Vale la pena di leggere du Wired questo articolo di Schneier, con il quale però non riesco ad essere completamente d’accordo. Naturalmente concordo con il fatto che integrare la sicurezza dei prodotti è più efficace che aggiungerla dopo. Tuttavia, Schneier porta il discorso troppo avanti: il fatto che prodotti e servizi siano intrinsecamente più sicuri non vuole dire che la sicurezza smette di essere un problema per l’utente. Il motivo è semplice: la sicurezza è un processo e non un prodotto. È un processo che parte dalle esigenze dei processi di business, e comprende molte attività che non hanno a che fare con l’infrastruttura tecnologica. Ad esempio, la gestione delle autorizzazioni ha solo come azione “finale” la scrittura di qualche regola in un sistema di gestione, ma parrte dalla componente umana. Queste attività non spariscono dalle preoccupazioni (e dal controllo) dell’utente per aver comprato qualche prodotto o qualche servizio di ICT, e in effetti i problemi più gravi sono qui, non nel supporto tecnologico. Naturalmente sarebbe possibile dare in outsourcing buona parte del “processo sicurezza”, ma questo è un problema diverso. In pratica, far sparire un prodotto o servizio di sicurezza nel prodotto o servizio ICT che è destinato a proteggere fa sparire solo le preoccupazioni legate a quel prodotto, non al processo sicurezza nel suo complesso. Naturalmente non sto dicendo che è poco. Purtroppo però, questo aspetto non traspare dall’articolo di Schneier perché gli esempi che fa sono tutti legati agli aspetti tecnologici della sicurezza delle reti. Quello è chiaramente un contesto che ben si presta all’outsourcing, integrato in un servizio ICT. Io ad esempio compro la mia connettività ADSL (proprio da un’azienda del gruppo BT) perché mi da maggiori garanzie di disponibilità, ma questo non mi esime ad esempio dal monitorare le prestazioni che effettivamente mi vengono fornite, nè dal gestire l’allocazione della banda disponibile ai diversi servizi. Considero però ben più che utopistici concetti come: “If bad network traffic couldn’t be used to attack computers, no one would bother buying a firewall”; qui non stiamo neppure parlando di prodotti, ma di un'”Internet sicura” in senso generale: nel migliore dei casi, è come dire che se le strade fossero sicure non ci sarebbero incidenti. Oppure, sta dicendo che l’outsourcer si preoccupa di implementare lui il firewall, ma a parte il traffico banalmente riconoscibile come “bad”, per il resto la difficoltà non sta nel mettere la regola nel firewall, ma nel decidere quale traffico deve essere ammesso. E, come non mi stanco di ripetere, i veri problemi di sicurezza del prossimo futuro non sono legati al traffico illegittimo dall’esterno, ma al controllo di cosa possono legittimamente fare gli utenti interni: un problema che è ben lontano dall’essere risolvibile con un prodotto.
Tuttavia, questa è solo una parte delle mie perplessità. Per vedere le altre farò un paio di esempi del settore automobilistico. Siccome le analogie sono sempre rischiose, commenterò poco i due esempi, ma vale comunque la pena di ragionarci sopra. Il primo esempio riguarda gli antifurti. Ricordo un aneddoto, del quale però non ricordo la fonte e la cui autenticità è naturalmente da dimostrare. Mentre adesso l’efficacia degli antifurti sembra aumentata, fino a poco tempo fa anche i modelli di auto di fascia alta erano relativamente facili da rubare a causa di difetti a volte grossolani negli antifurto. Alla domanda: come mai non viene messo maggiore impegno nella realizzazione di antifurti di qualità, una persona del settore avrebbe risposto: “Per me, un’auto rubata è un’auto venduta”, nel senso che chi subisce un furto compra un’altra auto. È chiaro che, in generale, gli interessi di chi vende un prodotto possono essere diversi da quelli di chi lo compra. Schneier in fondo evidenzia questo problema quando dice: “Additionally, as long as IT security is a separate industry, there will be companies making money based on insecurity — companies who will lose money if the internet becomes more secure”. Tuttavia, anche nei prodotti non specificamente di sicurezza siamo invitati spesso ad acquistare versioni nuove “perché sono più sicure”; se vogliamo, l’insicurezza di un prodotto può essere una garanzia di future vendite anche fuori dal settore specifico della sicurezza.
Il secondo esempio riguarda il modo di proporre i prodotti e servizi, e si riferisce agli airbag. Inizialmente, gli airbag erano disponibili solo sulle vetture di fascia medio-alta, come parte degli allestimenti di lusso. Questo naturalmente non aveva niente a che fare con la valutazione del rischio dell’utente, che magari non è interessato a un’auto da 200 CV con interni in pelle, ma in caso di incidente ci tiene alla propria buccia anche se viaggia su un’utilitaria. Solo quando alcuni paesi hanno reso obbligatorio l’airbag su tutte le nuove auto vendute (compliance…), è diventato disponibile su tutti i modelli. Esempi simili nel campo IT se ne trovano tanti. Uno molto chiaro è la disponibilità del protocollo SSL fra le caratteristiche delle offerte di hosting: è comune che sia disponibile solo con i pacchetti più costosi, mentre in realtà non ci sarebbe nessun rapporto fra l’esigenza di usare SSL e quella di disporre di più banda o spazio disco. In questi casi, significativi proprio perché si tratta di outsourcing, l’utente può fare poco per rimediare, salvo pagare di più per servizi che non gli interessano, cosa che raramente è disposto a fare in nome della sicurezza. Il fatto di vendere la sicurezza come “accessorio” di un servizio può portare ad avere “sicurezza” solo per servizi che sono costosi per tutt’altri motivi.
Veniamo quindi ad un esempio più specificamente di sicurezza, e cioè i personal firewall. Sono nati per rimediare a carenze dei sistemi Windows 95/98/ME/2000. Con Windows XP, Microsoft ha seguito proprio la strada indicata da Schneier, ovvero integrare la sicurezza nel prodotto, e infatti Windows XP ha un personal firewall integrato. Fine dei problemi? Certo che no: la disponibilità di prodotti alternativi ha permesso immediatamente di capire i limiti del firewall integrato, che di fatto ha cambiato poco nel mercato dei personal firewall. Il risultato è che il firewall di Vista è stato migliorato. Meno male che con il firewall di XP l’industria dei personal firewall non è scomparsa dentro al prodotto…
In realtà, a prate i discorsi sulla “scomparsa” dell’industria della sicurezza, sono d’accordo con Schneier sul punto più importante: la sicurezza deve prima di tutto nascere all’interno dei prodotti ICT. Sarà senz’altro un grosso beneficio per i clienti di BT che (alcuni dei) servizi offerti da BT possano usufruire in modo integrato di servizi come quelli di Counterpane, ma la sicurezza di un sistema ICT non è tutta lì. La sicurezza deve nascere soprattutto dalla progettazione di servizi che non presentino vulnerabilità, non come integrazione di soluzioni nate per rimediare a posteriori alle vulnerabilità stesse. La soluzione non è quindi integrare l’antivirus nel prodotto, ma prima di tutto disegnare il sistema operativo e gli applicativi in modo da limitare i danni che può fare il virus. Il che, ovviamente, è molto più difficile che acquisire una società che produce antivirus.
Non credo che comunque sia auspicabile, allo stato attuale, che l’industria della sicurezza “sparisca” in un mercato interno per i fornitori: l’IT è troppo complessa e in evoluzione, e la sicurezza è troppo importante perché al momento la si possa interamente delegare ai fornitori di prodotti e servizi ICT: spiacente, tocca interessarsene 😉 Naturalmente non sto dicendo che non abbia senso dare parte della gestione della sicurezza in outsourcing, ma l’outsourcing deve essere su questa funzionalità specifica. Casomai, il mercato dei prodotti di sicurezza può diventare un settore specialistico frequentato principalmente da outsourcer di servizi di sicurezza, ed in parte è già così.
A proposito, proprio qualche giorno fa ho visto in un’auto uno di quegli antifurti gialli e rossi ad ombrello che servono per agganciare il volante ai pedali: per rimediare ai limiti dell’antifurto integrato 😉
