E’ sempre la stessa storia in questo turbo-capitalismo mal regolato: ti vendono un prodotto, te lo magnificano, se tentenni diventi un nemico del progresso, poi qualcuno si accorge che la forzata offerta porta con sé un difetto nascosto. Ci riferiamo nel caso specifico alla digitalizzazione, di cui si fanno sperticate lodi. Peccato che il suo mancato “costo sicurezza” – fondamentale per la tutela dei diritti individuali – viene scaricato sulle spalle dei consumatori e investitori per essere trasformato in lauti profitti e presunti risparmi colossali. Poi, accadono i guai, il cui costo per sanarli annulla i precedenti guadagni e le supposte efficienze. Centinaia i casi negli ultimi mesi trai più noti: la Colonial, il Sistema Sanitario Irlandese (il riscatto chiesto fu di $ 20 ml. in cripto valute; il governo rifiutò e carta e penna furono re-introdotte), infine quello recente che sta affliggendo la Regione Lazio.
To stop the ransomware pandemic, start with the basics
That will help stop other sorts of cyber-mischief, too
Vent’anni fa, avrebbe potuto essere la trama di un dozzinale libro thriller comprato in un qualsiasi aeroporto. In questi giorni, è la routine. Il 7 maggio i criminali informatici hanno chiuso per cinque giorni l’oleodotto che riforniva quasi la metà del petrolio alla costa orientale degli Stati Uniti. Per far sì che scorresse nuovamente, hanno preteso un riscatto di $ 4,3 ml. dal proprietario della Colonial Pipeline Company. Nei giorni seguenti, un simile attacco di “ransomware” (ricatto informatico) ha paralizzato la maggior parte degli ospedali in Irlanda.
Tali attacchi sono la prova di un’epoca di crescente insicurezza informatica che colpirà tutti, dalle aziende tecnologiche alle scuole e alle forze armate. La prima minaccia è la catastrofe: pensate a un sistema di controllo del traffico aereo o a un guasto a una centrale nucleare. Senza contare la seconda che è più difficile da individuare, poiché il crimine informatico impedisce la digitalizzazione di molti settori, ostacolando una rivoluzione che promette di elevare gli standard di vita in tutto il mondo.
Il primo tentativo di ransomware fu fatto nel 1989, con un virus diffuso tramite floppy disk. La criminalità informatica sta peggiorando man mano che più dispositivi si connettono alle reti e la geopolitica diventa meno stabile. L’Occidente è in contrasto con la Russia e la Cina e diverse autocrazie danno rifugio ai cyber-banditi.
Sono in gioco migliaia di miliardi di dollari. La maggior parte delle persone ha un vago senso di un fiasco evitato per un pelo: dall’attacco alla Sony Pictures che ha sconvolto Hollywood nel 2014, a Equifax nel 2017, quando sono stati rubati i dettagli di 147 milioni di persone. I grandi hack sono noti ma avvolti nella nebbia: ricordate per caso nomi come SoBig, SolarWinds o WannaCry?
Un recente studio della London Business School (LBS) cattura le tendenze esaminando i commenti fatti dagli investitori attraverso 12.000 società quotate in 85 paesi in due decenni. Il rischio informatico è più che quadruplicato dal 2002 e triplicato dal 2013. Il modello di attività è diventato più globale e ha interessato una gamma più ampia di settori. I lavoratori che accedono da casa durante la pandemia hanno quasi sicuramente aggiunto nuovi rischi. Il numero di aziende colpite è a un livello record.
Di fronte a questo quadro, è naturale preoccuparsi maggiormente di crisi spettacolari causate da attacchi informatici. Tutti i paesi hanno nodi fisici vulnerabili come oleodotti, centrali elettriche e porti, il cui fallimento potrebbe bloccare molte attività economiche. Il settore finanziario è un obiettivo crescente da parte del crimine informatico: di questi tempi i rapinatori di banche preferiscono i laptop ai passamontagna. I regolatori hanno iniziato a preoccuparsi della possibilità che un attacco provochi il collasso di una banca.
Tanto costosa è la minaccia alla nuova tecnologia quanto lo è il perdere la fiducia in essa. I computer vengono integrati nelle automobili, nelle case e nelle fabbriche, creando una sorta di industrializzata “Internet delle cose” (IOT). Le informazioni raccolte da oceani di dati promettono di rivoluzionare l’assistenza sanitaria. In teoria, tutto ciò aumenterà la produttività e salverà vite umane per gli anni a venire. Ma quanto più il mondo digitale è afflitto dall’insicurezza, tanto più le persone ne scanseranno l’uso e maggiori potenziali guadagni andranno persi. Immaginate di sentire parlare di ransomware nella vostra macchina connessa, del tipo: “pagaci $ 5.000 o le porte rimangono chiuse“.
Affrontare l’insicurezza informatica (Cyber insecurity) è difficile perché offusca i confini tra attori statali e privati e tra geopolitica e criminalità. Tra le vittime degli attacchi informatici vi sono aziende ed enti pubblici. Gli autori includono stati che conducono spionaggio e testano la loro capacità d’infliggere danni bellici, ma anche bande criminali in Russia, Iran e Cina, la cui presenza è tollerata perché irritano l’Occidente.
La nuvola di segretezza e vergogna che circonda gli attacchi informatici amplifica le difficoltà. Le aziende li coprono. I normali incentivi per loro e le per loro controparti tesi a mitigare i rischi non funzionano bene. Molte aziende trascurano i principi di difesa, come l’autenticazione in due passaggi. La Colonial non aveva nemmeno preso le semplici precauzioni. Nell’industria della sicurezza informatica vi sono molti squali che ingannano i clienti. Riprendendo il giudizio di un cyber-funzionario, la maggior parte di ciò che viene venduto (per la sicurezza) è poco meglio di “amuleti magici medievali”.
Tutto ciò significa che i mercati finanziari faticano a valutare il rischio informatico e la sanzione pagata dalle aziende mal protette è troppo piccola. Lo studio LBS, ad esempio, conclude che il rischio informatico è contagioso e sta iniziando a essere preso in considerazione nei prezzi delle azioni. Ma i dati sono così opachi che è improbabile che l’effetto rifletta il rischio reale.
Fissare gli incentivi del settore privato è il primo passo. Funzionari del governo in America, Gran Bretagna e Francia vogliono vietare la copertura assicurativa dei pagamenti per il riscatto, poiché incoraggia ulteriori attacchi. Meglio richiedere alle aziende di divulgare pubblicamente gli attacchi e il loro costo potenziale. In America, ad esempio, i requisiti sono vaghi e comportano grandi ritardi.
Con una divulgazione più nitida e uniforme, investitori, assicuratori e fornitori potrebbero identificare meglio le aziende che stanno investendo poco in sicurezza. Di fronte a premi assicurativi più elevati, a un prezzo delle azioni in calo e al rischio di contenziosi, i loro manager potrebbero darsi da fare a trovare soluzioni. I produttori avrebbero più motivi per stabilire e rispettare gli standard di prodotto e dotarli di quei marchingegni che aiutino ad arginare l’ondata di dispositivi IOT non sicuri.
I governi dovrebbero sorvegliare il confine tra il sistema finanziario ortodosso e il mondo oscuro della finanza digitale. I riscatti vengono spesso pagati in criptovalute. Deve essere reso più difficile riciclare denaro da questi in conti bancari ordinari senza la prova che questo abbia una fonte legittima. Allo stesso modo si dovrebbero limitare gli scambi in criptovaluta, che dovrebbero osservare gli stessi obblighi delle istituzioni finanziarie consolidate.
L’insicurezza informatica è anche una questione di geopolitica. Nella guerra convenzionale e nella criminalità transfrontaliera esistono norme di comportamento che aiutano a contenere i rischi. Nel cyber-dominio regnano novità e confusione. Un attacco informatico da parte di criminali tollerati da un avversario straniero giustifica una rappresaglia? Quando un’intrusione virtuale richiede una risposta nel mondo reale?
Un punto di partenza è che le società liberali collaborino per contenere gli attacchi. Ai recenti vertici del G7 e della NATO, i paesi occidentali hanno promesso di farlo. Ma anche il confronto con Stati come Cina e Russia è cruciale. Ovviamente, non smetteranno di spiare i paesi occidentali che li sbirciano da soli. Ma un terzo vertice, tra i presidenti Joe Biden e Vladimir Putin, si è avviato un difficile dialogo sul crimine informatico. Idealmente il mondo dovrebbe lavorare su un accordo che renda più difficile per i banditi internet minacciare la salute di un’economia globale sempre più digitale.
https://www.economist.com/leaders/2021/06/19/to-stop-the-ransomware-pandemic-start-with-the-basics
