La scelta dei tecnici rivela una contraddizione: vietare l’AI mentre si continua a usare servizi cloud simili che indeboliscono ugualmente l’operational security di Andrea Monti – Inizialmente pubblicato su Italian Tech – La Repubblica
Le sempiterne preoccupazioni per le “minacce alla privacy e alla (cyber)security” , riferisce Politico.eu, avrebbero indotto i tecnici del Parlamento Europeo a disabilitare da remoto le funzionalità basate su intelligenza artificiale degli strumenti in uso a parlamentari e collaboratori. Nello specifico, la decisione sarebbe stata assunta per via dell’incerta quantità e qualità di informazioni che sarebbero inviate alle piattaforme cloud che gestiscono i servizi.
Una scelta più simbolica che efficace
Che la misura serva a poco lo sanno gli stessi tecnici del Parlamento Europeo, visto che invitano i destinatari della “misura di sicurezza preventiva” a non usare queste funzionalità sui propri strumenti personali, e dunque non controllati centralmente.
Il messaggio è chiaro, evitate di vanificare il nostro intervento, facendo circolare le informazioni al di fuori del nostro controllo. Ma è altrettanto chiaro che questa speranza sia soltanto una pia illusione. I vantaggi derivanti dall’uso di strumenti che alleviano la fatica di pensare e di capire argomenti complessi sono talmente tanti da rendere altamente improbabile che, di colpo, i parlamentari europei smetteranno di servirsene “per garantire la sicurezza”.
La contraddizione: intatti gli altri servizi cloud
E già che parliamo di sicurezza, è abbastanza incomprensibile il perché gli stessi tecnici del Parlamento Europeo hanno lasciato attivi i servizi di gestione documentale, della posta elettronica e dei calendari che pure funzionano in cloud e sono controllati da società extracomunitarie (o di proprietà di società extracomunitarie), ma soprattutto —appunto— perché hanno lasciato attivi gli strumenti di controllo centralizzato analoghi a quelli che in Italia sono stati frettolosamente denunciati come potenziali mezzi di spionaggio dei magistrati.
La perdita del controllo e l’aumento del rischio
A tutto questo aggiungiamo un’altra considerazione: fino a quando gli strumenti usati dai parlamentari erano quelli controllati centralmente, era possibile quantomeno temporaneamente intensificare le verifiche e quindi prevenire potenziali criticità. Se, invece, parlamentari e collaboratori usano strumenti “fuori perimetro” viene meno anche questa minima possibilità di intervento.
La morale, anzi, le morali di questa vicenda sono almeno tre.
Alla ricerca della sovranità digitale perduta
La prima riguarda la (mai raggiunta e probabilmente irraggiungibile) “sovranità digitale”. Fino a quando saranno utilizzate tecnologie extracomunitarie il prezzo da pagare è chiaro: chi le controlla, controlla nel proprio esclusivo interesse l’uso che ne fanno gli utenti, parlamenti ed esecutivi compresi.
La sicurezza non è formazione, ma un’attitudine da coltivare e praticare
La seconda evidenzia l’assenza di una reale sensibilizzazione di chi opera in ambiti dove circolano informazioni confidenziali o comunque dal contenuto critico.
Non risulta che a parlamentari e collaboratori siano forniti almeno i fondamenti di op-sec, operational security, necessari ad evitare la diffusione di informazioni da proteggere. Ma se anche questo fosse stato fatto, a quanto pare i risultati non sono particolarmente lusinghieri se è stato necessario adottare una misura tanto drastica quanto inefficace come quella di cui stiamo parlando.
Non basta avere partecipato a qualche corso di formazione, magari a distanza, dove l’esperto di turno ripete come un disco rotto discorsi vecchi di quarant’anni (la sicurezza è un processo e non un prodotto, l’utente è l’anello più vulnerabile della catena, la formazione è la base della sicurezza). Ciò che serve, piuttosto, è la pratica continua e lo sviluppo di un’attitudine al comportarsi in modo da non creare rischi.
Per capirlo basta rilevare il fatto che vedere un video didattico, per esempio, per l’apprendimento di una lingua o di qualsiasi altra capacità non implica, di per sé, essere in grado di usare quelle nozioni. Questo vale a maggior ragione per la sicurezza, che non si può praticare a tempo determinato o solo quando ci si ricorda che esiste.
L’inevitabilità del controllo centralizzato come snodo cruciale
La terza morale pone ancora una volta il tema della inevitabilità del controllo centralizzato nella gestione di un’infrastruttura tecnologica complessa.
Da un lato, dovremmo essere consapevoli che, oggi, non ci sono alternative al fatto che la sicurezza di un sistema informativo passa per l’analisi continua, diffusa e puntuale di tutto quello che transita per una rete.
Dall’altro, dovremmo chiederci chi abbia, realmente, il “controllo sul controllo” e ammettere che non abbiamo ancora dato una risposta alla domanda che Giovenale poneva nelle sue satire, qualche secolo fa: quis custodiet ipsos custodies?
Possibly Related Posts:
- La tutela dei minori come nuovo confine industriale dei servizi digitali
- Difendersi sempre, controllare tutto: il prezzo invisibile della sicurezza digitale
- Telefonia, quando il mercato delle reti smette di fare sconti
- Un chip analogico cinese punta a portare l’algebra lineare dell’AI fuori dai limiti del digitale
- La Danimarca ha cambiato radicalmente idea sulla scuola digitale