Hanno in mano grandi quantità di dati privati, comunicazioni interne molto sensibili e gestiscono molto potere. Ma non sembrano prendere sul serio la cybersecurity. Che fare?
All'inizio del 2019, l'Agenzia dell'Unione europea per la cybersecurity (ENISA) ha pubblicato una serie di raccomandazioni per la sicurezza informatica in tempo di elezioni a livello dell'UE . Tre i principali aspetti toccati: disinformazione online, minacce all'infrastruttura digitale utilizzata per gestire il processo di voto e preoccupazioni sulla cybersecurity di organizzazioni e persone che fanno politica.
C'è un ampio dibattito in corso sui pericoli della disinformazione online e i possibili approcci per affrontare questo problema. È un problema enorme senza una facile soluzione, ma ad oggi la questione è parte integrante dell'agenda pubblica.
Garantire la funzionalità e sicurezza dell'infrastruttura digitale necessaria per gestire le elezioni non è certamente un compito facile, ma le autorità statali hanno pieno controllo e responsabilità di tutte le fasi del processo. Si tratta principalmente di una questione tecnica e gestionale che deve essere affrontata attraverso procedure e buone prassi consolidate: l'UE ha pubblicato un Compendio sulla sicurezza informatica dell'infrastruttura tecnologia utilizzata per le elezioni che costituisce un utile punto di riferimento; IDEA ha pubblicato un rapporto che sottolinea l'importanza della cooperazione tra dipartimenti in questo contesto. Date le persistenti preoccupazioni , è improbabile che il voto elettronico sostituisca le schede elettorali nel prossimo futuro; al contrario, gli stessi paesi che hanno introdotto il voto senza carta negli anni 2000 hanno successivamente abbandonato tali iniziative . In breve, c'è ancora del lavoro da fare, ma esiste un consenso diffuso su come affrontare i problemi di cybersecurity in questo contesto.
Un po' sorprendentemente, tuttavia, e nonostante gli episodi di hacking di alto profilo, la sicurezza informatica di organizzazioni e persone che fanno politica non è ancora oggetto di dibattito. Anche quando vi sono casi di hackeraggio, raramente si toccano questioni di policy: quali politiche potrebbero o dovrebbero essere introdotte per mitigare questo rischio?
La vulnerabilità informatica di partiti e persone attive in politica
Negli ultimi anni hanno fatto notizia episodi come l'hacking dei server del National Democratic Committee negli Stati Uniti o la diffusione a orologeria di e-mail private, come quelle di John Podesta (responsabile della campagna presidenziale di Hillary Clinton) nel 2016 o quelle dello staff elettorale di Emmanuel Macron nel 2017 . Se alcune di queste operazioni hanno dimostrato un certo grado di sofisticazione e sono state probabilmente opera di attori statali, altre hanno usato tecniche più basilari. Secondo il capo dell'agenzia di cyber-difesa francese , l'hacking della campagna di Macron non era "molto tecnologico; [...] l'attacco era così generico e semplice che avrebbe potuto essere praticamente chiunque". Molti osservatori attribuiscono comunque questo e altri attacchi informatici alla campagna di Macron alla Russia , altri sembrano meno convinti .
Il fatto che individui senza grandi risorse o potenti mezzi siano stati in grado di accedere ai sistemi informatici di organizzazioni politiche europee di alto livello come è successo con Emmanuel Macron non sembra essere un'eccezione. A dispetto della risonanza mediatica degli episodi, non è chiaro se da quegli eventi si sia imparato qualcosa. Prima delle elezioni italiane del 2018, account social, sito web ed e-mail della Lega sono stati ripetutamente violati . Sorprendentemente, i media italiani e internazionali hanno in gran parte ignorato la notizia e non hanno riportato alcun dettaglio circa gli oltre 20 GB di e-mail appartenenti allo staff della campagna elettorale leghista e alle organizzazioni regionali del partito che potevano essere scaricati tramite torrent e sono in seguito stati pubblicati direttamente su un sito web accessibile via Tor.
Il Movimento Cinque Stelle (M5S), al governo dal 2018, è da tempo criticato per la propria negligenza in tema di sicurezza informatica. La vulnerabilità della piattaforma utilizzata dal M5S per prendere decisioni ha fatto notizia in particolare nel 2017, quando diversi attori hanno violato i sistemi informatici utilizzati dal M5S portando ad un'azione del Garante per la privacy. Tra le questioni evidenziate nel rapporto ufficiale pubblicato in seguito, l'Autorità ha stabilito che a partire dal 2017 la piattaforma online utilizzata dal M5S per definire e votare le proprie politiche (una delle caratteristiche più propagandate del Movimento) utilizzava una versione obsoleta di un CMS, rilasciato per la prima volta nel 2009 e considerato dai propri autori inadatto all'uso dal 2013.
Entrambi i casi puntano a pratiche di cybersecurity eccezionalmente carenti, che non sono state immediatamente risolte nemmeno dopo che le violazioni erano state rese pubbliche. In effetti, pur apparentemente opera di attori domestici, gli attacchi ai sistemi di M5S e Lega dimostrano che gli standard di sicurezza informatica sono così bassi che sembra possibile, se non probabile, che agenzie di intelligence straniera abbiano (o abbiano avuto) pieno accesso a tali dati, comprese le comunicazioni personali e i dati privati di migliaia di cittadini. Va sottolineato che siamo a conoscenza dell'hacking dei sistemi informatici e delle comunicazioni online delle organizzazioni politiche solo perché gli hacker rendono pubblica la loro impresa: l'intelligence straniera non avrebbe invece motivo di rivendicare la violazione e continuerebbe a godere dell'accesso a tali comunicazioni apparentemente private (mantenendosi l'opzione di rilasciare i contenuti compromessi se utile).
Abbiamo motivo di credere che altri partiti in Italia usino sistemi informatici più sicuri di quelli di M5S, Lega, del Partito Democratico degli Stati Uniti o dello staff di Macron in Francia?
Che fare?
Le risposte all'hackeraggio di organizzazioni politiche variano in modo estremo, dalla derisione dell'organizzazione oggetto dell'attacco a dichiarazioni di preoccupazione, in particolare se l'attacco è attribuito a un paese straniero. Tuttavia, la conversazione pubblica non è arrivata a quella che sembra essere la domanda più logica quando si verifica un evento che minaccia l'integrità dei processi democratici: che cosa si dovrebbe fare per ridurre le vulnerabilità che lo hanno reso possibile?
L'Agenzia dell'UE per la sicurezza informatica ha tre raccomandazioni al riguardo:
- dovrebbe essere istituito un obbligo giuridico che imponga alle organizzazioni politiche di applicare un elevato livello di sicurezza informatica nei loro sistemi, processi e infrastrutture;
- le competenze dello Stato in materia di cybersecurity dovrebbero essere utilizzate per assistere i politici nella protezione dei propri dati e comunicazioni;
- i partiti politici dovrebbero disporre di un piano di risposta agli incidenti per affrontare e contrastare lo scenario di perdite di dati e altri potenziali attacchi informatici.
Come sottolineato in un rapporto pubblicato dal Carnegie Endowment for International Peace , "il National Cyber Security Centre del Regno Unito ha organizzato seminari tecnici per lo staff della campagna, pubblicato materiale di orientamento e messo a disposizione i propri esperti per assistere i partiti politici sui problemi di cybersecurity". Ha inoltre suggerito ai partiti politici di fare riferimento a società certificate Cyber Incident Response (CIR) per aiutarli a gestire attacchi mirati. Il Belfer Center di Harvard ha pubblicato nel 2017 una guida accessibile specificamente rivolta alle organizzazioni politiche, il "Cybersecurity Campaign Playbook ". Le grandi aziende tecnologiche hanno dimostrato una certa disponibilità a fornire strumenti aggiuntivi per aumentare la sicurezza informatica di attivisti e candidati, con iniziative come Protect your election di Google.
Consulenza e buone pratiche possono essere un utile punto di partenza, ma sarebbe utile avere una conversazione pubblica che rifletta su come fare dei passi avanti a partire dallo stato attuale, considerando le specificità dei paesi in cui devono essere attuate le iniziative pertinenti. Il coinvolgimento dei servizi di sicurezza nel contribuire alle misure di sicurezza informatica delle organizzazioni può essere positivo in alcuni contesti, mentre dovrebbe probabilmente essere più discreto in altri, eventualmente delegando attività a organizzazioni e consulenti indipendenti. I nuovi obblighi in materia di cybersecurity per i partiti politici dovrebbero probabilmente prevedere finanziamenti adeguati per far loro fronte, cosa che potrebbe suscitare dibattito. Dovrebbero anche essere sollevate questioni di competenza, procedure e risorse per le agenzie o le autorità che lavorano in questo campo; se, come è accaduto in Italia, l'intervento è lasciato al Garante per la protezione dei dati personali, allora questo ente dovrebbe essere dotato di risorse adeguate e magari essere incaricato di intervenire prima che si verifichino violazioni dei sistemi informatici.
Infine, nel caso delle organizzazioni e dei movimenti politici, diversi fattori complicanti rendono più difficile avere solide pratiche di sicurezza informatica. Ad esempio, alcune linee guida suggeriscono di affidarsi ai principali fornitori come Google per la gestione di e-mail e file piuttosto che utilizzare soluzioni gestite direttamente su propri server, più difficili da proteggere: la raccomandazione in principio è valida, ma fare affidamento sui sistemi informatici dei colossi tecnologici statunitensi potrebbe essere politicamente inaccettabile per diverse organizzazioni politiche. I governi dovrebbero considerare la possibilità di sponsorizzare miglioramenti della sicurezza per alternative open source e finanziare più generosamente iniziative che affrontano le vulnerabilità di software che molti di noi utilizzano sui nostri computer o che sono necessarie per il funzionamento dell'infrastruttura web su cui tutti facciamo affidamento .
Inoltre, anche i partiti politici pienamente formalizzati, nella loro pratica quotidiana, possono assomigliare più a movimenti decentralizzati che ad aziende gerarchiche, in cui una politica di cybersecurity può essere più facilmente coordinata e, se necessario, imposta.
Mitigare le vulnerabilità delle organizzazioni e dei professionisti politici in termini di sicurezza informatica è certamente una sfida, ed è uno sforzo che si interseca con i dibattiti sulla privacy e sulla sicurezza informatica di persone, autorità statali, infrastrutture sensibili e imprese. Una combinazione di fattori, tuttavia, rende le organizzazioni politiche particolarmente vulnerabili alle minacce informatiche. Partendo da qui, ragioniamo su come andare avanti, un passo alla volta.
Nei prossimi mesi esploreremo questo problema tramite interviste, post di esperti e un dossier dedicato, cercando di identificare soluzioni di policy significative che possano essere implementate nel contesto italiano.
Questa pubblicazione è stata prodotta nell'ambito del progetto ESVEI, co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.
Hai pensato a un abbonamento a OBC Transeuropa? Sosterrai il nostro lavoro e riceverai articoli in anteprima e più contenuti. Abbonati a OBCT!