La cybersecurity in Vaticano รจ un problema serio. La Chiesa cattolica ha duemila anni, il world wide web poco piรน di trenta, ma entrambi sono innegabilmente stati in grado di cambiare il mondo. Che, a dispetto delle buone intenzioni, resta un posto pericoloso.
Quello virtuale non fa eccezione. Diversi gruppi di attivisti e ricercatori sollecitano da anni il papa affinchรฉ si prenda cura degli affari digitali. Perchรฉ lo Stato piรน piccolo del mondo โ grande come un paio di quartieri di Roma โ รจ anche agli ultimi posti della classifica del Global cybersecurity index. โNelle ultime tre posizioni, per la precisione, a fianco dello Yemen e di Timor Estโ. A parlare con Wired collegato da Amsterdam รจ Joe Shenouda, ingegnere informatico dei Paesi Bassi. Shenouda riflette da anni sulla situazione. Soprattutto da quando, nel 2020, all’inizio della pandemia, gli asset digitali della Santa Sede furono attaccati con una perdita di dati senza precedenti. Ai tempi si sospettรฒ della Cina. Da allora, racconta, dice, le minacce sono aumentate.
Cosรฌ nel 2022 il professionista, che oggi lavora come ciso (chief information security officer) indipendente dopo un passato in alcune societร di consulenza, ha messo in piedi, partendo da un post su Linkedin, una rete di volontari che si sono fatti carico di un aspetto poco considerato Oltretevere: la sicurezza informatica. Perchรฉ il Vaticano, a dispetto delle dimensioni, รจ un gigante nella diplomazia. Un colosso delle relazioni internazionali che dispone di una rete capillare di informatori e, soprattutto, di informazioni di prima mano su questioni complesse a livello globale. Per non parlare degli asset economici, inclusi i conti correnti, su cui transitano fiumi di denaro provenienti da donazioni e affitti. Per quanto sia lecito presumere che lโinformatizzazione di una realtร estremamente legata alla tradizionale e lenta nei mutamenti non sia cosรฌ pronunciata come altrove, la strada โ per tutti – รจ inevitabilmente segnata.
Cosa fanno i Vatican Cybervolunteers
Se infilarsi nei sistemi informatici papali sarebbe un colpo da maestri, in grado di procurare dati, denari e indubbia reputazione, il problema รจ che, incredibilmente, in Vaticano manca unโautoritร per la cybersicurezza. Nel 2019 il Vaticano ha messo Gianluca Gauzzi Broccoletti a capo dei servizi di sicurezza. โEโ un esperto di sicurezza informatica โ riprende Shenouda – ; il punto รจ che si occupa anche di quella personale dei prelati, di quella dei viaggi e di una quantitร di altri aspetti. Manca una struttura che si concentri esclusivamente sul digitale, nonostante quello che vediamo: attacchi quotidiani. E non รจ qualcosa di cui siamo gli unici ad accorgerci: รจ alla portata di chiunque sia del mestiereโ. Soprattutto se mosso da cattive intenzioni.
Mese dopo mese, il gruppo messo in piedi da Shenouda รจ arrivato a contare una novantina di volontari provenienti da tutto il mondo (Usa, Spagna, Italia, Olanda). Personale che supplisce al vuoto di unโagenzia ad hoc dedicando una parte del proprio tempo โ circa lโequivalente di un pomeriggio a settimana โ a proteggere il Vaticano. Queste guardie svizzere digitali e trasnazionali si occupano di valutare siti web, infrastrutture (wifi, router) e email della Santa Sede con criteri aziendali: una scansione simile a quella di un antivirus, portata avanti quotidianamente.โCi consideriamo hacker eticiโ. Shenouda, di religione copta ma che si รจ avvicinato al cattolicesimo da bambino, quando โ mancando chiese della sua confessione โ ne frequentava le funzioni. L’ingegnere fa un paragone con le grandi multinazionali o gli Stati: โSe proviamo a effettuare dei test โ riprende -, รจ evidente a chi lavora nel settore che questi soggetti hanno messo in campo una serie di barriere per proteggersi. Questo non accade con la Santa Sedeโ.
Lโattivitร di questo gruppo di volontari โ i Vatican Cybervolunteers – che comunica su Signal per passarsi le informazioni e cancella tutte le comunicazioni per evitare rischi โ non รจ ufficialmente legata allo Stato pontificio: non ci sono contratti, nรฉ contatti ad alto livello con le gerarchie Oltretevere. โQuello che facciamo รจ condurre regolarmente un esame approfondito delle vulnerabilitร e poi stilare dei rapporti, che condividiamo con i nostri contatti in Vaticano. Non parliamo di figure di alto livello, ma di personale che sta qualche gradino sotto. Il quale, perรฒ, puรฒ veicolare il messaggio sulle scrivanie giusteโ. Di solito, rivela Shenouda, le segnalazioni verrebbero prese in considerazione. โNove volte su dieci nel giro di qualche giorno la vulnerabilitร viene risolta. Quando non accade, cominciamo unโopera di pressione piuttosto insistente per assicurarci che vengano presi provvedimentiโ. Normalmente funziona, dice. E aggiunge che nel gruppo cโรจ anche un italiano, Pawel Zorzan, esperto di sicurezza informatica di Casale Monferrato.
Quali sono gli attacchi piรน comuni alla cybersecurity del Vaticano
Ma quali sono gli attacchi piรน frequenti? E chi li conduce? โGli attacchi piรน basilari sono quelli ddos, che sovraccaricano un sito di richieste per bloccarlo. In questo caso parliamo di semplici amatori, dotati di una capacitร limitata di fare danniโ. Non sono, chiaramente, gli unici. โPoi ci sono quelli portati da gruppi legati a potenze straniere. Si prova a infilarsi nei sistemi per rubare dati, ma anche di truffare cardinali spingengoli a cliccare su link malevoli che installano software dannoso. Si cerca lโaccesso a comunicazioni riservate, impiegando anche tecniche di social engineeringโ, dice Shenouda. โAbbiamo registrato minacce soprattutto da Cina, Russia, che aumentano in concomitanza con i grandi eventi come il conclave e fanno spesso seguito a prese di posizione del papa. Chiaramente, questi governi negano se gli si chiede conto di quello che hanno fattoโ.
Come ha preso il Vaticano questa sorta di attivismo? Shenouda dichiara di aver ricevuto โsolo apprezzamento e ringraziamentiโ, da parte dei propri contatti. โMa non basta. Devono dotarsi di unโautoritร per la sicurezza informatica. Intendo unโautoritร dedicata, interamente focalizzata sulla questioneโ.
Che cosa dovrebbe fare la security vaticana
Chuck Brooks, Alessio Pecorario, Andreas Iacovou and Yuriy Tykhovlis in un paper hanno provato a immaginare di che cosa dovrebbe occuparsi questo ente, che chiamano Vca (Vatican cybersecurity authority): sviluppare policy e regolamenti (i prelati sono poco formati sui rischi della Rete), monitorare le minacce, assicurare la compliance, facilitare la cooperazione con altre organizzazioni, occuparsi di risposta agli incidenti e disaster recovery e fare formazione.
Il paper propone anche alcuni modelli cui ispirarsi: da quello americano (Dhs Cisa) a quello britannico (National Cyber Security Centre, Ncsc), a quella dellโEstonia (Agency for Cybersecurity, Csirt), passando per le agenzie di Israele, Cipro e Arabia Saudita. Shenouda ritiene che sia necessario rompere gli indugi, prima che sia troppo tardi: โAvanti di questo passo, un giorno o l’altro rischiano di perdere tuttoโ.
