Integrare sicurezza e strumenti di lavoro: il caso dei Panama Papers

L’inchiesta internazionale che ha portato alla pubblicazione dei Panama Papers sarà ricordata a lungo come uno degli esempi più significativi di giornalismo investigativo. L’inchiesta ha rivelato come uomini politici, celebrità e criminali abbiano fatto ricorso ad operazioni finanziarie offshore per evadere il fisco. Ciò che distingue i Panama Papers dai numerosi precedenti simili è certamente l’impressionante mole di dati utilizzati come fonti: oltre 11 milioni di documenti sono stati trafugati in quello che, ad oggi, appare come il più grande data breach noto della storia.

Tuttavia, al di là dell’interesse pubblico per il contenuto dei Panama Papers, l’aspetto più rilevante della vicenda è forse la modalità con cui l’inchiesta è stata portata avanti. I giornalisti che vi hanno preso parte hanno infatti dovuto combinare obiettivi apparentemente inconciliabili: condividere documenti confidenziali con persone sconosciute e geograficamente distribuite in sedi diverse, garantendo la riservatezza, l’integrità e l’origine delle informazioni, e adottando soluzioni compatibili con budget relativamente limitati. Le stesse sfide caratterizzano le attività quotidiane di numerose imprese e Pubbliche Amministrazioni.

L’inchiesta Panama Papers: processi e strumenti per la protezione delle comunicazioni

Durante l’inchiesta sui Panama Papers, più di 400 reporter distribuiti in circa 80 Paesi hanno collaborato all’analisi di 2.6 terabyte di dati, condividendo informazioni in modo sicuro e rendendo possibile una ricerca giornalistica durata più di un anno, senza fughe di notizie e senza interferenze da parte di nessuno dei numerosi stakeholder che potevano avere interesse ad ostacolare il lavoro. Uno degli elementi strategici per il conseguimento di questo risultato è stato senza dubbio l’utilizzo di Global i-Hub, una soluzione per la collaborazione sicura realizzata dall’International Consortium of Investigative Journalists (ICIJ).

Il progetto Global i-Hub, estremamente interessante, intende arricchire gli strumenti di lavoro a disposizione dei giornalisti con una serie di meccanismi necessari per la gestione della sicurezza, semplificando l’uso di tecnologie crittografiche tipicamente complesse, che possono perciò essere fornite anche ad utenti che non hanno necessariamente competenze tecniche avanzate. Il sistema infatti consente di garantire la riservatezza, l’integrità e l’autenticità delle comunicazioni e permette di:

  • utilizzare esclusivamente canali cifrati
  • ricorrere a un protocollo di identificazione mutua per accertare le reciproche identità
  • avvalersi di sistemi per il trasferimento sicuro di file.

L’utilizzo di canali cifrati, fondamentale per garantire la riservatezza delle comunicazioni, è oggi reso possibile da numerosi strumenti, spesso gratuiti ed open source: ad esempio, Signal e Threema sono due noti sistemi di messaggistica istantanea dotati di cifratura end-to-end, ovvero di un sistema che, cifrando e decifrando i messaggi agli estremi del canale di comunicazione, assicura che la comunicazione sia inintellegibile sia per gli eventuali attaccanti che dovessero intercettarla, sia per i service provider che agiscono da intermediari. Un servizio simile è disponibile anche per le email grazie a PGP.

L’identificazione mutua è altrettanto essenziale poiché consente di verificare, ogni volta che si attiva una nuova comunicazione, che l’interlocutore sia davvero chi dichiara di essere. A questo scopo è possibile adottare protocolli a sfida/risposta, ad esempio sottoponendo all’interlocutore domande che prevedono risposte preventivamente concordate. Global i-Hub si basa su un social network in cui l’accesso un sistema di autenticazione forte. La piattaforma è stata realizzata da un team che conta complessivamente 7 persone, di cui 4 tecnici e 3 giornalisti, utilizzando un budget relativamente modesto (ovvero un premio di $ 35.000 erogato da Knight Prototype Fund), a dimostrazione di come la limitata adozione nella pratica di meccanismi e protocolli per la gestione della sicurezza sia spesso legata alla scarsa attenzione che viene dedicata al tema, piuttosto che a difficoltà tecniche o carenza di risorse. Il costo di realizzazione e di gestione di Global i-Hub è stato minimizzato tramite un approccio di design basato sull’integrazione di componenti open source ampiamente sperimentati: la piattaforma è stata realizzata arricchendo Oxwall (un social network open source) con un servizio per l’autenticazione a due fattori fornito da Google Authenticator e con strumenti per la comunicazione cifrata e  per la condivisione sicura di file.

Lezioni imparate e trend emergenti

Realizzare sistemi sicuri non è necessariamente un’attività economicamente onerosa: esistono approcci che, puntando sull’integrazione di componenti disponibili e largamente diffusi, consentono di minimizzare i costi di sviluppo permettendo così di concentrare le risorse sull’implementazione dei processi di gestione. Tali processi oggi sono spesso complessi ed articolati anche a causa della scarsa usabilità di molti dei principali strumenti e servizi per la sicurezza. Per questa ragione le iniziative volte a semplificare l’utilizzo delle tecniche crittografiche e ad integrarle con altri sistemi di uso comune, nascondendone la complessità, contribuiscono in modo significativo ad abbattere ulteriormente i costi di implementazione di processi sicuri. La capacità di rispondere a queste esigenze è una linea emergente nel mercato dell’Information Technology: oltre al caso di Global i-Hub, la recente scelta di WhatsApp di abilitare di default la cifratura end-to-end va nella stessa direzione.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here