INTERVISTA A BRUCE SCHNEIER

Schneier: “Le votazioni elettroniche? Non fatelo, non è sicuro”

In questa intervista esclusiva Bruce Schneier, uno dei massimi esperti al mondo di sicurezza digitale, ci parla di prevenzione nella cyber security, Kaspersky, supply chain, cyber-conflitto tra Russia e Ucraina, e del perché il voto elettronico non potrà mai essere considerato sicuro

04 Lug 2022
M
Riccardo Meggiato

Coordinatore di "The Outlook", Consulente in cyber security e informatica forense

Bruce Schneier è riconosciuto come uno dei massimi esperti di sicurezza digitale a livello mondiale. Laureato in informatica alla American University, e con un bachelor in fisica, ha lavorato in posizioni strategiche nell’ambito della sicurezza ai laboratori Bell e Dipartimento della Difesa degli Stati Uniti, oltre a fondare proprie società, essere board member dell’Electronic Frontier Foundation e di AccessNow, Chief of Security Architecture a Inrupt Inc., e avere scritto alcuni dei principali best-seller mondiali su sicurezza informatica, privacy e crittografia. A tutto questo, aggiunge l’ideazione di alcuni dei più noti algoritmi crittografici e un’enorme produzione di post per il suo blog e la newsletter Schneier on security, letta da oltre 250.000 utenti.

Questa sua intensa attività lo porta ad avere una visione sempre puntuale dello stato della sicurezza e a lanciare previsioni che, immancabilmente, si avverano. Motivo per il quale mi trovo a chiedergli lumi su alcuni temi di grande attualità, a distanza di parecchi anni dall’ultima chiacchierata che abbiamo avuto.

Come si impara la cyber security: ecco le nozioni di base necessarie

Com’è cambiata la sicurezza digitale

L’ultima intervista che ti ho fatto risale al 2014: com’è cambiato il mondo della sicurezza digitale da allora?

È cambiato il mondo digitale. Smartphone, Internet of Things, cloud computing, sorveglianza globale… come può non essere cambiato il mondo? Stiamo entrando in un mondo dove qualsiasi cosa, letteralmente, è un computer. Quello smartphone è davvero solo un computer che fa telefonate. Il tuo frigorifero è un computer che mantiene le cose fredde, e il tuo microonde è un computer che rende le cose calde. E quei computer sono connessi. È un mondo informatico completamente diverso, nel quale la sicurezza digitale diventa sicurezza di ogni cosa.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

E com’è cambiato il lavoro di Bruce Schneier in questi anni?

Ho iniziato a insegnare cyber security policy alla Harvard Kennedy School, e pensando e scrivendo di più su questo tema. I miei libri, in realtà, sono proprio sulla gestione delle policy: tecnici, certo, ma su soluzioni di policy.

Prevedere non basta

Nel tuo libro “We have root”, che è una raccolta di alcuni dei tuoi saggi, avevi previsto buona parte dei problemi che stiamo vivendo oggi. Questo libro è del 2019, ma alcuni di quei saggi sono molto più vecchi. Se la sicurezza è così prevedibile, perché non siamo capaci di proteggerci in tempo?

Perché prevedere non è sufficiente per proteggere. Il problema fondamentale della cyber security, ora, è che gli incentivi economici non sono adeguatamente allineati. Finché le imprese sono nella posizione in cui avere poca sicurezza è più profittevole di avere una buona sicurezza, continueremo ad avere una scarsa sicurezza. Qui è dove le norme governative possono fare un buon lavoro, regolando l’economia per incentivare un miglior livello di sicurezza (che è lo stesso modo in cui le norme funzionano in qualsiasi altro aspetto della società).

Su Russia e cyberwarfare

Un argomento su cui hai scritto molto è l’attribuzione di un attacco, in caso di cyberwarfare. Abbiamo fatto progressi in questa direzione? La guerra tra Russia e Ucraina ci sta insegnando qualcosa, a tal proposito?

Ce la caviamo molto meglio nell’attribuzione degli attacchi cyber rispetto a quanto accadeva dieci anni fa. Il problema è che l’attribuzione non è sempre veloce, e la politica spesso richiede una risposta rapida. Non sono sicuro che il conflitto tra Russia e Ucraina ci stia insegnando qualcosa. Quando due paesi sono in guerra, l’attribuzione è piuttosto semplice. È difficile nei momenti di pace, o nel corso di un conflitto più “caldo”.

Già che ci siamo: non è che forse stiamo sopravvalutando un po’ le capacità cyber della Russia?

Penso che abbiamo sovrastimato il valore dei cyber attacchi nel corso di questo conflitto. Il vero valore si vede nei periodi di pace o, come il direttore della NSA Paul Nakasone ha affermato, nel continuum tra le tensioni e la crisi. Quando iniziano bombardanti e sparatorie, ci sono munizioni molto più efficaci da sparare di quelle offerte dalle cyber armi.

La Russia non è una super potenza della cyber: ecco le prove

Kaspersky e Cina, un processo irreversibile

Nella tua opinione, la preoccupazione del governo italiano sull’utilizzo di strumenti di sicurezza russi, come quelli di Kaspersky, è fondata?

Qui c’è da porsi una domanda seria: puoi fidarti del software di un’azienda che sta in un paese di cui non puoi fidarti? Non è solo un discorso di Kaspersky e Russia, ma anche delle molte aziende cinesi che destano la preoccupazione di Stati Uniti e altri paesi. È una domanda difficile, reso ancora più difficile dalla nostra complicata supply chain.

Tutto ciò che acquistiamo ha processori o altri componenti che provengono da molti paesi del mondo, e tutti i software che utilizziamo sono scritti da programmatori con diversi passaporti. La nostra industria è profondamente internazionale, e non è qualcosa che puoi facilmente cambiare.

Chi dice che il voto elettronico è sicuro mente

Sei Advisory Board Member di VerifiedVoting.org: a che punto siamo con le votazioni elettroniche?

Non fatelo, non è sicuro. Punto. E non è qualcosa che possiamo rendere sicuro. Il requisito del voto segreto significa che non possiamo utilizzare la maggior parte degli strumenti di sicurezza necessari per costruire un sistema robusto e resiliente. E la frode elettorale all’ingrosso è catastrofica. Chiunque che ti dica che ha un sistema di votazione via Internet sicuro sta mentendo, chiaro e semplice.

Nel tuo libro “Data & Goliath” parli del mercato dei dati e dei relativi rischi per la nostra privacy. Oggi, nella tua opinione, possiamo accettare un compromesso tra privacy e servizi? Qual è una linea di confine che potremmo accettare?

Accettiamo compromessi tra privacy e servizi ogni giorno, e lo abbiamo fatto dagli albori della civiltà. La linea di confine, come dici tu, è fluida. Dipende dai dettagli della situazione. Accetteremo diversi tipi di compromesso per i nostri dati medici rispetto a ciò che faremo per i nostri dati di geolocalizzazione, i nostri dati demografici, la cronologia di navigazione nei browser, o i nostri messaggi di testo. Non c’è mai stata una soluzione per tutto e non ci sarà mai.

Come gestisce la propria privacy Bruce Schneier? Quali sono gli strumenti e i trucchi che utilizzi?

Non uso nulla di speciale. Del resto, non ne renderò pubblici i dettagli.

C’era da aspettarselo, grazie anche per questo, Bruce.

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage
@RIPRODUZIONE RISERVATA

Articolo 1 di 5