Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Human security e cyber-insecurity, Tesine universitarie di Informatica Giuridica

Approccio human-centred applicato alla cyber security

Tipologia: Tesine universitarie

2019/2020

Caricato il 01/09/2021

luigi-negri
luigi-negri 🇮🇹

3 documenti

1 / 21

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
La human security e la cyber-insecurity.
Luigi Maria Negri
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15

Anteprima parziale del testo

Scarica Human security e cyber-insecurity e più Tesine universitarie in PDF di Informatica Giuridica solo su Docsity!

La human security e la cyber-insecurity.

Luigi Maria Negri

INDICE: 1. Introduzione al concetto di human security. – 2. Cyber-insecurity. – 3. Cybersecurity come human security. – 4. Considerazioni conclusive. – 5. Fonti.

Sarebbe infatti impensabile poter parlare di sicurezza umana durante un conflitto tra Stati in cui necessariamente a causa della contingente situazione è spesso inevitabile comprimere i diritti degli individui; nonostante ciò, è necessario invertire la prospettiva e partire dall’individuo e dai suoi diritti inviolabili per sviluppare adeguate policy che permettano il pieno sviluppo della persona umana in piena sicurezza. Con l’adozione il 10 settembre 2012 da parte dell’Assemblea Generale dell’Organizzazione delle Nazioni Unite della risoluzione 66/290 viene fatto un significativo passo in avanti per l’applicazione della human security; al paragrafo 3 della risoluzione viene specificato che la human security costituisce un approccio per assistere gli Stati membri nell’identificare e affrontare le diffuse e trasversali sfide alla sopravvivenza, al sostentamento e alla dignità delle persone^1. Nel documento, dopo aver specificato che la human security non sostituisce, ma si affianca alla più tradizionale sicurezza nazionale, viene ribadito che la human security consiste in un approccio human-centred ; gli Stati membri mantengono il ruolo primario e la responsabilità ultima della sicurezza dei propri cittadini, mentre alla comunità internazionale spetta il compito di fornire il necessario supporto ai governi per rafforzare la riposta alle minacce. Il concetto di human security che emerge dal documento sopra richiamato permette di affrontare in maniera inedita e più efficace problemi vecchi e nuovi che minacciano gli individui. La human security non costituisce un concetto antitetico o divergente nell’ambito della sicurezza, non costituisce un radicale cambio di rotta, ma un semplice aggiustamento del tiro, un necessario completamento, per poter meglio garantire il pieno sviluppo della persona umana e l’intangibilità dei suoi diritti fondamentali. (^1) “Human security is an approach to assist Member States in identifying and addressing widespread and cross-cutting challenges to the survival, livelihood and dignity of their people.”

2. La Cyber-insecurity. Nel 2021 gli utenti di internet ammontano a 4,6 miliardi 2 , costituendo il 59,5% della popolazione mondiale, basti pensare che il numero è più che raddoppiato in soli 10 anni; questo accade perché il processo di informatizzazione della popolazione aumenta in modo inesorabile e in maniera molto più veloce nei paesi in via di sviluppo. Lo strumento informatico viene oramai utilizzato per svolgere una grandissima quantità di diversi compiti, permettendo la riduzione dei tempi e costi. La sempre maggiore diffusione di dispositivi IoT (Internet of Things) ci ha semplificato notevolmente la vita, assistendoci in ogni attività quotidiana. Sui nostri dispositivi conserviamo i più svariati generi di informazioni: i file relativi al nostro lavoro, documenti vari, fotografie delle nostre vacanze… ecc. L’intera nostra vita è all’interno dei nostri dispositivi digitali, perciò i nostri dati hanno valore. In qualche caso si tratterà di valore economico, in altri di valore semplicemente affettivo, ma il fatto che abbiano un valore ci rende vulnerabili. I criminali informatici sfruttano proprio questa vulnerabilità per appropriarsi o semplicemente a bloccare i nostri dati per costringersi persino a pagare un riscatto per riaverli, soprattutto nel caso in cui questi dati siano particolarmente importanti per il nostro lavoro oppure riguardino la sfera intima del soggetto coinvolto, la cui diffusione provocherebbe un danno reputazionale. La struttura su cui si basa internet può essere suddivisa in tre livelli: - Livello fisico - Livello logico - Livello sociale Ciascuno livello porta con sé delle vulnerabilità che sono sistematicamente presenti data l’estrema complessità che ha oramai raggiunto la rete e ciò espone gli utenti a svariati pericoli. Accade poi un fenomeno sotto gli occhi di tutti, queste “fragilità” hanno un valore immenso per i criminali informatici che sono sempre alla ricerca di queste vulnerabilità per sfruttarle a scopo di lucro e gareggiano ogni giorno con aziende e software house che invece cercano di risolverle. (^2) https://wearesocial.com/it/blog/2021/01/digital- 2021 - i-dati-globali

che si rivelerà pregiudizievole per lo stesso; il quale molto spesso adempie alla richiesta spinto dalla paura di subire un pregiudizio, come nel caso in cui nella email di phishing sia contenuta la comunicazione della propria banca che invita il soggetto a confermare il prima possibile le proprie credenziali di accesso, pena il congelamento del conto corrente. Per questo motivo è oramai diventato vitale e necessario imparare a riconoscere una comunicazione di phishing al fine di evitare ingenti perdite economiche. Benché il phishing venga principalmente posto in essere attraverso comunicazioni via e-mail e sms, vi sono stati casi piuttosto anomali. In Giappone, per esempio, vi fu un caso in cui dei criminali consegnarono a domicilio ad alcuni clienti di una banca, i cui dati erano stati precedentemente sottratti dalla stessa, un CD infetto contenente uno spyware trojan, ossia un malware che una volta inoculato nel dispositivo della vittima (in questo caso attraverso l’inserimento del CD all’interno del pc) spia tutti le attività compiute sul dispositivo infetto e le comunica al criminale informatico, rendendo possibile ottenere una vasta quantità di informazioni, come le credenziali di accesso a vari siti web, per poter successivamente porre in essere la truffa vera e propria. Questo tipo di attacchi vengono spesso sviluppati attraverso un software opensource, disponibile sui sistemi operativi Linux chiamato Sectoolkit (o Social Engereening toolkit), un software opensource sviluppato principalmente per i penetration tester^4 e disponibile di default sulle principali distro Linux dedicate alla sicurezza informatica quali Kali Linux e Parrot OS Security. Tramite questo software è possibile confezionare e-mail di phishing, creare link malevoli, allegare malware ecc. Nel 202 1 gli attacchi basati sul social engeneering hanno costituito il 1 5 % del totale degli attacchi informatici. (^4) Si tratta di professionisti esperti in cybersecurity e hacking che vengono assunti dalle aziende per mettere alla prova i propri sistemi di protezione della rete; un pen-tester si comporta esattamente come si comporterebbe un criminale informato, con la differenza di avere espressa autorizzazione ad accedere ai sistemi informatici; identificate le vulnerabilità, stende un report e lo sottopone ai responsabili IT per correggere le vulnerabilità.

Che si tratti di malware, phishing o cracking degli account un soggetto in rete è esposto ad una serie di manacce che principalmente mirano a provare una perdita economica nel soggetto colpito e un arricchimento nel criminale informatico; se pensiamo ai possibili esiti di un attacco informatico, una perdita economica è più accettabile in confronto al possibile scenario della perdita di reputazione o la diffusione in rete di dati sensibili sottratti dal dispositivo della vittima. Con l’aumentare del numero di dispostivi collegati alla rete aumentano anche il numero di vulnerabilità sfruttabili dai criminali informatici. Come mostra il grafico tratto dal rapporto CLUSIT del 2021 sulla Sicurezza ICT in Italia, il numero di attacchi informatici nel 2020 è stato superiore del 29% rispetto alla media del triennio precedente; incremento dovuto soprattutto alla pandemia in corso che ha portato ad una rapida implementazione dello smart-working e della didattica a distanza; il generale diffondersi di spavento e inquietudine dovuto alla pandemia ha infatti sensibilmente aumentato phishing e truffe informatiche sulla tematica Covid-19. Panoramica dei cyber attacchi più significativi del 2020 e tendenze per il 2021 © (^) Clusit 2021 27 42% 20% 15% 10% 5% 5% 2% 1% Malware Unknown Phishing / Social Engineering Vulnerabilities Multiple Threats / APT Account Cracking DDoS 0-day © Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia Tipologia e distribuzione delle tecniche di attacco (2020) © Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia % Attacchi per tecniche di attacco (2017 - 2020) IIn sostanza si conferma anche nel 2020 una tendenza inequivocabile e molto pericolosa: gli attaccanti possono fare affidamento sull’efficacia del Malware “semplice”, prodotto in- dustrialmente a costi decrescenti in infinite varianti, su Vulnerabilità note e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi. Questo dato è evidenziato dalla polarizzazione delle tecniche d’attacco, tale per cui ormai le prime 4 categorie (su un totale di 10) rappresentano l’ 87% del cam- pione.

In un mondo così informatizzato è necessario sviluppare sistemi e policy idonee a prevenire queste minacce, che una volta verificatesi risulta davvero complicato affrontare e quasi impossibile, nella maggior parte dei casi, ripristinare la situazione antecedente, soprattutto in caso di sottrazione e diffusione abusiva di dati; questo approccio dedicato alla prevenzione costituisce uno dei punti fondamentali della human security: non è sufficiente riparare i danni causati, ma è necessario affrontare direttamente il problema della sicurezza informatica per evitare o comunque ridurre la probabilità del verificarsi di questi danni.

3. La cybersecurity come human security. Fermandoci a riflettere sulle minacce che provengono dal cyberspazio ci rendiamo presto conto che sono facilmente identificabile tutti e quattro gli elementi fondamentali che costituiscono i tratti caratterizzanti della human security, elementi individuati e messi in luce dal “Human Development Report” dal 1994: 1. La human security è di interesse universale: L’estensione oramai globale del cyberspazio e la massiva digitalizzazione del reale che ha interessato gli ultimi due decenni ha avuto un’estensione globale e le minacce che il cyberspazio porta con sé sono le stesse in ogni parte del mondo, ossia minacce comuni ad ogni individuo nel momento in cui decide di connettersi alla rete (sempre che sia ancora possibile decidere di non farlo); le minacce provenienti dal cyberspazio hanno rilevanza universale e non sono dirette esclusivamente agli stati in quella che è chiamata cyberwarfare, ma anche ai singoli individui. 2. I componenti della human security sono interdipendenti: all’interno del cyberspazio i confini statuali si perdono e si trascendono, l’universalità del cyberspazio rende assai difficile tracciare i confini tra i vari stati; la rete permette ai criminali informatici di veicolare attacchi in tutto il pianeta, basti ricordare alcuni famosi casi di attacchi informatici perpetrati attraverso l’uso di malware come Wannacry che si è rapidamente diffuso in modo capillare a livello globale, proprio come le più tradizionali pandemie, arrivando a infettare oltre duecentomila dispositivi in centocinquanta paesi diversi. L’estensione del cyberspazio e la continua interconnessione dei dispositivi e l’estensione ultranazionale delle minacce informatiche, impedisce di poter trattare il fenomeno solamente a livello statuale, rendendo necessaria una collaborazione internazionale tra gli stati. L’esempio di Wannacry ci ha permesso di comprendere appieno come la cybersecurity e soprattutto la prevenzione dalle minacce proveniente del cyberspazio qualunque esse siano, sia di vitale importanza in una società altamente digitalizzata come quella in cui viviamo, dove i singoli, le imprese e la pubblica amministrazione dipendono dall’uso di dispositivi informatici.

da singoli individui; è necessario creare un ambiente sicuro privo di minacce che possano incidere in negativo sullo sviluppo della persona e della sua personalità all’interno della rete, poiché oggi l’identità personale è l’inscindibile comunione fra la nostra parte materiale “analogica” ed il nostro essere ed essere percepito “digitale” che ha nella rete il proprio terreno di sviluppo. L’esigenza di protezione dell’individuo dalle minacce informatiche di cui pullula il cyberspazio è oramai imprescindibile per il pieno sviluppo della persona umana nel rispetto della sua dignità e dei suoi diritti inviolabili. L’identità personale si forma ed afferma sempre più, come l’esercizio di diritti in maniera sempre più consistente all’interno del cyberspazio. Alla luce di ciò, nel 2007 sul palco della RSA Security Conference di San Francisco, il presidente della Microsoft, Brad Smith, si è fatto portavoce della necessità di una Digital Geneve Convention^7 , cioè della necessità di porre in essere una serie di accordi internazionali per proteggere e garantire i diritti civili degli individui all’interno del cyberspazio dagli attacchi provenienti o comunque sponsorizzati da Stati esteri. Secondo Brad Smith, l’emersione di nuovi attacchi informatici di amplissima portata che non solo colpiscono direttamente le infrastrutture strategiche di un paese con indiretta incidenza nella vita dei cittadini, ma arrivano persino a colpire i dati sensibili e i dispositivi dei privati cittadini, come nel caso di WannaCry, rende necessario che si intervenga a livello internazionale per introdurre una regolamentazione di questo nuovo tipo di guerra, la cyberwar: proprio come avvenne con la creazione del Diritto di Ginevra, la serie di trattati internazionali che si occupa di garantire la sicurezza, l’incolumità e i diritti dei civili e non combattenti in tempo di guerra. L’incremento di attacchi che possono essere etichettati con il termine di cyberwar sono incrementati esponenzialmente negli ultimi anni, a causa delle caratteristiche peculiari che rendono questo tipo di attacchi più “silenziosi” rispetto alle tradizionali operazioni di guerra; tra le caratteriste che rendono questi attacchi così popolari sta il fatto che, oltre ad essere più economici, possono essere posti in essere da qualunque parte del globo, inoltre è estremamente difficile imputare questi attacchi ad uno Stato; l’utilizzo (^7) https://www.unhcr.org/innovation/digital-geneva-convention-mean-future-humanitarian-action/

di varie tecniche elusive che permetto di mascherare l’artefice o semplicemente il mandate di questi attacchi ha creato un serio problema di deresponsabilizzazione; in assenza di prove certe, è davvero complesso e rischioso per la comunità internazionale, imputare questi attacchi ad uno Stato, il che li ha resi estremamente popolari e per anni ha permesso ad alcuni Stati di agire indisturbati sotto la coltre di protezione offerta del cyberspazio; basti pensare agli attacchi di tipo DDoS (Distributed Denial of Service) che nel 2007 hanno colpito l’Estonia, considerato il primo esempio di cyber aggressione organizzata contro una nazione in seguito ribattezzata Web War One , sottolineando il chiaro parallelismo con la guerre mondiali. Nonostante non sia possibile per la comunità internazionale imputare direttamente alla Federazione Russa questo attacco portato a termine nei confronti di uno dei paese più all’avanguardia del punto di vista delle tecnologie informatiche, data l’assenza di prove certe, non fu possibile risalire all’esecutore materiale dell’attacco a causa dell’utilizzo di indirizzi IP che mascheravano la reale provenienza di questi attacchi, è tuttavia certo che il Cremlino sia quantomeno il mandante se non anche l’autore materiale di questi attacchi a causa delle continue tensioni tra i due paesi e il particolare tempismo dell’attacco che seguì pochi giorni dopo la rimozione di una statua nella capitale estone di Tallin che simboleggiava la vecchia appartenenza del paese all’Unione Sovietica. È giunto il momento di arrivare ad una regolamentazione internazionale, una sorta di patto di non belligeranza, che ponga una normativa cogente e ponga fine a questa deresponsabilizzazione degli Stati. Le problematiche connesse con questa regolamentazione sono innanzitutto quelle legate alla identificazione e delineazione dei territori all’interno del cyberspazio, l’individuazione di chi all’interno di questo nuovo territorio compie o supporta azioni di tipo umanitario (spesso sono le stesse big tech a compierle) e l’identificazione di chi possa essere definito civile o non-combattente all’interno del cyberspazio. È necessario agire subito per ridefinire normativamente questa nuova guerra invisibile. Anche dall’industria digitale, conscia dell’enorme responsabilità sociale e della maggiore incidenza sul mondo digitale e sempre in prima nella gestione e reazione agli attacchi informatici, sono emerse istanze per garantire una maggiore sicurezza e stabilità del cyberspazio. Nell’aprile del 20 18, 34 aziende tra le più importanti nel

Deve essere ricordato che un primo punto di questa svolta è avvenuto con l’introduzione nel 2016 del regolamento numero 679 denominato General Data Protection Regulation (GDPR), entrato in vigore dopo due anni di transizione, il 25 maggio 2018. Sebbene sia spesso associato al termine privacy, infatti le disposizioni del GDPR hanno inciso ed integrato le disposizioni del nostro vecchio codice privacy (D.lgs. N. 196/2003), questa visione è molto riduttiva e sarebbe meglio sottolineare come il GDPR si occupi più che di semplice privacy, di data protection , la protezione dei dati. In particolare introduce una normativa in merito al trattamento dai dati personali che deve essere effettuato dal titolare del trattamento senza pregiudizi per l’interessato; non vengono imposte specifiche misure tecniche per la protezione dei dati, come avveniva in passato, ma attraverso il principio dell’accountability spetta alla discrezionalità titolare del trattamento stabilire quali siano nel caso concreto le misure idonee, in aggiunta l’art 32 del GDPR riporta un elenco non esaustivo di misure di sicurezza da adottare. Nello stesso anno di introduzione del GDPR è stata anche emanata la Direttiva UE 2016/1148^9 “recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione”, successivamente recepita nel nostro ordinamento con il decreto legislativo del 18 Maggio 2018 numero 65 (cd. “Decreto legislativo NIS”) e in vigore dal 24 giugno 2018. Con la Direttiva NIS, l’Unione Europea si è fatta portavoce della necessità di innalzare quanto più possibile il livello di sicurezza della rete, dei sistemi informatici e di creare un livello uniforme tra gli stati membri, conscia oramai dell’importanza che la rete ha assunto nella vita dello Stato e dei cittadini e della necessità di prevenire attacchi che possano paralizzare i servizi essenziali (OSE) che sono espressamente previsti dalla direttiva; è stata prevista la necessità di una maggiore collaborazione degli stati membri per la prevenzione delle minacce informatiche che sempre più di frequente colpiscono i paesi membri e rischiano di mettere fuori uso i servizi essenziali che svolgono imprescindibili compiti nella società moderna. Trattandosi di direttiva, viene lasciato agli stati membri spazio di manovra, tra cui la (^9) DIRETTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.

possibilità di estendere l’ambito di applicazione della stessa anche a servizi e settori non espressamente menzionati; nel caso dell’Italia, nel decreto di attuazione non viene esteso l’ambito di applicazione. È stata recentemente prospettata la necessità di un aggiornamento di tale direttiva che verrà in futuro sostituita dalla nuova direttiva NIS

Più recentemente è stato approvato il Regolamento Europeo n. 2019/881 denominato Cybersecurity Act (CSA) con cui viene introdotto un innovativo sistema europeo di certificazione della sicurezza informatica dei dispositivi connessi ad internet e di altri prodotti e servizi digitali. Questo dovrebbe permettere all’utente finale una maggior semplicità nella scelta tra servizi simili e una maggior tranquillità in merito alla sicurezza del servizio. A livello statuale, numero sono stati i provvedimenti posti in essere dal Governo e dal Parlamento per innalzare il livello di sicurezza del cyberspazio; oltre al GDPR che è direttamente applicabile e attraverso il Decreto legislativo 10 agosto 2018, n. 101 con cui viene armonizzata la disciplina contenuta nel Codice Privacy (D.lgs. n. 196/2 003 ) e al decreto di attuazione della direttiva NIS, in Italia il decreto legge del 21 Settembre 2019, n. 105 ha dato avvio alla creazione del “Perimetro di Sicurezza Nazionale Cibernetica”. All’Art. 1 del citato decreto viene previsto che: “ Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”. Con il DPCM 30 Luglio 2020, n. 131 identifica i criteri con cui individuare i soggetti pubblici e privati che ricadono nell’ambito di applicazione del decreto.

Garantire un livello minimo di sicurezza nella rete è necessario per permettere ai singoli di sviluppare la propria personalità all’interno della società moderna, orami refrattaria a sterili distinzioni tra il mondo reale e digitale. Ciò che è digitale è reale. Nonostante i numerosi sforzi della comunità internazionale, dell’Unione Europea e del nostro Stato i provvedimenti presi restano ancora troppo legati al tradizionale concetto di sicurezza nazionale, è pertanto necessario e utile partire del concetto di Human security per elaborare norme e policy che partano non dallo Stato, ma dal singolo e lo proteggano dalle minacce del web.

5. Fonti. Assemblea Generale delle Nazione Unite, Risoluzione 66/290, 10 settembre 2012. Associazione Italiana per la Sicurezza Informatica, 2021. Rapporto Clusit 2021 sulla sicurezza ICT in Italia. Berto, L., 2018. Il Digital Single Market: di cosa si tratta e a che punto siamo. [online] Ius in itinere. Available at: https://www.iusinitinere.it/il-digital-single-market-di-cosa- si-tratta-e-che-punto-siamo- 10703 Cybersecurity Tech Accord. 2021. Cybersecurity Tech Accord. [online] Available at: https://cybertechaccord.org Elearning.unipd.it. 2021. PRIVACY E TRASPARENZA: Misure tecniche e organizzative. [online] Available at: https://elearning.unipd.it/infodiritto/mod/book/view.php?id=728&chapterid= Giacomello, G., Coker, C., Spagnolo, A., Dal Pino, P. and Panzieri, G., 2018. Human Security, [online] (7). Available at: https://www.twai.it/journals/human-security/ Guay, J. and Rudnick, L., 2017. What the Digital Geneva Convention means for the future of humanitarian action - UNHCR Innovation. [online] UNHCR Innovation. Available at: https://www.unhcr.org/innovation/digital-geneva-convention-mean- future-humanitarian-action/ Lo Prete, D., 2020. Perimetro di sicurezza nazionale cibernetica: regole e criteri di attuazione - Cyber Security 360. [online] Cyber Security 360. Available at: https://www.cybersecurity360.it/cybersecurity-nazionale/perimetro-di-sicurezza- nazionale-cibernetica-regole-e-criteri-di-attuazione/