Qualche giorno fa la Commissione Europea ha intimato a tutti i propri dipendenti di eliminare l’applicazione del ormai diffusissimo social cinese Tik Tok dai dispositivi aziendali e personali.
Come ovvio la decisione non è arrivata per caso e segue non solo un divieto simile adottato dagli Stati Uniti, ma anche il caso portato alla luce sul finire dell’anno passato di un indebito accesso ai dati di almeno due giornalisti americani e del loro entourage da parte di alcuni dipendenti del social network con base in Cina.
Non a caso il comunicato della Commissione Europea fa un chiaro riferimento alla necessità di “proteggere i dati della Commissione e aumentare la sua sicurezza informatica…“
Qualcuno ha gridato allo scandalo, riferendosi soprattutto al divieto imposto che riguarda i dispositivi personali, altri hanno tirato in causa un presunto doppio-pesismo che lede i diritti cinesi e permette al contrario agli Stati Uniti di fare anche di peggio.
Sono come ovvio due stupidaggini, ma è utile in ogni caso ragionarci sopra.
L’aspetto più semplice da analizzare è quello che riguarda l’inclusione dei dispositivi privati nel divieto. Benché possa all’apparenza apparire come una invasione della sfera privata dei dipendenti, in realtà è senza ombra di dubbio una imposizione legittima.
Photo by Cristina Zaragoza on Unsplash
Come chiarito nel comunicato è chiesta la sospensione dell’applicazione sui dispositivi personali “usati per accedere ai servizi mobili della Commissione” che in termini di Sicurezza Informatica vengono definiti BYOD, Bring Your Own Device.
Quando si parla di BYOD ci si riferisce ad una policy interna di una organizzazione che permette ai dipendenti di usare il proprio dispositivo, sia esso un computer o uno smartphone per accedere ai servizi aziendali, quali, ad esempio, le caselle di posta. E’ quindi del tutto normale che i dispositivi personali usati per lavoro siano soggetti alle stesse regole, agli stessi controlli e agli stessi limiti dei dispositivi aziendali. L’alternativa è usare esclusivamente dispositivi aziendali.
Più complicato è il discorso che tende a mettere sullo stesso piano gli Stati Uniti e la Cina. Bisogna essere onesti e chiarire che tutte le Intelligence del mondo tentano di avere accesso ai dati informatici dei propri cittadini o degli stranieri e tutte allo stesso modo cercano la via per raggiungere questo obbiettivo. Sappiamo che per anni gli Stati Uniti hanno speso milioni di dollari per mantenere un arsenale di exploit Zero-Day, programmi che sfruttano delle debolezze non scoperte, utili a violare i sistemi più disparati; un’arma informatica di questo tipo fu usata per rallentare il programma nucleare iraniano; sappiamo anche che c’è stato da parte della National Security Agency americana uno spionaggio ai danni di diversi leader europei (qui).
Photo by Random Institute on Unsplash
Sulla base di questi esempi sembrerebbe in effetti ipocrita indignarsi per i tentativi di spionaggio e controllo cinesi e non per quelli americani; bisogna però considerare che le democrazie occidentali hanno dei meccanismi istituzionali che limitano le attività di intelligence, hanno una separazione netta tra produzione industriale e politica e soprattutto godono di una stampa libera che come nel caso dello spionaggio ai danni dei leader europei può denunciare attività sospette o illegali.
Che alcune agenzie americane abbiano chiesto ai produttori di dispositivi l’inserimento di programmi che permettano l’accesso segreto ai loro apparati (backdoor) è cosa nota, ma è proprio questo il punto: noi lo sappiamo, perché le aziende hanno detto “No!” e i giornali ne possono parlare, mentre in Cina nessuno si è indignato quando si scopri che il produttore Coolpad aveva riempito i propri dispositivi Android di backdoor.
Photo by Yan Ke on Unsplash
Quindi è lecito che la Commissione Europea e gli stati democratici guardino con sospetto tutto ciò che di hardware o software proviene da regimi non democratici e anche noi dovremmo stare più attenti a ciò che compriamo da produttori di stati illiberali.
