Quando dobbiamo presentare i rischi di sicurezza per i sistemi informativi, secondo me non è il caso di presentare complicati scenari tecnologici e attacchi sofisticati che magari chi ascolta (pubblico o clienti) non è in grado di apprezzare. La cosa più semplice è farsi un giro su Internet e raccogliere notizie fresche di due o tre giorni. Se ne trovano sempre in abbondanza. Qualche esempio. Un cliente di una banca australiana ha continuato ad emettere assegni, ben oltre la propria disponibilità, senza che la banca se ne accorgesse per anni. Una truffa? Sembra che semplicemente la banca non abbia gestito correttamente il limite al suo “rosso”. Senza accorgersene per anni, appunto. Un consulente di sicurezza svedese ha pubblicato un elenco di un centinaio di password di caselle di posta di ambasciate. Non ha detto come ha fatto, perché altrimenti “It will only take 10 minutes and every script kiddie is going to be using the exact same method,” he told The Reg. “I’m probably not the first one grabbing these passwords, but I’m absolutely the first one publishing them.”
Se ne possono trovare quante se ne vogliono. Servono per spaventare i clienti? FUD? No: semplicemente, mostrano come il mancato rispetto delle good practice comporti dei rischi. Good practice non vuole dire comprare prodotti: vuole dire prima di tutto, appunto, practice: pratiche, comportamenti. Il caso delle caselle di posta è eclatante: pur non avendo descritto la tecnica usata, il consulente dice che “users of the accounts were misusing a common security application in a way that allowed him to perform a man-in-the-middle attack. He declined to give further details, other than to say its a client application and that the vendor has offered ample warnings to customers not to use the program in a certain way that makes them vulnerable to the attack”.