacchi a banche dati, siti e portali web.
Di queste intrusioni, una buona parte viene rilevata in ritardo o peggio non viene rilevata affatto.
Un grande numero di siti e portali non sono dotati di sistemi di monitoraggio o non dispongono di una manutenzione continua.
Con la violazione di una banca dati, un’entità esterna sconosciuta si appropria letteralmente di tutti i dati in essa presenti (dati personali, dati sensibili, che l’utente ha fornito e che in qualche modo lo connotano a livello religioso o sul proprio orientamento politico e sessuale), con finalità ed utilizzi potenzialmente infiniti e per buona parte fraudolenti. In sintesi: la riservatezza dei propri dati viene pesantemente compromessa, a totale discapito anche della sicurezza della persona. Una conclusione che contraddice l’ottimistica visione precedentemente descritta.
Fin qui si resta nell’ambito della pura riflessione. Non siamo qui – noi tecnici a volte un po’ paranoici - ad addossare responsabilità a stati, organizzazioni, aziende, e così via. Sono proprio le grandi organizzazioni le prime a rispettare policies di sicurezza stringenti ed efficaci. Il rischio, pur se presente, risulta legato ad eventi e situazioni eccezionali.

Sposterei invece l’attenzione su un discorso differente, ovvero sulla necessità assoluta che nel prossimo futuro si metta finalmente e definitivamente il cittadino della rete – più comunemente chiamato utente – nelle condizioni di essere consapevole dei REALI rischi legati alla sua attività su web e derivati, attraverso un’azione coordinata e definitiva, a livello formativo ed informativo, che coinvolga media tradizionali, new media ed operatori del settore nel diffondere una nuova visione: 

Trasformare la tutela e la salvaguardia dei propri dati in un Valore.

La situazione
L'allarme di Microsoft per l'Italia 
Compromised Websites - An Owner’s Perspective
Una fonte un po’ datata ma comunque utile per capire il Patriot Act ed affini europei

Ma, fortunatamente, forse qualcosa si sta già muovendo:
http://www.sicurinelweb.it/progetto.php
http://www.saferinternet.org