Telecamere e sicurezza: "Servono, ma attenzione a chi ci spia"

La cybersecurity si è guadagnata da tempo un posto di rilievo nel dibattito politico (e non solo). Pensiamo alle tensioni tra gli Stati Uniti e la Cina inerenti alle reti 5G o al caso TikTok. Un tema caldo sono le migliaia di telecamere piazzate nei palazzi strategici del paese, in siti sensibili come gli aeroporti di Malpensa e Fiumicino, nei tribunali, e la possibilità di essere potenzialmente schedati da paesi stranieri messa in luce dalla recente inchiesta di Report. Affaritaliani.it ne ha parlato con l'hacker etico Gianluca Boccacci, presidente di “Cyber Actors”, che proprio per sensibilizzare sul tema della sicurezza informatica, che è prima di tutto – ci spiega Boccacci - un problema culturale, ha in programma “Cyber Act Forum”, 10 ore di talk con ospiti di fama nazionale e internazionale, autorità ed esperti del settore.

Si tratta di un tema di sicurezza che riguarda tutti…

Noi hacker etici sicuramente a volte siamo visti come Cassandre, dei portatori di sfiga, ma “facciamo attenzione” lo dicevamo già in tempi non sospetti. Anche i prodotti commerciali costosissimi che hanno dei team adibiti alla sicurezza non sono mai sicurissimi, figuriamoci quelli da quattro soldi. In più tutta questa serie di dispositivi di cui Report parla, ironicamente, potremmo dire che hanno già il trojan di fabbrica, incluso nel prezzo. E quindi il rischio che siano sotto controllo da parte di altre nazioni è altissimo. Fortunatamente adesso è stato approvato il perimetro nazionale cibernetico, che sarà molto elaborato. Sebbene siamo parecchio in ritardo è encomiabile che ci stiamo lavorando

I controlli biometrici per il monitoraggio del Covid ad esempio… fanno stare tranquilli?

Io personalmente posso dire che mi pongo a metà, al di là che chi fa il mio lavoro è un paranoico totale. Non ci si può fidare delle tecnologie a cuor leggero. E’ un processo ancora in essere quello di richiedere che questi dispositivi, prima di essere utilizzati, siano stati sottoposti a un audit che dimostri che siano privi delle vulnerabilità più banali, di quelle intenzionali come il trojan e di quelle non intenzionali. Il problema della raccolta dei dati è di fondamentale importanza. La normativa europea in realtà non è informativa della privacy sul sito o le telecamere, ma interessa la “sicurezza by design”, ossia la sicurezza dei dispositivi nel momento in cui vengono creati. Non possiamo fidarci di comprare un prodotto, metterci un microfono in casa praticamente, senza determinati canoni di sicurezza che quanto meno rendano minimi i rischi. Quindi i dispositivi cinesi che non hanno subito un audit sono enormemente pericolosi

C’è chi sostiene che le telecamere aumenteranno ancora...

Aumentare, nel senso di più sicurezza, va bene. Il problema è che la sicurezza non può essere lasciata a se stessa. Ben venga che ci siano associazioni a difesa della privacy delle persone ma anche più dispositivi di sicurezza, ma le due cose devono andare di pari passo. Che aumenteranno sono convinto anche io, perché il mondo non sta andando in una bella direzione. Ora, io sono sicuramente un fautore delle tecnologie, ma credo che non si debba cedere al fascino dell’ultimo modello di telefono senza che gli Stati obblighino i produttori a rispettare degli standard di sicurezza elevati. Negli ultimi dieci anni di cybersecurity si parla molto più rispetto a prima. Il mondo con l’internet diventa sempre più universale e questo ha reso necessarie delle normative che tutelino gli asset nazionali, le strutture elettriche o idriche, ma anche le persone.

Lancio una provocazione. Io per i casi in cui i dispositivi non rispettassero delle regole precise e avessero delle vulnerabilità gravi, tali da mettere a repentaglio la vita delle persone, introdurrei delle penali che dovrebbe pagare chi ha progettato quei dispositivi. Anche se credo sia qualcosa che al momento resta lontano da una realizzazione concreta

Tra le risposte fornite a Report da aziende e istituzioni, il ministero della Giustizia, in particolare, ha dichiarato che non ha "proposto alcun bando né ha selezionato i prodotti installati” e di aver aderito alla convenzione della Consip Spa “sistemi di videosorveglianza e servizi connessi”. Specificando che le telecamere installate sono a circuito chiuso, e tra gli altri punti, che l’indirizzamento di rete dei dispositivi installati avviene su rete “privata”, separata a livello fisico e logico da qualsiasi altra rete eventualmente presente nell’edificio.

Così prevede la normativa attuale ed è giusto che asset così importanti non siano connessi a internet. Diciamo che non significa che non siano vulnerabili dall’interno. Le telecamere immagino siano collegate a dei computer. Spostiamo il problema sulla rete privata e non più sulle telecamere in sé e per sé. Inoltre le telecamere molte volte vengono installate da elettricisti che, non essendo tecnici, commettono a loro insaputa degli errori, come lasciare le password di default. 

Per concludere, ti occupi di ethical hacking. Ci spieghi che cosa fa un hacker etico e in quali ambiti operi?

In gergo la chiamiamo “sicurezza offensiva”. Vengo pagato dalle aziende per testare le loro vulnerabilità, per vedere se riesco a bucare le loro difese, ma in senso etico cioè a fin di bene. Se lo faccio io, anticipando un eventuale criminale, le aziende hanno così tutto il tempo per modificare le falle nella sicurezza. Ovviamente se non avessi un’autorizzazione e una manleva commetterei un reato, un abuso di un sistema informatico.