Alla fine di Dicembre, con gli auguri di fine anno, tutto il personale dell’Esercito Svizzero ha ricevuto una comunicazione contenente una direttiva con effetto immediato: con il nuovo anno, tutte le comunicazioni ufficiali o per scopi di servizio per mezzo del proprio smartphone privato, sarebbero state vietate attraverso l’uso delle tradizionali applicazioni di messaggistica istantanea. Prima fra tutte WhatsApp, la più utilizzata in Svizzera con un tasso di oltre il 75% degli utenti, percentuale che lievita fino al 95% nella fascia d’età 15-24 anni. La popolare piattaforma di comunicazione non è la sola ad essere stata interessata dal divieto, il ban è stato esteso anche a Telegram, Signal e Messenger. La motivazione; la sicurezza dei dati e la privacy delle comunicazioni tra chi le utilizza non è garantita. Tutte queste applicazioni, nonostante utilizzino crittografia denominata end-to-end (letteralmente “da un estremo all’altro”, dove i provider non posseggono le chiavi di decifrazione delle comunicazioni che vengono generate dai dispositivi dei due utenti), non garantiscono che le informazioni trasmesse non possano essere violate, per il fatto di essere controllate da società americane o con server dispiegati negli Stati Uniti, quindi soggette al “Clarifying Lawful Overseas Use of Data (CLOUD) Act”. Tale decreto impone alle aziende statunitensi provider di servizi cloud (o anche estere con una sede su suolo americano) di lasciare accesso e trasmettere, se richiesto, i propri metadati alle Autorità, anche se presenti su server dislocati al di fuori degli Stati Uniti. Una condizione di rischio non accettabile per Armasuisse, che ha portato al divieto di utilizzare, per comunicazioni con scopi di servizio, applicazioni di messaggistica istantanea di provider americani.

La scelta: un’applicazione “DOC”

L’Esercito ha deciso quindi di introdurre l’Elvetica Threema per il flusso di comunicazioni individuali e di gruppo, sostenendo la sua affidabilità sulla sicurezza nello scambio delle informazioni, almeno fino a quelle ufficiali di livello “interno” e, in alcuni casi, “confidenziale”. Le motivazioni, spiegano, che hanno portato a preferirla rispetto ad altre sono molteplici: utilizza crittografia di tipo end-to-end, non necessita di dati personali per iscriversi, è compliante con il General Data Protection Regulation (GDPR) Europeo e, ago della bilancia nella sua scelta, il fatto che l’azienda sia Svizzera. Ne consegue quindi che essa sia solamente sottoposta alla giurisdizione della Federazione, escludendo di fatto il rischio di rientrare sotto il CLOUD Act americano. Per di più, l’Amministrazione Federale e quella dell’Esercito hanno già in uso Threema Work, versione Corporate dell’app ed indicata per grandi organizzazioni con molti utenti.

Ciò nonostante, per l’intera Milizia e relative gerarchie si è optato per la versione ad uso Privato, con copertura dei costi di acquisto della licenza di download a carico delle Forze Armate.

Le perplessità sulla scelta

Le mancanze nella sicurezza, sostenute dall’Alto Comando Militare e che hanno portato all’esclusione delle più diffuse piattaforme di messaggistica istantanea dalle comunicazioni di tutto lo staff, per quanto fondate e giustificate vengono sopperite solo in parte dalla nuova soluzione, semplicemente traslando geograficamente le vulnerabilità evidenziate. Se è indubbiamente vero che l’utilizzo di uno strumento con sede fisica dei server in territorio elvetico sia sottoposto solo alla giurisdizione Svizzera, escludendo di fatto quella di altre Nazioni (tra cui quella americana), alcune considerazioni meritano di essere fatte.

Innanzitutto, trattasi come per le altre applicazioni di un’azienda privata, proprietaria dei server attraverso cui passano le informazioni e sulle quali l’Esercito non ha, in sostanza, nessun controllo. Altra considerazione è che per funzionare, essa necessiti in parte dei Google Services e notifiche push non proprietarie (salvo escluderli, operando con diverse limitazioni), riportandoci al punto di partenza ovvero l’azzerare completamente il rischio che aziende o enti governativi stranieri possano, in qualche modo, aver accesso ai dati. Anche volendo tralasciare il campo puramente ipotetico, del fatto che non è dato sapere fino in fondo una corporate privata da chi o da quale ente possa essere detenuta o sotto controllo, è possibile affermare innanzitutto che l’infrastruttura di server attraverso i quali passano le informazioni, la rete VPN persistente e il Mobile Device Management (MDM) che gestisce gli utenti, dovrebbero essere detenuti al 100% dal soggetto interessato, in questo caso Armasuisse. Questo l’unico modo assicurabile per escludere qualsiasi ingerenza esterna.

L’ultimo è, che nonostante qualsiasi applicazione sicura possa essere fornita per le comunicazioni tra tutto il personale, si stia tralasciando la più grande delle vulnerabilità: il dispositivo su cui essa viene installata ed utilizzata.

Lo smartphone che la supporta è lo stesso che l’individuo possiede per uso privato, sprovvisto nella stragrande maggioranza dei casi di applicativi antivirus/malware e firewall efficaci, con il quale navigare su internet attraverso browser non sicuri, accedendo a reti mobili sprovviste di VPN o WiFi aperte e non affidabili come quelle di ristoranti e luoghi pubblici, mandando e ricevendo email di ogni tipo ed installando applicazioni non verificate. Tutto ciò, senza la minima supervisione o coordinamento da parte di un MDM proprietario, lasciando ogni azione al singolo utente e in maniera autonoma.

Per poter operare all’interno di un ambiente considerato completamente sicuro anche nelle comunicazioni mobili, è necessario implementare un’architettura e applicare quei principi denominati “Zero-Trust”, attraverso un dispositivo appositamente ingegnerizzato e costruito, facente parte di una rete indipendente e sulla quale si ha il completo controllo.

A cura di: Ferretto Marcello

