Non credo che il numero di account compromessi, riportato in questo articolo di Punto Informatico, sia in sè interessante. Lo dico con un certo cinismo, dato che è più di quanti siano gli utenti di Internet in Italia; purtroppo però a queste notizie siamo abituati. La notizia interessante è che la cosa è andata avanti due anni e mezzo prima che se ne accorgessero. Vediamo il problema in termini di gestione della sicurezza. C’è stato, certo, un momento in cui una qualsivoglia vulnerabilità ha permesso che la situazione si instaurasse. Che fosse un baco software, un errore di configurazione, un comportamento scorretto di un dipendente o altro, poco importa: vulnerabilità ce ne sono e, per quanto è possibile immaginare, ce ne saranno sempre. Una volta sfruttata la vulnerabilità e instaurato il canale che ha permesso di sottrarre le informazioni, la vulnerabilità non era più necessaria. Tuttavia, su qualche sistema e sulla rete c’era dell’attività illegittima e c’erano degli accessi illegittimi che per due anni e mezzo si sono svolti senza che nessuno se ne accorgesse. Certo, si potrebbe dire, non serve molto traffico per questo tipo di attività, ed era facile mescolarlo a quello legittimo. Il che è vero; meno ovvio è che sul sistema o sui sistemi coinvolti potesse girare indisturbato per due anni e mezzo del codice che accedeva a dati senz’altro riservati. Sia chiaro, non sto dicendo che il problema fosse semplice, specialmente con la complessità dei sistemi attuali. Tuttavia, è anche vero che la sicurezza è troppo focalizzata sulle vulnerabilità, e troppo poco sull’accesso ai dati. Ho già detto più volte che il grosso problema che dovremo affrontare nel prossimo futuro è quello degli accessi illegittimi da parte del personale autorizzato, problema che del resto già vediamo ogni tanto in modo anche clamoroso nella cronaca. Il problema del controllo degli accessi è però più generale. Seguivo in questi giorni su loganalisys un thread relativo al logging degli accessi ai database, e non ne emerge un quadro confortante: si tratta in pratica di un’attività che interessa solo quando necessaria per compliance a qualche normativa. Il che purtroppo è vero per molti aspetti della sicurezza, e per un motivo molto semplice: spesso l’insicurezza di un sistema non porta un danno diretto a chi lo gestisce, ma a terzi, e quindi chi lo gestisce non ha interesse ad investire per curarne la sicurezza. Il furto di identità, il phishing e il caso riportato nell’articolo di Punto Informatico ne sono esempi chiari. Per questo sono importanti normative come quella sui dati personali: non perché costringono le aziende a curare la propria sicurezza, ma perché chiariscono che determinati comportamenti sono negligenti e che quindi in caso di accesso abusivo le aziende pagheranno i danni che ne derivano ai clienti. Tuttavia, riconoscere le violazioni ai sistemi informativi non è facile; se vengono rubati dei gioielli in custodia in una cassetta di sicurezza, il furto e la responsabilità (in termini di custodia) sono abbastanza evidenti. Se invece qualcuno accede a dei dati personali e poi li utilizza, anche quando l’utilizzo viene scoperto non è facile risalire a dove le informazioni siano state raccolte illegittimamente. Lo vediamo tutti i giorni con lo spam, non sappiamo qualsi mai dove è stato preso il nostro indirizzo di posta elettronica. Ecco perché è importante che i comportamenti e i sistemi utilizzati in contesti in cui possono essere prodotti danni a terzi rispondano a determinati requisiti minimi. Il concetto non è certo nuovo: le automobili devono rispondere a determinati requisiti di sicurezza perché non è ragionevole aspettare che ci siano degli incidenti, che ad esempio con freni non funzionanti sarebbero quasi certi, per poi pagare i danni: è molto più ragionevole assicurarsi che almeno le cause banali degli incidenti siano evitate. Nel caso delle automobili, mentre io posso guidare un mezzo modificato in contesti particolari (si pensi alle gare automobilistiche), se si vuole circolare sulle strade pubbliche i mezzi sono controllati da tre punti di vista: requisiti di sicurezza alla produzione, comportamento dell’utente (es. limiti di velocità), verifiche periodiche sullo stato di sicurezza (revisioni). Naturalmente, c’è differenza fra i danni che può provocare un’auto senza freni e quelli che può provocare il pc di un utente, ma è altrettanto vero che quando un pc sparge virus per Internet perché non è curato, la logica è la stessa dell’auto che inquina perché il motore non ha avuto manutenzione. Allora forse anche per i pc si potrebbe cominciare con le cose più semplici: la cura nella produzione, e la responsabilità per la negligenza…
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
