“L’uomo medio non vuole essere libero. Vuole essere sicuro.”
Henry Louis Mencken
Proprio quando l’ex ministro degli esteri, promosso a Capo del Governo, Gentiloni, ammette candidamente che l’attacco degli hacker russi alla Farnesina non lo preoccupa perché lui non usa la mail, nelle scuole inglesi stanno avviando un programma di lezioni sulla sicurezza informatica dirette agli studenti 14 enni per formare la futura generazione di esperti in cybersecurity.
Improvvisamente le nostre scuole, già attaccate perché gli studenti universitari non sono in grado di scrivere correttamente in italiano e compiono errori imbarazzanti nei loro testi, sprofondano in un medioevo digitale imbarazzante. Mi auguro che dai tempi in cui frequentavo l’ITIS, indirizzo elettronica e telecomunicazioni, la situazione sia migliorata ma ne dubito, considerando le politiche del governo in tema di istruzione. Probabilmente ci saranno le LIM, oggetti inutili come una matita spuntata, o aule informatiche dotate di iMac o Microsoft Windows. Ai miei tempi, fine anni ’90, all’indirizzo “informatica” insegnavano il TurboPascal e QuickBasic. Adesso sembra siano passati al C++ ed al Java. Niente, ovviamente, sulla sicurezza informatica. Perché, molto probabilmente, i primi a non saperne niente sono i docenti stessi e chi predispone i programmi scolastici, formando generazioni di ignoranti digitali che costeranno al nostro Paese posti di lavoro qualificati e punti di PIL (ammesso che il PIL sia ancora una forma attendibile di valutazione della salute di un Paese).
E’ incredibile come il più importante dei pericoli che la nostra società, e tutto il mondo occidentale, corre sia anche il più sottovalutato o, addirittura, ignorato. Le reti informatiche controllano praticamente ogni singolo aspetto della nostra vita, dal traffico per andare a lavoro al rifornimento delle merci nei negozi, ai pagamenti alle transazioni finanziarie, alle comunicazioni di ogni genere fino al funzionamento delle apparecchiature mediche nei nostri ospedali, compreso il servizio di emergenza 118. Il mondo della finanza, della ricerca, dell’informazione, dell’energia, l’intero mondo contemporaneo si basa su uno strumento che gran parte dei suoi utilizzatori non conosce abbastanza. Parafrasando, chiunque guida un veicolo non deve necessariamente sapere come funziona il ciclo Otto o il ciclo Miller ma deve almeno conoscere le regole del Codice della Strada e controllare la pressione dei 4 pneumatici: nella peggiore delle ipotesi una ignoranza di queste informazioni provoca un incidente. In informatica, provoca che decine di migliaia di PC “zombie” che, controllati da un unico punto, si trasformano in rampe di lancio per attacchi DDOS (Distribuited Denial of Service) capaci di paralizzare interi network e provocare la perdita di milioni di dollari in pochi istanti. Oppure, come nei recenti episodi di ramsomware o spyware in cui sono stati coinvolti server e PC anche di PA, il rischio di mettere in mani poco affidabili dati sensibili o comunque riservati. Tutto questo senza pensare alle banche dati che memorizzano il nostro stato di salute, dati sensibili protetti dalle normative sulla privacy ma non dall’ignoranza di utenti che utilizzano questi strumenti senza le più elementari norme di sicurezza.
Quando avete cambiato la password l’ultima volta ? E avete usato almeno 8 caratteri, tra cui almeno un numero ed un simbolo, invece del nome del figlio, della targa dell’auto o della vostra data di nascita ? E sul PC di lavoro, avete impostato una password di accesso e un salvaschermo che blocca l’accesso dopo un tot di minuti di inattività ? Oppure avete la password scritta sul post-it attaccato al monitor ? E quando è stata l’ultima volta che non avete verificato se il certificato SSL del vostro Home Banking è affidabile ed il sito è davvero chi dice di essere ? O, forse, non avete neanche capito cosa significa quel simbolino verde a forma di lucchetto che ogni tanto compare in alto a sinistra del vostro browser (a proposito, sapete cos’è un browser ?) ?
Internet è una Rete di milioni di PC. La sua sicurezza, o insicurezza, dipende dai dispositivi di Rete connessi ad essa: come per le nostre strade, la sicurezza delle stesse dipende anche dai milioni di veicoli in circolazione. Non basta un antivirus, magari con le definizione scadute o scaricato da un portale di warez, a proteggere il vostro PC. Non è sufficiente neanche il potentissimo firewall aziendale, se attaccate il post-it con la password allo schermo. Non basta il fenomenale antispam di Google Mail se poi cliccate sul link che vi arriva per e-mail da uno sconosciuto che vi vuole offrire 1 milione di dollari ma prima devi autenticarti su PayPal (non a caso, si chiama phishing...).
Molto probabilmente non sono la persona più adatta a dare lezioni di sicurezza: ho passato da un pezzo gli anni in cui cifravo tutte le e-mail in PGP e sceglievo chiavi a 4096 bit per il tunnel IPSEC tra i miei server. Da anni però ho fatto delle scelte che, anche se non possono certo garantire la totale sicurezza, mi hanno fin’ora messo al sicuro da malware, virus o furti di informazioni indesiderati.
Niente di magico, solo semplice buonsenso. Perché se lascio le chiavi alla porta di casa, anche la migliore porta blindata non mi proteggerà dai ladri.