SICUREZZA DIGITALE

Cosa insegna il “caso Leonardo”

La sicurezza nazionale è sfuggita di mano al controllo delle istituzioni

Sulla vicenda della massiccia esfiltrazione abusiva di dati subita da Leonardo, sulla differenza fra la narrativa istituzionale della cybersecurity e la drammaticità della situazione italiana, sulla superfetazione normativa che sta ingessando la sicurezza nazionale si è già detto molto. C’è, tuttavia, un aspetto che non è stato approfondito adeguatamente: il rapporto meno che proporzionale fra il numero dei componenti di una struttura e la loro “fedeltà” alla struttura stessa. 

È abbastanza intuitivo capire che man mano che una struttura cresce e la sua organizzazione si verticalizza, passando da un governo di pari a una piramide gerarchica, l’ampliamento della base implica l’abbassamento della fedeltà alla struttura. Dunque, se ai vertici è (relativamente) più facile aspettarsi un commitment che va oltre la retribuzione e il prestigio, in una prospettiva fordista man mano che si scende verso posizioni più “operaistiche” il senso di appartenenza si attenua e prevale l’interesse puramente economico, per cui non conta “chi” sia il datore di lavoro o “quali” siano le mansioni, basta che lo stipendio sia adeguato e, soprattutto, arrivi puntuale.

Ovviamente questo non significa che tutti i manager sono illuminati dirigenti che hanno a cuore soltanto il bene dell’azienda (o dell’istituzione) e chi dipende da loro è un mercenario interessato esclusivamente a una difesa egoistica del posto di lavoro. La storia del movimento operaio in Italia e l’impegno a protezione delle fabbriche nei momenti più tesi delle relazioni politiche e industriali parlano da soli ed escludono una lettura così semplicistica degli eventi.

È vero, piuttosto, che sono proprio i livelli direttivi e dirigenziali più alti ad avere una minore “fedeltà” aziendale. Basta guardare i profili professionali su Linkedin per rendersi conto di quanto sia alta la mobilità di quadri e dirigenti. Una situazione lontana anni luce da quella che si viveva nella Olivetti dei tempi d’oro, quella che insegnava agli americani e della quale si era orgogliosi di far parte.

Cosa c’entra tutto questo con il “caso Leonardo” e con il settore della sicurezza informatica?

I comparti sicurezza e difesa hanno una caratteristica comune: non se ne può far parte soltanto perché —semplifico— c’è lavoro e si viene ben pagati (o perché si acquisiscono qualifiche e incarichi più o meno istituzionali). Ferma restando la competenza, è necessario avere, a qualsiasi livello, un fortissimo senso delle Istituzioni, che è l’unica barriera contro corruzione, spionaggio industriale e “intelligenza con il nemico”. Continuare a pensare che l’insider threat possa essere mitigata dal certificato del casellario e, magari, da qualche “discreto” accertamento o con i successori dei “fascicoli P” è abbastanza ingenuo e, alla prova dei fatti, insufficiente.

Le conclusioni di questo ragionamento sono facilmente intuibili, ma nello stesso tempo oggettivamente sgradevoli. 

Dovremmo realmente iniziare a selezionare chi opera in questi ambiti considerando, oltre alle capacità tecniche, il livello di “impermeabilità” a sollecitazioni esterne o delle condizioni di vita? 

Dovremmo adottare un sistema generalizzato di controllo come quello che consente ad Apple di mantenere una sicurezza interna praticamente assoluta?

Possiamo ancora considerare che l’outsourcing (che si traduce spesso in sub-sub-sub appalti) sia una pratica accettabile nel mondo della sicurezza, invece di esercitare un controllo diretto ed esclusivo su chi viene a contatto con informazioni critiche per la sicurezza dello Stato? E se anche volessimo abbandonare questo modello, come faremmo ad operare nel mondo della sicurezza se piattaforme e sistemi dipendono da tecnologie che non controlliamo né giuridicamente né operativamente?

Fuori da ogni ipocrisia, il fantasma che aleggia ogni volta che si fanno questi discorsi e che nessuno vuole né evocare, né esorcizzare è quello dell’indipendenza tecnologica. 

Come dimostra la normativa sul “perimetro cibernetico”, la sicurezza nazionale è definitivamente sfuggita di mano al controllo delle istituzioni e si è trasformata in un sistema duale, con soggetti privati (ed extracomunitari) che assumono un ruolo ben ulteriore rispetto a quello tradizionalmente interpretato dai defense contractor

In questo contesto, dunque, è evidente che il “caso Leonardo” non è particolarmente scandaloso né incredibile, che non sarà certo l’ultimo, ma soprattutto che è impossibile evitare che si ripeta in qualche altro ambito altrettanto critico. 

Back to top button