La sicurezza nazionale è sfuggita di mano al controllo delle istituzioni di Andrea Monti – originariamente pubblicato da Infosec.News
Sulla vicenda della massiccia esfiltrazione abusiva di dati subita da Leonardo, sulla differenza fra la narrativa istituzionale della cybersecurity e la drammaticità della situazione italiana, sulla superfetazione normativa che sta ingessando la sicurezza nazionale si è già detto molto. C’è, tuttavia, un aspetto che non è stato approfondito adeguatamente: il rapporto meno che proporzionale fra il numero dei componenti di una struttura e la loro “fedeltà” alla struttura stessa.
È abbastanza intuitivo capire che man mano che una struttura cresce e la sua organizzazione si verticalizza, passando da un governo di pari a una piramide gerarchica, l’ampliamento della base implica l’abbassamento della fedeltà alla struttura. Dunque, se ai vertici è (relativamente) più facile aspettarsi un commitment che va oltre la retribuzione e il prestigio, in una prospettiva fordista man mano che si scende verso posizioni più “operaistiche” il senso di appartenenza si attenua e prevale l’interesse puramente economico, per cui non conta “chi” sia il datore di lavoro o “quali” siano le mansioni, basta che lo stipendio sia adeguato e, soprattutto, arrivi puntuale.
Ovviamente questo non significa che tutti i manager sono illuminati dirigenti che hanno a cuore soltanto il bene dell’azienda (o dell’istituzione) e chi dipende da loro è un mercenario interessato esclusivamente a una difesa egoistica del posto di lavoro. La storia del movimento operaio in Italia e l’impegno a protezione delle fabbriche nei momenti più tesi delle relazioni politiche e industriali parlano da soli ed escludono una lettura così semplicistica degli eventi.
È vero, piuttosto, che sono proprio i livelli direttivi e dirigenziali più alti ad avere una minore “fedeltà” aziendale. Basta guardare i profili professionali su Linkedin per rendersi conto di quanto sia alta la mobilità di quadri e dirigenti. Una situazione lontana anni luce da quella che si viveva nella Olivetti dei tempi d’oro, quella che insegnava agli americani e della quale si era orgogliosi di far parte.
Cosa c’entra tutto questo con il “caso Leonardo” e con il settore della sicurezza informatica?
I comparti sicurezza e difesa hanno una caratteristica comune: non se ne può far parte soltanto perché —semplifico— c’è lavoro e si viene ben pagati (o perché si acquisiscono qualifiche e incarichi più o meno istituzionali). Ferma restando la competenza, è necessario avere, a qualsiasi livello, un fortissimo senso delle Istituzioni, che è l’unica barriera contro corruzione, spionaggio industriale e “intelligenza con il nemico”. Continuare a pensare che l’insider threat possa essere mitigata dal certificato del casellario e, magari, da qualche “discreto” accertamento o con i successori dei “fascicoli P” è abbastanza ingenuo e, alla prova dei fatti, insufficiente.
Le conclusioni di questo ragionamento sono facilmente intuibili, ma nello stesso tempo oggettivamente sgradevoli.
Dovremmo realmente iniziare a selezionare chi opera in questi ambiti considerando, oltre alle capacità tecniche, il livello di “impermeabilità” a sollecitazioni esterne o delle condizioni di vita?
Dovremmo adottare un sistema generalizzato di controllo come quello che consente ad Apple di mantenere una sicurezza interna praticamente assoluta?
Possiamo ancora considerare che l’outsourcing (che si traduce spesso in sub-sub-sub appalti) sia una pratica accettabile nel mondo della sicurezza, invece di esercitare un controllo diretto ed esclusivo su chi viene a contatto con informazioni critiche per la sicurezza dello Stato? E se anche volessimo abbandonare questo modello, come faremmo ad operare nel mondo della sicurezza se piattaforme e sistemi dipendono da tecnologie che non controlliamo né giuridicamente né operativamente?
Fuori da ogni ipocrisia, il fantasma che aleggia ogni volta che si fanno questi discorsi e che nessuno vuole né evocare, né esorcizzare è quello dell’indipendenza tecnologica.
Come dimostra la normativa sul “perimetro cibernetico”, la sicurezza nazionale è definitivamente sfuggita di mano al controllo delle istituzioni e si è trasformata in un sistema duale, con soggetti privati (ed extracomunitari) che assumono un ruolo ben ulteriore rispetto a quello tradizionalmente interpretato dai defense contractor.
In questo contesto, dunque, è evidente che il “caso Leonardo” non è particolarmente scandaloso né incredibile, che non sarà certo l’ultimo, ma soprattutto che è impossibile evitare che si ripeta in qualche altro ambito altrettanto critico.
Possibly Related Posts:
- Il duello tra Usa e Cina sui processori va oltre l’autonomia tecnologica
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa
- La “privacy” uccide gli esseri umani per proteggere la persona
- L’India compie un passo importante verso l’indipendenza tecnologica. Cosa cambia
- Per proteggere le fonti giornalistiche è necessario giurisdizionalizzare la sicurezza nazionale?