Parlare di sicurezza, hacking e politica alla tecnologia del brainstorming

La sicurezza informatica è stata uno dei temi principali della conferenza di Fortune Brainstorm Tech di questa settimana, e l'ex direttore della CIA John Brennan, l'ex capo della NSA Keith Alexander, l'ex comandante della JSOC Stanley McChrystal e un certo numero di esperti del settore privato hanno tutti parlato della sicurezza informatica. Gran parte della conversazione ha riguardato i presunti hack russi durante le elezioni presidenziali del 2016; Brennan, così come diversi noti giornalisti, hanno discusso di questo problema e del suo impatto. Ero particolarmente interessato alla conversazione su come gli Stati Uniti potevano rispondere a tali attacchi informatici e sulla difficoltà di formulare una risposta adeguata.

L'ex direttore della CIA John Brennan ha discusso del ruolo dell'agenzia nella sicurezza informatica, ma ha affermato che "non esiste consenso sul ruolo del governo nella cyber" in termini di monitoraggio delle attività negli ambienti digitali. Brennan ha affermato che ogni attacco è unico e che il governo deve entrambi attribuire un attacco per determinare la responsabilità e quindi escogitare una risposta adeguata.

Inevitabilmente, la conversazione si è concentrata sul presunto hacking russo delle elezioni del 2016. Brennan ha detto di essersi imbattuto nell'hacking nella primavera dello scorso anno e ha cercato di prevenire le azioni più distruttive dei russi. Ha detto che la CIA ha visto il coinvolgimento russo nelle elezioni europee per molti anni, con propaganda e intelligence sia negli spazi digitali che fisici. Entro l'estate, ha detto, "mi è diventato chiaro che questa era una campagna autorizzata da Putin". Ciò ha portato alla formazione di una "cellula di fusione" con i rappresentanti dell'FBI, della CIA e dell'NSA, in modo che le agenzie potessero condividere informazioni sensibili. Quando CrowdStrike pubblicò prove evidenti che il Comitato Nazionale Democratico era stato violato, divenne una questione molto pubblica, ma disse che la CIA non si era impegnata nelle indagini interne, che sarebbero state di competenza dell'FBI.

Brennan ha affermato che il primo obiettivo della Russia è quello di minare la credibilità del processo elettorale, quindi di danneggiare Hillary Clinton e promuovere Donald Trump. Ha detto che questo non era un problema partigiano e che non voleva vederlo diventare perché non voleva che fosse visto come un impatto sull'integrità delle elezioni. Brennan ha dichiarato di aver informato personalmente il Presidente e la leadership del Congresso della "Banda dell'8" per sottolineare la gravità dell'attacco.

"Mi ha sorpreso il fatto che non vi fosse un interesse più profondo", ha detto Brennan, aggiungendo che "pensava che le considerazioni di parte oscurassero le preoccupazioni sulla sicurezza nazionale".

Brennan, che ha prestato servizio nelle amministrazioni democratiche e repubblicane, ha criticato molto il trattamento del presidente Trump nei confronti della comunità dell'intelligence e della Russia e ha affermato che Trump è un "consumatore selettivo di informazioni". Questo atteggiamento mina la fiducia delle persone all'interno della comunità dell'intelligence, nonché la nostra capacità di lavorare con gli alleati. Brennan ha affermato che il presidente russo Vladimir Putin ha aggredito il processo democratico, ha invaso l'Ucraina e annesso la Crimea e che quando Trump ha affermato che è stato un grande onore incontrare Putin, "mi ha fatto ribollire il sangue".

Alla domanda sull'indagine dell'FBI, Brennan ha affermato che ci sono tre aree da considerare: collusione, ostruzione alla giustizia e irregolarità finanziarie. Ha detto che non sapeva cosa avrebbe trovato l'indagine, ma ha accreditato l'FBI per l'ottimo lavoro svolto su questo tipo di indagini.

Alla domanda se ci fossero cose che la CIA avrebbe potuto fare alle infrastrutture russe, ha affermato che gli Stati Uniti "hanno enormi capacità nel regno cibernetico, difensivo e offensivo". Ma Brennan ha detto che ci sono grandi domande su quando eserciti tali capacità e su quale sarebbe la risposta. "Vogliamo fare le cose che stiamo condannando?" chiese.

In generale, ha affermato Brennan, il governo cerca di dare l'esempio quando possibile. Ha discusso della difficoltà dell'attribuzione, dicendo che è difficile sapere se un attacco sia emerso da un paese e, in tal caso, se il governo lo sapesse, che è molto diverso dal mondo fisico. Ha sottolineato alle sue controparti cinesi che hanno una responsabilità e ha osservato che la maggior parte degli attacchi gravi ha luogo dalla Cina, sebbene non tutti con autorizzazione.

Ho chiesto informazioni sulla crittografia e ha affermato di supportare la crittografia più potente possibile. Ma poi ha aggiunto che non vuole che un dispositivo mobile con crittografia infrangibile "sia un porto sicuro che potrebbe portare alla nostra distruzione". Brennan ha detto che attualmente abbiamo "due poli" su questo tema e spera che il dialogo possa raggiungere un compromesso.

Ex direttore dell'NSA: dovremmo, ma non possiamo, proteggere Internet

Un altro panel si è concentrato sulla sicurezza informatica. Presenta l'ex direttore della NSA Keith Alexander, ora CEO di IronNet Cybersecurity (all'estrema destra), insieme al CEO della sicurezza dell'area 1 Oren Falkowitz (al centro) e al CEO di HackerOne Mårten Mickos.

Alexander ha affermato di ritenere che il furto della proprietà intellettuale sia la più grande minaccia nella sicurezza informatica e dobbiamo considerare che il modo in cui lavoriamo, giochiamo, acquistiamo e memorizziamo IP è ora tutto su Internet. "È tutto a rischio e dobbiamo fare qualcosa al riguardo", ha detto. Alexander ha detto che i "cattivi" ci attaccheranno sempre e come paese dobbiamo fare un lavoro migliore per difenderci.

"Siamo in grado di creare la migliore difesa informatica, e dovremmo farlo", ha detto Alexander, e ha osservato che quando ha recentemente incontrato il presidente Trump, il presidente ha posto tutte le domande giuste ed era ben preparato e concentrato sulla questione. Questo, ha detto, fa ben sperare per quello che stiamo cercando di fare nella difesa informatica.

Falkowitz, che ha lavorato per molti anni per l'NSA, ha osservato che "non è il ruolo del nostro governo proteggere tutti gli utenti dell'azienda da questioni commerciali" e ha affermato che le società private hanno bisogno dell'aiuto offerto dalle compagnie di sicurezza informatica. (L'area 1 offre soluzioni anti-phishing.)

La compagnia di Mickos impiega oltre 100.000 hacker, che cercano debolezze nella sicurezza di un'azienda su invito. Un anno fa, Mickos ha lanciato un programma "Hack the Pentagon", in cui 140.000 hacker controllati hanno riscontrato 138 vulnerabilità in 8 settimane, la prima entro 13 minuti. Ha paragonato questo all'immunizzazione e ha affermato che la ricerca di vulnerabilità è il "modo migliore per proteggere il software".

Una grande domanda che è emersa riguardava la conservazione da parte del governo di alcuni bug che ha scoperto per l'uso nelle sue capacità di raccolta di informazioni. Alexander ha affermato che "il 90 percento dovrebbe essere e essere condiviso", ma che il paese deve passare attraverso un "processo azionario" e mantenere alcuni bug che sono eccezionalmente difficili da trovare, che può quindi utilizzare per inseguire i terroristi, ad esempio. Ma Alexander ha detto, il governo ha bisogno di un modo rapido per rivelare la vulnerabilità in caso di fuoriuscita, oltre a una capacità di tracciare gli incidenti se ciò accade. Ha detto che la NSA sta facendo un vero sforzo per bilanciare queste preoccupazioni. "Se riesci a proteggere completamente Internet, dovremmo farlo", ha detto, "ma non possiamo".

Falkowitz ha detto che è un errore concentrarsi sui bug e che dovremmo invece concentrarci su tempo e azione, osservando che Microsoft ha rilasciato una patch per WannaCry molto prima che la vulnerabilità fosse sfruttata.

Ho chiesto ad Alexander dove attraversare il confine tra spionaggio e "guerra cibernetica" e mi ha detto che tutto si riduce all'intento di infliggere danni. Ha detto che si capisce che le nazioni si spiano l'un l'altro - ogni nazione lo fa - ma gli attacchi contro la Sony e in Ucraina, per esempio, hanno superato il limite. Gli stati-nazione che intendono fare del male "ci metteranno alla prova nel cyberspazio", ha affermato.

Hacking, notizie false e media

In un panel su "fake news", sia il corrispondente di NBC News, il corrispondente degli Affari esteri, Andrea Mitchell (al centro), sia il corrispondente della Sicurezza Nazionale del New York Times, David Sanger (a sinistra), hanno difeso le loro storie sugli sforzi della Russia di utilizzare l'hacking per influenzare le elezioni statunitensi. Mitchell, in particolare, si è concentrato sul modo in cui le elezioni potrebbero essere state influenzate da robot e organizzazioni criminali che mirano al microtargeting di informazioni false o fuorvianti in specifici recinti in tre stati.

Sanger ha osservato che il Times ha pubblicato una serie di attività russe in altri paesi e ha affermato che ciò che la Russia ha fatto in Ucraina è stato un "banco di prova" per tutte le tecniche utilizzate nelle elezioni statunitensi dello scorso anno, nonché in altre elezioni di Europa. Ma ha aggiunto che, sebbene spesso sia possibile determinare l'origine di un hack, è difficile identificare chi supporti gli hacker, che si tratti di un governo, criminali, adolescenti o "hacker patriottici", quindi esiste un livello di negabilità.

Entrambi hanno difeso con fervore le loro storie e hanno criticato la definizione da parte del presidente di storie che non gli piacciono come "notizie false". Mitchell ha riconosciuto che c'è sempre stata tensione tra il presidente e i media, ma ha detto che l'attuale tensione è diversa e incredibilmente pericolosa. Isaac Lee (a destra), Chief Content Officer di Univision e Televisa, ha affermato che "questo sta iniziando a sembrare un paese del terzo mondo latinoamericano". Tuttavia, Sanger ha affermato che l'errore più grande che i media potrebbero fare sarebbe quello di "diventare la resistenza al governo" e che la stampa deve semplicemente concentrarsi sulla produzione di giornalismo di qualità e basato sui fatti.

Mitchell e Sanger hanno parlato della difficoltà di coprire alcune storie, come le e-mail illegalmente violate del responsabile della campagna di Clinton John Podesta. Mitchell ha affermato che le e-mail hanno un valore per le notizie e che sono state coperte dal punto di vista dell'impatto politico, ma ha dichiarato "non abbiamo capito" cosa fare con questo tipo di materiale. Sanger ha detto di aver scritto storie basate sulle e-mail che hanno anche sottolineato la stranezza della fonte di notizie. "Abbiamo molto da pensare e autoriflessione su questo punto", ha detto.

"Far cambiare un'organizzazione è difficile"

Il generale in pensione Stanley McChrystal, ex comandante delle forze statunitensi in Afghanistan e sviluppatore del programma antiterrorismo, ha discusso principalmente della leadership, che sarà oggetto di un libro in uscita che lui e il suo gruppo stanno scrivendo.

McChrystal ha osservato che sia nel settore militare che nel mondo degli affari, le strutture di gestione che hanno funzionato nell'era industriale hanno "improvvisamente smesso di essere efficaci". Ha detto che le cose stanno accadendo così rapidamente che i tradizionali sistemi burocratici e meccanici lottano. "La tecnologia non è mai il problema, ma far cambiare un'organizzazione è difficile", ha affermato McChrystal, osservando che una cultura all'interno di un'organizzazione riflette ciò che ha funzionato in passato.

Per quanto riguarda la politica estera, si tratta di alleati, ha detto McChrystal, aggiungendo che "America First" suona come "America Only" nel resto del mondo ". Dopo la seconda guerra mondiale, ha affermato che gli Stati Uniti rappresentano il 46 percento del PIL mondiale, ma non è più così. Alla domanda sul presidente, ha esortato il pubblico a dargli un'occhiata personale e immaginare di mettersi nei suoi panni. "Sii empatico", disse, "prendi la tua decisione."

Un problema messo in evidenza da McChrystal è come la maggior parte degli americani non ha molti contatti con i militari. Solo il 30 percento dei giovani americani è qualificato per partecipare all'esercito e ha affermato che "ogni giovane americano merita l'opportunità di svolgere un anno di servizio nazionale". Il presidente della conferenza Adam Lashinsky di Fortune ha chiesto se ci fossero militari in servizio attivo nel pubblico; non vedendo nessuno, si impegnò a fare in modo che il prossimo anno cambiasse.