135 milioni di dollari USA (circa 115 milioni di euro) sono una bella cifra anche per Merck, una delle maggiori aziende farmaceutiche mondiali, con fatturato di miliardi di dollari, stabilmente tra le prime cinque come volume di affari. Questa è la cifra che ha messo a bilancio, e che ha dovuto comunicare ai suoi azionisti, tra i costi non previsti che hanno diminuito il dividendo pagato nel terzo trimestre di questo anno fiscale 2017.
Il motivo? Il danno provocato da un “incidente informatico” che ha costretto a fermare alcuni impianti per la produzione di farmaci nelle ultime due settimane di giugno 2017, impedendo quindi di produrre, consegnare e fatturare tali farmaci a luglio, causando un danno di tale entità sul volume di affari globale per l’azienda, incidendo sul terzo trimestre.
E ci sono stati anche alcuni danni “collaterali” e aggiuntivi, come ad esempio essere costretti a intaccare alcune scorte di farmaci considerate strategiche a livello nazionale, oltre ai costi per ripristinare i sistemi e gli impianti di produzione, essere messi sotto osservazione da parte di FDA (l’agenzia federale statunitense per il controllo dei farmaci) e naturalmente danni a livello di immagine e reputazione aziendale.
Ma cosa è successo? Probabilmente vi ricordate dell’allarme lanciato su giornali e TV intorno a Pasqua 2017 quando diversi computer del servizio sanitario nazionale inglese erano rimasti bloccati impedendo ad alcuni ospedali di Londra e di altre città in Gran Bretagna di poter svolgere servizi essenziali come ricoveri e interventi nelle sale operatorie. Ebbene, la causa è stata la stessa: un attacco di “ransomware”, ovvero computer che vengono bloccati, con la richiesta di riscatto (in inglese “ransom”) da pagare in Bitcoin per poter essere utilizzati nuovamente.
All’improvviso ci ritroviamo increduli e disarmati: come è possibile che ospedali pubblici e grandi aziende multinazionali del farmaco (ma, come poi abbiamo saputo dai media, anche grandi aziende automobilistiche, multinazionali del vetro, compagnie per il trasporto navale internazionale, porti, stazioni, banche, comuni, aeroporti e altri ancora – anche in Italia – tra aziende di medie e piccole dimensioni) possano all’improvviso interrompere l’erogazione del servizio e la produzione di beni solo per il fatto che alcuni criminali abbiano deciso di colpire indiscriminatamente chiedendo un riscatto e mettendo in ginocchio queste attività?
Senza dimenticare che tra i danni collaterali si può contare anche l’incolumità di pazienti, passeggeri, operatori e persone che devono utilizzare tali servizi o che lavorano in questi contesti.
Si legge continuamente sulla stampa specializzata di “siti violati” e di “furto di credenziali”. L’anno scorso, durante la lunga campagna elettorale per le primarie e poi per la presidenza USA, l’accesso a email riservate tramite credenziali (ID e password) rubate o “comprate” ha permesso la divulgazione di notizie e informazioni che ne hanno compromesso l’esito per alcuni candidati e spinto voti verso altri. Sono stati poi indicati i presunti mandanti nei servizi segreti di altre nazioni che negheranno sempre il coinvolgimento, sempre che ci sia stato. Ma questa è politica. Poi, visto che tutto il mondo è paese, anche nella politica italiana sono stati indicati accessi non autorizzati ad account di siti poco protetti e credibili per casi recenti di divulgazione di notizie non autorizzate o addirittura di cosiddette #fakenews in rete. Ma anche questo, rispetto all’attendibilità di fonti e notizie in rete e credibilità dei personaggi coinvolti, è un altro discorso.
La protezione dell’identità e delle credenziali in rete è uno dei campi nei quali si sono concentrati più sforzi da parte di chi propone servizi sul web, come ad esempio siti di e-commerce, banche e altre organizzazioni, ove sia indispensabile tutelare clienti e utenti: oltre a monitorare costantemente gli accessi e verificare che non vi siano accessi non autorizzati, si è sempre alla ricerca di soluzioni per alzare ulteriormente il livello di sicurezza, e spesso la tecnologia può dare un importante contributo.
Per il controllo accessi da sempre si utilizzano due fattori (chi sono io, e una cosa che so solo io, la mia parola chiave). Per aggiungere sicurezza, in molti contesti, si è aggiunto anche un terzo fattore (una cosa che possiedo soltanto io e che posso dimostrare di avere con me nel momento in cui voglio accedere): la “chiavetta” che genera un ulteriore codice o anche il mio smartphone (che è mio, è identificato, è localizzabile e solo io ne posso avere accesso). A volte però gli sforzi da parte delle organizzazioni per cautelare noi clienti, utilizzatori del servizio, vengono proprio da noi vanificati nel momento in cui scriviamo la password sul post-it da lasciare attaccato al monitor del pc o condividiamo ID e password con amici e parenti, che poi a loro volta potrebbero lasciarli scritti su altri pc.
Oggi sono già milioni/miliardi gli oggetti connessi, tra di loro e in rete, alla Internet of Things (IoT): lampioni, semafori, frigo, automobili, treni, cabine elettriche, ascensori, televisori, telecamere, impianti termici, navi, aerei, apparecchi per Tac e risonanza, forni, contatori, parchimetri, distributori di bibite, giostre, biciclette, moto, trattori, stazioni di pompaggio, acquedotti, cellule telefoniche e così via.
Ovunque possiamo trovare dispositivi collegati in rete, anche senza che ci sia interazione con umani. Nel momento in qui questi oggetti hanno una interazione con le persone, possiamo infatti avere possibili effetti positivi o negativi.
Per meglio spiegarci ricordiamo che in italiano abbiamo concentrato nel termine “sicurezza” ciò che in inglese viene rappresentato da due parole differenti: “safety” e “security”. Quando parliamo di “safety”, abbiamo come riferimento l’incolumità della persona, delle cose e dell’ambiente. Quando parliamo di “security”, pensiamo alla protezione di beni e valori anche intangibili, e quindi anche di informazioni e dati.
Nell’Internet delle Cose questi due concetti devono essere tenuti presenti entrambi e costantemente: qualunque interazione con un oggetto connesso alla rete comporta la necessità di accedervi (quindi aspetti di security) e di poterne controllare il corretto funzionamento (aspetto legato alla safety).
Facciamo un esempio per semplificare: accedere a un sistema semaforico connesso in rete comporta riconoscere che chi ne ha accesso sia abilitato a controllarne il comportamento e quindi sappia quello che fa. In caso contrario potrebbe anche fare dei danni, provocando incidenti stradali all’incrocio. Lo stesso vale per molti altri oggetti connessi in rete: ad esempio è stato dimostrato che auto connesse in rete potevano essere comandate da remoto, provocando possibili incidenti e disagi. Questo ha portato al richiamo di milioni di “auto connesse” per correggerne le vulnerabilità e disabilitare quindi le possibili interferenze.
Vediamo che sono quindi necessarie competenze specifiche per progettare, creare e far nascere “oggetti intrinsecamente protetti” che possano essere connessi alla rete in modo “intrinsecamente sicuro” per chi li utilizza: pensiamo alle nuove generazioni di apparecchi elettromedicali personali e indossabili (ad esempio pace-maker, pompe per il rilascio di medicamenti o altri dispositivi) che possano essere monitorati da remoto permettendo la manutenzione e correzione di dosaggio e funzionamento. In questo caso c’è di mezzo la salute e probabilmente anche la vita dei pazienti.
Naturalmente potremmo arginare la tecnologia alla quale abbiamo accesso quotidianamente, ma questo avrebbe un prezzo, ci troveremmo a dover decidere se rinunciare a comodità alle quali siamo abituati e ad altre che sono da venire. Ad esempio, quasi tutti noi abbiamo in tasca uno smartphone e non lo baratteremmo con telefoni pubblici e cabine telefoniche (che non ci sono più) o con un vecchio Nokia 3310 di vent’anni fa.
Le nostre foto, oltre che sul dispositivo, sono in rete, come lo sono anche dati (riservati) di amici, clienti, fornitori, credenziali per accedere ai siti (inclusi probabilmente quelli della banca).
Lo smartphone, dotato di localizzazione, può segnalare dove siamo, spesso anche cosa stiamo facendo, se siamo raggiungibili, se stiamo telefonando, se stiamo leggendo e rispondendo alle email, se siamo in chat o stiamo digitando su un social network.
Lo smartphone non è solo un telefono, è un “computer indossabile” che teniamo sempre con noi, nella borsetta, in tasca o in mano, che viene da noi visto e trattato come un piccolo elettrodomestico portatile: probabilmente al suo interno abbiamo più informazioni riservate di quante ne siano contenute insieme contemporaneamente nel PC in ufficio e in quello a casa, che però scrupolosamente proteggiamo con antivirus, password e ogni altra cura possibile, come da tempo ci è stato insegnato a fare dagli esperti e dai colleghi dell’IT.
Oltre allo smartphone, probabilmente a casa abbiamo in sala davanti al divano una SmartTV (a proposito, avete letto l’avviso del costruttore che vi suggerisce di non avere conversazioni private, da considerare riservate, davanti alla webcam e al microfono della SmartTV?).
Forse abbiamo in casa anche un cronotermostato collegato al sistema di domotica che possiamo comandare da smartphone (che potrebbe rivelare se siamo in casa e che temperatura abbiamo impostato per il comfort della nostra famiglia, nei diversi locali).
Oppure stiamo valutando di acquistare un nuovo frigo, un forno a microonde, o una lavasciuga e che si possano connettere in rete, al cloud del costruttore, perché possa monitorarne il funzionamento, controllare l’efficienza, proporvi la manutenzione da fare; in cambio avrebbe la fotografia esatta dei nostri stili di vita e comportamenti di consumi.
Concordo con voi, sono tutte comodità che inevitabilmente comportano un prezzo da pagare in termini di sicurezza. Però, almeno, pensiamoci.