Il numero di giugno ha alcuni pezzi veramente interessanti. “Portrait of the Modern Terrorist as an Idiot” tratta un tema caro a Schneier, il rapporto fra il chiasso creato intorno ad alcuni “movie-plot threats” e il rischio effettivo, ma nel genere è forse il suo pezzo migliore. Cito fra i molti un passaggio:” The most ridiculous JFK Airport-related story goes to the New York Daily News, with its interview with a waitress who served Defreitas salmon; the front-page headline blared, “Evil Ate at Table Eight.” Following one of these abortive terror misadventures, the administration invariably jumps on the news to trumpet whatever ineffective “security” measure they’re trying to push, whether it be national ID cards, wholesale National Security Agency eavesdropping or massive data mining. Never mind that in all these cases, what caught the bad guys was old-fashioned police work — the kind of thing you’d see in decades-old spy movies.” E sempre riguardo i movie-plots, ha assegnato il primo premio del secondo “movie-plot contest”. Un altro tema che affronta spesso è quello della “percezione della sicurezza”, qui trattato nel primo articolo; niente di nuovo, ma per me ormai un triste convincimento: non riusciremo mai a far accettare (o a vendere) la sicurezza alle aziende sulla base di valutazioni del rischio anche credibili. Il processo con cui viene realmente valutato il rischio e in base al quale vengono prese le decisioni, in barba a tutti i calcoli, è molto diverso. La valutazione del rischio può solo servire a decisione già presa per decidere dove allocare il budget. E sempre di come vengono prese le decisioni sulla sicurezza parla un altro pezzo, che peraltro mi sembra un po’ meno solido. Insomma, la sicurezza alla fine entra nelle aziende per due vie: la prima sono gli attacchi continui e ripetuti, che rendono evidente il problema; non a caso le tecnologie che tutte le aziende adottano sono antivirus e firewall. Del resto, è il modo in cui si sono sviluppate le misure di sicurezza fisiche più diffuse, come le serrature. L’altro canale è la compliance. Il grosso problema della compliance è però che serve solo per la tutela di terzi, fatte salve, per quanto ne so, solo alcune norme che impongono di tutelare la propria incolumità fisica. Mi aspetto al riguardo degli sviluppi interessanti dall’attenzione che sta nascendo sulle botnet. Si sta infatti scoprendo una cosa in realtà nota da tempo, e cioè che la natura distribuita di Internet vale anche per la sicurezza: Internet è sicura se i suoi nodi sono sicuri, e attualmente la maggior parte dei nodi non lo è. Di primo acchito vedo due strade per rendere sicuri attraverso la compliance i sistemi domestici e delle piccole aziende, che costituiscono la maggioranza dei nodi Internet: rendere sicuri i sistemi, tipicamente imponendo il rispetto di requisiti a chi distribuisce software di base, o imporre ai provider meccanismi che rimedino all’insicurezza dei loro clienti e del relativo software di base, meccanismi che non potranno non passare attraverso vincoli sempre più stretti (e sempre in buona parte inefficaci) sul traffico permesso. Si accettano scommesse su quale strada verrà scelta…
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
