Intervista con l’avvocato e venture capitalist israeliano, partner del potente fondo JVP su cyberterrorismo, guerre digitali e diritto d’autore
Nimrod Kozlovski ha un curriculum lungo così. È un avvocato israeliano: dopo la laurea all’università di Tel Aviv si è spostato a Yale dove ha conseguito master, dottorato e postdottorato fra la School of Computer Science e la Law School dell’ateneo del Connecticut.
Quello legale è solo il background sul quale ha costruito un percorso molto articolato che ne ha fatto uno degli esperti di cybersicurezza più noti non solo nel suo paese d’origine ma a livello internazionale. È anche, per esempio, un navigato investitore nello stesso ambito. Non a caso è partner, oltre che dello studio legale Herzog, Fox & Neeman di Tel Aviv, di uno dei venti fondi di venture capital più performanti del mondo, il JVP, i cui Cyber Labs sono ospitati a Be’er Sheva, nel primo polo mondiale per la cybersicurezza voluto dal governo di Gerusalemme nel bel mezzo del deserto del Negev.
Lì, oltre a 45mila studenti dell’università Ben Gurion, vivono e lavorano divisioni delle Forze di difesa israeliane (dove Kozlovski ha prestato servizio come capitano nella Electronic Warfare unit), laboratori, incubatori e centri di ricerca. Nello stesso tempo, mentre lanciava il corso di studi in cybersicurezza alla Management School dell’università di Tel Aviv, Kozlovski fondava startup come PLYmedia e Altal Security, insegnava come professore aggiunto alla New York Law School e lanciava un programma dedicato agli stessi temi in collaborazione con Yale, per cui è stato anche ricercatore, Harvard e Mit. Non gli mancano esperienze più tradizionali nella Corte suprema israeliana o nei tribunali del suo Paese. Wired lo ha intervistato in occasione del suo passaggio a Roma per un incontro organizzato alla residenza dell’ambasciatore israeliano dall’associazione Diplomatia.
Cybercrimine, cyberspionaggio, Cyberguerra e cyberterrorismo: ammesso che si possano separare in questo modo, qual è il fronte che dovrebbe preoccuparci di più?
“C’è un cambiamento nel modo in cui hacking e cyberattacchi si manifestano. Appena 10 anni fa si trattava di attacchi casuali, spesso da non professionisti, con piccoli team e piccoli crimini. E i governi non erano entrati in scena. Oggi vediamo un incremento in ogni ambito: il cybercrimine è per esempio diventato un business da miliardi di dollari, dalla droga alla pedopornografia, crescendo e organizzandosi senza particolari problemi. Il cyberterrorismo, almeno per il momento, non si manifesta invece come una delle minacce principali: ciò che ci preoccupa non sono tanto gli attacchi alle infrastrutture critiche ma l’organizzazione, il reclutamento, il riciclaggio di denaro. Quanto alla cyberguerra ci sono due aspetti: in termini di spionaggio le agenzie sono completamente cambiate mentre in termini distruttivi questo tipo di attività non sembra aver ancora manifestato tutte le sue potenzialità”.
Il governo statunitense sta per lanciare una nuova agenzia per la cybersicurezza, The Cyber Threat Intelligence Integration Center: aiuterà a superare almeno in parte i pasticci dell’Nsa e quali obiettivi dovrebbe porsi?
“Ci sono due aspetti su tutte queste riorganizzazioni nelle cyberattività in tutto il mondo. Il primo è che ci sono troppi organismi difficili da coordinare. È ormai chiaro che se vogliamo una strategia nazionale, e poi su scala mondiale, dobbiamo coordinare i vari soggetti, per controllare tutte le informazioni, gli eventi, le risposte. In molti Paesi l’assenza di coordinamento, con istituzioni che si occupano ciascuna di un aspetto della faccenda, crea il caos. Ecco perché in molti posti, Israele incluso, abbiamo capito che serve un cervello centrale, come stanno facendo negli Stati Uniti. Il secondo aspetto riguarda la responsabilità, l’obbligo di rispondere delle proprie azioni. Insomma, il problema Nsa. Queste nuove agenzie hanno il compito di mantenere l’equilibrio fra operazioni e responsabilità del governo. Sono due aspetti interconnessi, abbiamo bisogno di entrambi. Se devo essere onesto, le linee guida rilasciate dal governo americano sulla sorveglianza dopo lo scandalo del Datagate sono estramemente limitate. Non impongono alcuna effettiva restrizione”.
Proprio ieri il governo italiano ha emanato una serie di misure antiterrorismo: fra queste la creazione di una blacklist di siti pro-jihad e la possibilità di oscurare piattaforme online? È sufficiente?
“Ogni governo ha la propria parte da fare per controllare attività terroristiche online. D’altronde, siamo onesti: chi intende informarsi e navigare su siti pro-jihad non va su Google. Normalmente sono indirizzati da qualcuno ed esistono, come noto, moltissimi modi per rimanere anonimi o bypassare i filtri in un singolo Paese. L’idea di agire con liste nere è davvero limitata. Il blacklisting non è un meccanismo efficace, dall’Ip swapping al domain swapping, proxy e così via. Ogni volta che blocchiamo l’accesso ai contenuti questi vengono comunque raggiunti. Succede in altri campi, dal copyright al gambling. In certi Paesi bloccare i siti, oltre tutto, è problematico sul campo della libertà d’opinione”.
Quali parti di mondo sono oggettivamente più a rischio in termini di infrastrutture di rete e dunque di possibili minacce alla quotidianità dei cittadini?
“Molti paesi che paradossalmente sono indietro, la cui avanzata tecnologica è iniziata per esempio dalle reti mobili, penso a quelli africani, finiscono per essere più protetti. Nelle nostre economie avanzate, infatti, dipendiamo in buona parte da reti vecchie, progettate per essere vulnerabili: dalle istituzioni bancarie alle infrastrutture critiche. Obbligate oltre tutto ad aprirsi ai partner condividendo reti bucate perché vecchie di quarant’anni. Dispiace dirlo ma siamo tutti a rischio, specie i Paesi che non ne sono coscienti e in anni passati hanno assistito a una corsa alle reti, per esempio quelle in fibra ottica, a cui non hanno fatto seguito gli investimenti sulla sicurezza”.
I confini della cyberguerra non sono quelli tradizionali, così come per il terrorismo: con quale approccio se ne esce?
“Dovremmo sviluppare un nuovo paradigma di sicurezza. Anche la stessa analogia dei confini non è più valido. Pensiamo ancora a cancelli, limiti, porte tentando di applicare questi concetti alle reti Ict. Pensa ai firewall o alle Dmz delle Lan. La difesa perimetrica era valida vent’anni fa, quando le aziende avevano la loro rete e potevano proteggere gli accessi. L’architettura è cambiata. Basta pensare alla cloud communication, all’universo mobile che ridisegna i network a seconda dei nostri movimenti e alla necessità di transitare tutti sulle stesse infrastrutture oltre agli avanzamenti nelle tecnologie SaaS, che hanno aperto all’interdipendenza. Anziché una fortezza abbiamo miriadi piccoli nodi che hanno bisogno di diversi livelli di protezione. Dobbiamo dunque dare per scontato che i confini sono saltati e gli attaccanti sono già dentro spingendo sul monitoraggio, sulla prevenzione e predizione e sull’analisi del rischio informatico. Ci si arriva condividendo le informazioni e distribuendo i centri di controllo. Ecco perché quando sentiamo i politici parlare di confini digitali dobbiamo ricordarci che stanno utilizzando categorie finite”.
Isis: propaganda via social o c’è davvero di più? E come dobbiamo effettivamente interpretare l’offensiva di Anonymous degli ultimi mesi?
“L’Isis ha dimostrato che raccontare storie terrificanti è efficace. Basti pensare al caso del pilota giordano. Spingono per dare l’immagine dell’imprevedibilità. Non si manifestano tramite cyberattacchi ma usano il digitale per distribuire i loro messaggi. Comprendendone molto bene le dinamiche, come la memetica, secondo le quali i social network hanno ridisegnato anzitutto le nostre vite relazionali. Senza contare, d’altra parte, l’aspetto di reclutamento. Non si lanciano dunque in cyberattività classiche, se non a volte. Anonymous, dal canto suo, sta portando avanti un’operazione di contrasto ma in un certo senso è un’azione molto limitata per una faccenda logica: dal momento che l’Isis non porta avanti una cyberguerra tradizionale anche la controffensiva finisce col bloccare un po’ di account, siti, tentando di controllare il flusso d’informazione. Ma la propaganda lavora su mille fronti e l’efficacia è scarsa”.
Veniamo agli aspetti commerciali: quanto può costare a governi e multinazionali sottovalutare ad esempio le pratiche di cyberspionaggio?
“C’è molta strada da fare. Siamo ancora al lato di sensibilizzazione. Basti pensare al Sonyleak. Ogni incidente dimostra quando siamo fragili e quanto queste azioni possano scalare, aumentare di dimensione. Perché c’è sempre un anello debole della catena. I governi iniziano solo ora a capire il peso di questi rischi, basti pensare ai 14 miliardi di dollari stanziati da Barack Obama il mese scorso per la cybersicurezza. Ma ci vuole tempo. Basti pensare alle modalità nelle quali ancora oggi le forze dell’ordine rispondono a queste azioni, secondo uno schema non più valido. Abbiamo invece visto un buon esempio nelle indagine legata a Ross Ulbricht, il fondatore di Silk Road: in quel caso le forze dell’ordine hanno capito la necessità di essere proattive e di cambiare. Succederà anche per la progressiva allocazione di fondi su questi capitoli di spesa, per nuove leggi e per l’acquisizione di vere cittadinanze digitali pronte a reagire ai mutamenti. Fra dieci anni anche quest’intervista, faccia a faccia, potrebbe essere qualcosa di impensabile. Il campo di gioco è cambiato: generazioni del passato potevano forse assistere a un grande cambiamento tecnologico nel corso della loro vita. Oggi queso accade almeno ogni cinque anni”.
Diritti individuali: qual è la sua idea del diritto d’autore e più in generale del concetto di proprietà su internet?
“Sarò molto radicale: dimentichiamolo. Per troppo tempo ci siamo concentrati nella lotta alla pirateria mentre la tecnologia evitava facilmente vecchie leggi e restrizioni. Abbiamo risposto con un’invasione di avvocati quando la soluzione, che molti hanno per fortuna percorso, era esattamente quella opposta: distribuire, condividere, modificare, allargare la platea. La musica in streaming, per esempio, ha dimostrato che quando c’è un business solido e originale anche vecchi concetti possono in fondo trovare nuova applicazione. L’innovazione salverà il diritto d’autore”.
fonte: wired.it