E se chiamassimo la sicurezza per nome?

Il 27 dicembre è stata confermata la proroga dei termini per alcuni adempimenti relativi al trattamento dei dati personali. La legge sarà pubblicata il 20 gennaio sulla Gazzetta Ufficiale, quindi, se ho capito il meccanismo, per venti giorni la proroga "scompare", per ricomparire il 21 gennaio. Boh. A giugno, le autorizzazioni generali del Garante per il trattamento di dati sensibili, che se ben ricordo scadevano il 30 giugno, sono state prorogate il 30 giungo stesso, e pubblicate in Gazzetta il 14 agosto. Stesso problema? Boh. A volte mi chiedo perché mi devo interessare di queste questioni, dato che io mi occupo di sicurezza informatica. Poi mi ricordo che la normativa sulla protezione dei dati personali è al momento la principale fonte normativa sulla sicurezza informatica nelle aziende. Inizialmente mi sembrava una buona idea: dato che le aziende si interessano poco della sicurezza dei loro sistemi, una norma impone delle misure di sicurezza quantomeno per proteggere i dati "degli altri" trattati in azienda, aumentando nel complesso la sicurezza delle aziende e dell'intera Rete. Con il senno di poi, ho parecchi dubbi. È vero che la normativa è stata privata di autorevolezza dai continui rinvii (mentre sugli aspetti più centrali della legge, e cioè sui trattamenti illeciti, casi come quello di Vitaminic portano a prendere la norma più seriamente), ed è anche vero che alcuni requisiti, come l'adeguamento ogni sei mesi degli antivirus, fanno sorridere (naturalmente c'è la parte sull'"adeguatezza" delle misure, ma non essendo misure minime...). I problemi che vedo però sono altri.
Il primo è che, essendo la normativa focalizzata sulla protezione dei dati personali, non è ovvio che ne derivi un aumento della sicurezza della Rete nel suo complesso. In realtà, le aziende (quelle che hanno realmente affrontato l'adeguamento) si sono chieste quali parti del loro sistema informatico siano toccate dalla norma e quali no; ma soprattutto, con la "diffusione della banda larga" (le virgolette sono ancora d'obbligo), i problemi sono sempre più legati anche ai sistemi di singoli utenti, e non solo alle reti aziendali.
Il secondo è che il costo legato alla normativa sulla tutela dei dati presonali mi sembra eccessivo. Non mi riferisco alle grosse aziende, che avendo dei costi piangono comunque, siano o meno i costi adeguati allo scopo. Mi riferisco alle piccole aziende, che devono necessariamente appoggiarsi a consulenti esterni non tanto per adeguarsi, quanto per capire cosa è necessario per adeguarsi: nella maggior parte dei casi, le misure tecniche finiscono per ridursi all'uso di account, di antivirus, di un router/firewall e poco più. Se queste aziende avessero avuto una norma che dice: "dovete usare un antivirus", probabilmente i costi sarebbero stati più bassi, e gli adeguamenti più veloci e diffusi.
Mi pongo quindi due domande: vogliamo una normativa che imponga in modo diffuso delle misure di sicurezza, in modo da aumentare la sicurezza complessiva per chi usa la Rete? E, possiamo chiamare le misure di sicurezza con il loro nome?
La prima domanda non è facile: si tratta probabilmente di imporre, a tutti coloro che utilizzano una rete pubblica, delle misure di sicurezza che rendano più difficile che il loro sistema causi disservizi agli altri mediante la diffusione di virus, spam eccetera. Chiaramente, queste misure hanno dei costi e quindi la risposta non è banale. Non amo le analogie, ma muovendomi in un campo che non è il mio, non posso farne a meno; mi viene così in mente che per circolare su una strada pubblica mi sono imposte una serie di misure di sicurezza, dai freni alla cintura, fino all'assicurazione, a tutela mia ma anche degli altri; misure che hanno dei costi notevoli. Bisogna subito evidenziare i limiti di questa analogia: un incidente stradale ha generalmente delle conseguenze ben più gravi che lo spreco di un po' di banda. Tuttavia, il principio rimane, e mi sembra comunque più ragionevole dell'imporre  ai provider di gestire loro il problema, come ho sentito ogni tanto, con un costo che alla fine ricade comunque sugli utenti ma con un'efficacia secondo me molto più dubbia. Certamente, in caso di violazioni ci si può limitare a qualche multa, ma almeno quando un sistema diffonde virus danneggiando gli altri il proprietario può essere in qualche modo sanzionato. Se il proprietario viene sanzionato, si può poi porre lui stesso il problema della qualità del software che usa, e che rende più facile la diffusione dei virus e che non sembra sottostare ad alcun vincolo di qualità... un circolo virtuoso sul quale vale la pena di riflettere.
Il secondo problema è quello che mi pongo in realtà da quando è nata la cosidetta "Legge sulla criminalità informatica", la 547/93. Sono tuttora perplesso ad esempio per l'articolo 615-quinquies del C.P., e per le parafrasi che usa per indicare, sperabilmente, virus e worm ed exploit noti:
"Art 615-quinquies. - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). - Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni".
Dico sperabilmente perché, come è noto, si pongono altrimenti una serie di problemi:
- il comando halt ha come scopo ed effetto l'interruzione totale (e volontaria) del funzionamento di un sistema informatico;
- chi sviluppa programmi di penetration test sviluppa, comunica e consegna programmi che corrispondono chiaramente a quanto indicato nell'articolo; prodotti di questo tipo sono parte degli strumenti abituali utilizzati (previa autorizzazione) per verificare la sicurezza di una rete;
- una patch (o un aggiornamento del BIOS) alterano il funzionamento del sistema... in meglio
- soprattutto, nelle norme in cui si fa riferimento a questo articolo, come ad esempio l'art. 16 dell'allegato B del Codice in materia di protezione dei dati personali, la lettura è chiara se si parla di antivirus, altrimenti iniziano i problemi (mi devo proteggere da programmi realizzati ad hoc per manomettere il mio sistema? E se sì, con cosa? E così via...).
Si potrebbe pensare che una dizione generica comprenda problemi che al momento non si potevano indicare "per nome" e che sono comparsi dopo il 1993, ma direi che decisamente non è questo il caso. Si possono fare molti esempi. Prima di tutto, un worm che mi arrivi per posta elettronica, su cui io clicco per attivarlo, che legge la mia rubrica e invia messaggi agli indirizzi contenuti, non altera i dati e il sistema più di quanto faccia un qualsiasi programma di posta elettronica; è la mancanza del mio consenso all'invio che distingue il worm. Poi, lo spyware non è anch'esso coperto, specialmente se è parte dell'installazione di un programma che io stesso ho installato (il caso più tipico). La differenza quasi sempre non è nella funzionalità o nell'effetto, ma nella volontà dell'utente.
L'altra obiezione che ho sentito, e che ho sempre trovato più ragionevole, è che parlare di antivirus richiede di definire prima i virus e gli antivirus in termini accettabili. Più passa il tempo però, e meno trovo valida anche questa obiezione. Prima di tutto, perché abbiamo già una definizione ambigua, quella attuale, e credo che si possa arrivare ad una definizione di virus decisamente meno ambigua. Poi, perché ho visto la "famiglia" di definizioni legate alla firma digitale, sulla cui interpretazione si sono scritti fiumi di bit; se possiamo convivere con quelle definizioni, possiamo vivere anche con una definizione imperfetta di virus. Anche perché, a differenza della firma digitale, se io chiedo ad un qualsiasi utente di computer cos'è un virus, lui un'idea ce l'ha, e quindi le interpretazioni "a buon senso" sono più facili (ogni tanto qualcuno mi dice che le leggi non si interpretano "a buon senso", ma vedendo le definizioni in queste norme e le relative interpretazioni, ed avendo un'idea di cos'è invece una definizione rigorosa, ad esempio in matematica,  non posso chiamarle altrimenti). Comunque, roso dal dubbio, mi sono chiesto: ma in altri settori in cui "si sa" che la norma richiede un preciso strumento tecnico, come se la cavano? Di nuovo mi sono venute in mente le automobili, ed l'obbligo di marmitta catalitica per circolare in determiate aree. Forse che "marmitta catalitica" è, come il virus, un termine che tutti sappiamo cosa voglia dire, una semplificazione per i più, ma che non trova posto nelle norme, che invece usano termini più generici ma incomprensibili? Ebbene, no. Mentre in molti casi si parla genericamente di "dispositivi antinquinamento", e di limiti sulle emissioni, in altre si parla esplicitamente di "convertitori catalitici"(ad esempio nel Decreto Ministeriale del 26/05/2004 del Ministero dei Trasporti e delle Infrastrutture), e nella direttiva 2002/51/CE si citano addirittura "iniezione diretta" e "motocicli enduro e trial" (seppure solo nella premessa, ma addirittura senza inventare un termine in italiano per l'occasione). E come affrontano l'evolvere della tecnica e dei problemi? Adeguando la normativa. Va detto di nuovo che lo sforzo (parecchi adeguamenti e modifiche negli ultimi anni) sono giustificati dall'entità del problema, che la sicurezza della rete non ha (ancora) neanche lontanamente raggiunto. È vero però anche che in fondo sia le tipologie di problemi ai quali sia riferisce ad esempio l'art. 615-quinquies, sia gli strumenti per affrontarli, non sono poi cambiati molto come tipologie (e quindi come definizioni); c'è stata una certa evoluzione, ad esempio nella velocità di diffusione dei virus e conseguentemente nella necessità di aggiornamento degli antivirus, ma questo non tocca la definizione di virus. Bisogna dire che probabilmente nel 1993, quando è stata approvata la legge 547, forse non era ovvio che ci sarebbe stato interesse per successivi adeguamenti, e quindi magari è stata una buona idea far passare un concetto più generico. Adesso però i tempi sembrano maturi.
Quali potrebbero essere i vantaggi?  Immaginiamoci un Codice  per la protezione dei  dati personali che  dica: "Il sistema deve essere protetto contro virus e worm". Ebbene, anche il venditore di computer che deve configurare un pc per un negoziante sa che questo vuole dire, in sostanza, che bisogna installare un antivirus. Il vantaggio per molte aziende, particolarmente quelle piccole, sarebbe enorme.
L'importante è che il legislatore, qualora decidesse di fare questo passo, si assicurasse di adottare delle definizioni che abbiano un'effettiva corrispondenza con i problemi e le tecnologie attuali. Sto suggerendo quel processo seguito a suo tempo dall'AIPA, e che vedo come lo strumento migliore per trarre vantaggio delle competenze disponibili, e cioè di pubblicare le bozze delle normative e raccogliere i suggerimenti che vengono dalla comunità di tecnici che poi dovranno quotidianamente confrontarsi con quelle stesse norme, anziché fare riferimento a pochi consulenti, seppure preparati, ai quali certamente possono sfuggire degli aspetti di problematiche ancora così innovative. Poi, naturalmente, penso anche al CLUSIT.