Rirendiamo un importante post  pubblicato da un blog specializzato in materia di intelligence, dove si segnala che a metà luglio “…La Repubblica, riprendendo una relazione riservata del Garante della Privacy, segnalava un possibile rischio per la sicurezza delle comunicazioni nazionali. Secondo la suddetta relazione, per come riportata dal giornale romano, il Garante avrebbe riscontrato potenziali vulnerabilità in alcuni snodi chiave della nostra rete di telecomunicazioni:

[…] Tutto ruota intorno agli Internet eXchange Point (IXP) e ai sistemi di sicurezza, insufficienti, che li dovrebbero proteggere. Gli Ixp sono delle infrastrutture chiave per il funzionamento di Internet. Di fatto sono dei luoghi fisici in cui convergono tutti i cavi che trasportano i dati degli utenti dei vari Internet Service Provider (Telecom, Fastweb, H3G, ecc. ecc.). In questi luoghi, i dati vengono letti, elaborati e dunque smistati nella Rete. Per fare un esempio: le informazioni di navigazione di un utente qualsiasi che da rete Fastweb si colleghi con un sito il cui server è ospitato da Telecom, passa necessariamente per uno di questi Ixp. In Italia ce ne sono nove, ma tre sono quelli fondamentali: uno a Milano (il “Mix”), uno a Torino (il “Top-IX) e uno a Roma (il “NaMex”). “Tali apparati – scrivono gli ispettori del Garante – dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un’altra porta (port mirroring)”. Nel corso dei controlli questa funzione non era attivata, specificano gli ispettori, aggiungendo però che se qualcuno volesse esaminare il traffico in transito potrebbe farlo “con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi”. Sarebbe dunque un gioco da ragazzi duplicare il traffico degli utenti, dirottarlo altrove su grossi database e poi con calma analizzarlo. Certo occorrerebbe prima entrare dentro queste strutture ma, è proprio questo il punto, la cosa appare tutt’altro che impresa ardua. […]

Sul tema si è espresso il sottosegretario Marco Minniti, Autorità delegata per l’Intelligence, che ieri ha rilasciato un’intervista al quotidiano (qui di seguito un estratto):

Quale giudizio dà il Governo del dossier del Garante? “Il Governo sta lavorando su quel rapporto e risponderà al Garante in tempi molto brevi. Non fosse altro perché condividiamo l’allarme suscitato da almeno due delle criticità evidenziate dall’ispezione. La prima: la mancanza di un livello di sicurezza nelle procedure da parte dei consorzi privati che gestiscono gli Internet exchange point che risponda agli standard previsti dalle certificazioni internazionali. La seconda: la vulnerabilità fisica dei siti che ospitano i nodi di interscambio della Rete. Anche questi affidati a una vigilanza privata che, a stare al rapporto, è eufemistico definire deficitaria”. E dunque? “Dunque, il Governo, intanto interverrà per eliminare queste due criticità. Per fare in modo, quindi, che gli standard di sicurezza internazionale vengano assicurati dai consorzi privati. E questo sia per quanto riguarda la sicurezza del traffico che quella dei siti. Dopodiché, è di tutta evidenza che rispondere a questa emergenza pone di nuovo il Governo e il Garante di fronte al cuore della questione aperta ormai un anno fa dalla vicenda Snowden-datagate. Che poi altro non è che il punto di equilibrio che in una moderna democrazia va cercato tra sicurezza nazionale e libertà individuali. Un tema, mi permetto di rivendicarlo con un certo orgoglio, a cui questo governo e l’Italia, unico Paese dell’Occidente, ha dato una risposta siglando un protocollo di intesa tra Intelligence e Garante per la Privacy”.[…]
In maniera piuttosto sorprendente, l’argomento non è stato ulteriormente commentato.
Segnaliamo l’importanza della materia, nonché l’esistenza di un reale e rilevante rischio per l’infrastuttura internet nazionale e internazionale. Non solo in termini di possibile spionaggio delle comunicazioni, ma anche di tenuta fisica della struttura, considerato quanto è emerso sulle scarse misure di sicurezza adottate in proposito.
I lettori ricorderanno che poco tempo addietro avevamo avuto occasione di segnalare che erano stati resi disponibili, a cura del CISR, i  testi completi del Quadro strategico nazionale per la sicurezza dello spazio cibernetico e del Piano nazionale per la protezione cibernetica e la sicurezza informatica.
Fermo restando che la segnalazione dell’autorità Garante della Privacy e senz’altro meritevole, viene da chiedersi se una problematica di questa portata, che va ben al di là delle pur rilevantissime questioni di Privacy, non fosse mai stata affrontata in passato dal Nucleo per la Sicurezza Cibernetica (operante presso l’Ufficio del ConsigliereMilitare del Presidente del Consiglio), ovvero direttamente dal c.d. CISR tecnico, cioè l’organismo deputato alla elaborazione costante delle politiche di sicurezza cibernetica in materia.
Se e quando perverranno informazioni più adeguate, non mancheremo di informare i lettori.