Ma, in fondo, è stato vero hacking? A bocce (più) ferme, possiamo affermare che la vicenda Equalize - che sui media italiani ha fatto sì notizia, ma poco approfondimento - ha rivelato la debolezza delle infrastrutture cyber italiane? O più semplicemente ha portato alla luce un insieme di relazioni di comodo che, questo sì, hanno negli anni cavalcato una gestione non certo solida degli accessi a informazioni importanti?

Fatta la necessaria premessa che i dettagli della vicenda non si conoscono in dettaglio, anche perché le indagini sono ancora in corso, probabilmente la morale di quanto accaduto sta nel classico mezzo. Le istituzioni italiane non sono state vittima di una azione di hacking ostile su larga scala, ma nemmeno possiamo archiviare la vicenda come il caso isolato di qualcuno che ha potuto accedere a qualche banca dati di troppo.

Più che sulla tecnologia di hacking ostile in sé, appare più opportuno spostare l'attenzione sul tema altrettanto importante del data breach e delle sue conseguenze. Come spiega Paolo Palumbo, VP W/Intelligence di WithSecure, "L'analisi va divisa in due parti: da un lato come le persone coinvolte sono riuscite ad avere un accesso improprio alle informazioni, dall'altro i danni generati dall'uso illegale delle informazioni stesse".

Come Equalize abbia concretamente avuto il suo accesso iniziale alle banche dati coinvolte, a partire dallo SDI, non è ancora del tutto chiaro. A quanto si sa sono stati impiegati spyware non particolarmente sofisticati - non siamo al livello degli strumenti dell'israeliana NSO, per intenderci - per conquistare accesso da remoto a dispositivi con elevati privilegi di accesso alle informazioni. Spyware che sarebbero stati impiantati via hacking ma anche, più semplicemente, da persone che facevano la manutenzione delle macchine coinvolte.

Più che la tecnologia, come accennato, il problema chiave però è di metodo, di processi, di policy. È chiaro che l'accesso a informazioni sensibili e personali, potenzialmente "weaponizzabili" - come poi è stato - non era sottoposta a una catena di controlli e verifiche adeguata. "La questione fondamentale che si è evidenziata - conferma Palumbo - è che abbiamo basi dati estremamente sensibili a cui è stato possibile accedere con uno sforzo ridotto. Dati che hanno invece un valore enorme per le persone e le società coinvolte e che quindi dovrebbero essere gestite con una elevata attenzione. Qualcosa non ha funzionato e quindi un esame di coscienza va fatto".

Il tema non strettamente tecnologico sotteso qui è quello del threat modeling. Guardare alle informazioni in sé in maniera incompleta, senza comprendere davvero come queste informazioni possono essere correlate e usate, e quindi il varo valore che hanno per un eventuale attaccante. Valore che dovrebbe essere la base su cui definire, proporzionalmente, le policy di difesa.

"È mancata l'analisi, ancora prima di qualsiasi questione tecnologica. È mancata la prospettiva di come si possono usare le informazioni", spiega Palumbo: "Ma oggi è impensabile non proteggere i dati. Anche quelli che a una prima analisi sembrano non essere utili sono invece correlabili e aggregabili, possono fare da collante tra basi dati diverse per arrivare a informazioni che permettono crimini più rilevanti del data breach. È vero che ciascun data point di per sé può non avere un valore enorme, ma quando vengono messi insieme la situazione può farsi molto più seria".

La lezione non tecnologica del caso Equalize è quindi questa: spesso - come nel caso specifico - policy e procedure non hanno fatto i necessari passi in avanti per allinearsi con le caratteristiche e i rischi della nostra Information Age. Così processi di gestione delle informazioni creati probabilmente quando la digitalizzazione non era stata nemmeno pensata si sono rivelati insufficienti. Anche a causa di un - a quanto pare evidente - elemento umano: con una catena di controllo "analogica" adeguata è difficile pensare che quello che è successo avrebbe potuto davvero accadere.

Il merito della vicenda Equalize, da un punto di vista più cyber, sta semmai nell'aver portato alla ribalta un'altra questione: esiste ed è sempre ben vivo un ecosistema dello spyware italiano, un insieme di entità che sono in vario modo in grado di carpire comunicazioni e informazioni, legalmente e non. La sorpresa, per il grande pubblico, è stata probabilmente che questo ecosistema non è fatto di aziende evolute stile Silicon Valley ma anche da realtà un po' "casereccie" che alla fine sono state smascherate senza una grandissima difficoltà. Ma questa è un'altra storia, che approfondiamo altrove.