Sicurezza informatica: prima visione sistemica (2/2)
La sicurezza informatica attraverso il grandangolo del pensiero sistemico: cause, effetti, scenari.
Ci siamo lasciati una decina di giorni fa.
Eravamo rimasti a questo punto:
[Clicca sull’immagine per ingrandirla]
P otremmo ricominciare il discorso chiedendoci come intervenire sulle grandezze più perniciose, come per es. “Sviluppo delle tecniche di hacking” o “Costo delle soluzioni sicure” (legate fra loro, con tutta evidenza).
La prima grandezza è ben difficile da arginare; una bizzarra visione delle cose potrebbe essere la seguente, rappresentata da un curioso circolo di bilanciamento, il B3
In pratica, meno proteggiamo i dati, meno le tecniche di hacking si evolvono.
Certo, messa così sembra perfino logica ma, come detto, sarebbe stravagante considerarla una soluzione davvero percorribile, non fosse altro perché manca, al minimo, questo:
No, decisamente non è questa la via per andare in paradiso: lo sviluppo delle tecniche, a questo punto del nostro discorso, non sembra ancora arginabile.
N.B.1: potrei inserire, come deterrente, l’inasprimento delle pene ma sarebbe operazione piuttosto accademica visto che si è già rivelato inefficace e poco applicabile.
N.B.2: si potrebbe obiettare che la diminuzione della grandezza “Domanda/uso di servizi non sicuri” non necessariamente comporti una crescita di “Sviluppo delle tecniche di hacking”. Teoricamente vero perché gli utenti, piuttosto che dotarsi di servizi sicuri, potrebbero decidere di smettere semplicemente di essere…utenti, ipotesi questa che mi pare al momento risibile o quanto meno residuale.
Proviamo ad andare avanti.
Ci eravamo posti, come esercizio, un secondo obiettivo: limitare i costi della sicurezza informatica, e qui forse abbiamo più margini di manovra.
La cosa più semplice da pensare è aumentare la concorrenza, la varietà di operatori sul mercato della sicurezza, e se fosse così facile basterebbe questo:
Purtroppo però abbiamo già imparato che le cose non sono mai così semplici. Per esempio:
N on so come la pensi tu ma io ho notato che le soluzioni proposte via via dal mercato non brillano per semplicità, dove per “semplicità” intendo sia l’immediatezza e la facilità d’uso sperimentata dall’utente sia la loro facilità di inserimento nel sistema cui sono destinate, a tutto beneficio dei team, dei Responsabili IT e dei costi che ne conseguono.
Osserva quest’altra sezione:
Mi sono persuaso che la grandezza “Facilità d’uso delle soluzioni sicure” sia legata da una relazione inversa tanto rispetto ai tempi di realizzazione concessi ai team di sviluppo quanto alla mancanza di vera innovazione nel settore, quest’ultima fatalmente connessa alla prima.
Le aziende dovrebbero avere (o imporsi) il tempo di fare vera ricerca, anziché continuare ad “accessoriare” o complicare tecniche note e soluzioni già viste; il solo scopo è quello di variare l’offerta e soddisfare prontamente una domanda di mercato che solo per il momento è impreparato e quindi attratto da soluzioni apparentemente innovative; in ultimo, occorre dire che proprio questa politica da “minestra riscaldata” (non me se ne voglia) non segna mai una reale distanza dallo sviluppo delle tecniche di hacking che anzi sono la vera lepre (e non viceversa come invece sarebbe auspicabile).
Messa così sembrerebbe dunque che i costi per la sicurezza informatica lievitino anche a causa dello sviluppo di soluzioni troppo complesse e non innovative, difficili da usare e/o da implementare nei sistemi ospiti.
Altrettanto notevole mi sembra ciò che ci suggerisce il grafico quando ipotizziamo grandezze inverse: al diminuire della domanda di servizi di sicurezza la ricerca non si interrompe immediatamente (per effetto del delay) e quindi le aziende possono, a quel punto, investire tempo e risorse in affinamento della ricerca stessa senza che ciò rappresenti una “perdita di occasioni”.
All’inizio del nuovo ciclo positivo, che senza dubbio si ripresenterà, si potranno ripresentare sul mercato con soluzioni realmente innovative: questione di cultura, aziendale e non solo, come visto.
Mi sembra un risvolto interessante e per nulla campato in aria.
Sì, pare proprio che abbia senso, che ne dici?
Bene, direi che è giunto il momento di mettere tutto a sistema e vedere cosa ne esce.
Può sembrare complesso ma in realtà ho tracciato il diagramma indulgendo a notevoli semplificazioni le quali, tuttavia, non mi pare sottraggano utilità all’esercizio: lo scopo, in questo articolo, è quello di stimolare osservazioni e riflessioni fuori dal coro, quanto basta per spingere a uno studio del tema da punti di vista diversi.
Fra le altre cose noterai che ho lasciato un elemento “esogeno”, un elemento cioè che non sembra nascere come comportamento emergente o come conseguenza naturale e significativa del sistema (almeno per come lo abbiamo disegnato e stanti le premesse): la CULTURA DELLA SICUREZZA.
In altre parole la cultura della sicurezza è un’azione che va pianificata e introdotta nel sistema scientemente, dall’”esterno” (se mi consenti la “licenza concettuale” dato che non si è mai esterni a un sistema), un’inoculazione di informazioni ordinate che altrimenti non emergerebbero spontaneamente dal sistema lasciato a se stesso.
1. Questa è perciò una prima indicazione: aziende, scuole, istituzioni devono farsi seriamente carico di formare l’utenza sul tema della cybersecurity e sulle possibili contromisure, comprese, se non addirittura prima delle altre, quelle di carattere comportamentale.
2. Il secondo punto inerisce ancora alla cultura della sicurezza ma in questo caso nel senso di “ricerca e innovazione”: una soluzione che fosse più semplice da usare, integrabile in tutti i sistemi, che necessiti di poca manutenzione e che fosse meno vorace in termini di risorse potrebbe affacciarsi sul mercato con un’offerta competitiva, più efficace e meno disincentivante rispetto a quelle cui siamo abituati, troppo spesso appannaggio di grandi strutture che possono destinarvi budget consistenti.
Oltre a ciò, osservando il grafico, si scopre che una riduzione dei prezzi può inopinatamente favorire, alla lunga, la R&S e l’ingresso di nuovi competitor nel mercato, innescando così un circolo virtuoso (a quel punto anche di carattere culturale poiché la competizione si sposterebbe giocoforza su quel terreno liberandoci dalla necessità dell’inserimento “esterno” di cui parlavo).
3. Terzo punto. I rovinosi circoli R6 e R6bis.
Se sul fronte degli aspetti legislativi possiamo fare poco, almeno nel breve, dall’altro possiamo invece domandarci se può esistere una soluzione di sicurezza informatica che non alimenti la crescita e lo sviluppo delle tecniche di hacking e cracking o che, almeno, le rallenti di molto. Come ho già accennato (e avremo modo di dire ancora), il panorama dell’offerta in tema di sicurezza, pur ampio, è piuttosto piatto; in altre parole le soluzioni proposte sono spesso rivisitazioni o ricombinazioni fantasiose e composite di tecniche note.
La tendenza diffusa è quella al muscle hardening, alla stratificazione ad “alto livello” (quando la scelta più efficiente e sistemica sarebbe invece quella di lavorare al livello OSI più basso possibile) e all’irrobustimento dei dispositivi anti penetrazione, il che non aiuta molto e di certo non cambia le carte in tavola: ci sarà sempre qualcuno che ha un ariete più potente di quanto lo sia la blindatura della tua porta! Ecco allora che soluzioni di sicurezza che avessero le caratteristiche tratteggiate al punto 2 cambierebbero anche questa sezione dello scenario.
Nella prima parte di questo articolo ho scritto di “una continua rincorsa degli uni sugli altri, un braccio di ferro apparentemente destinato a continuare in eterno, almeno fino a quando ci sarà un terreno [o un portone blindato] che ospiti lo scontro”.
Bene, prova a immaginare se non ci fosse più un portone da sfondare, se cioè non ci fosse più quel tipo di terreno a ospitare il solito scontro: una soluzione che spezzasse questo circolo, rivoluzionerebbe il sistema!
È su questi criteri, e su altri che vedremo in seguito, che LATERALCODE ha concepito, progettato e realizzato iceGate!
C ome puoi immaginare ho scritto questo articolo su un editor di testo.
Se ora lo stai leggendo significa che anche tu sei davanti a un altro schermo, grande o piccolo che sia.
Bene, adesso domandati quante delle cose che sai, che fai e che hai, passano attraverso lo schermo di un pc, di uno smartphone, di un tablet. Alcune hanno un’importanza marginale, probabilmente come questo stesso articolo ma… quante di quelle più importanti si trovano depositate, custodite e quindi “affidate” a un computer piazzato in qualche parte del mondo? Mi riferisco a cose come documenti di proprietà, di identità, dati personali e riservati, email, messaggistica, conti correnti, carte di credito, profili di mercato, credenziali di accesso, documenti della P.A., fiscali, contabili, aziendali e via dicendo: la nostra vita, così come la intendiamo adesso, non è più conservata al sicuro fra le “nostre mura” ma in “casa di altri”, e cioè sui server di tutte le aziende che ce ne forniscono il servizio, che ci permettono l’uso di quei dati e che ci “promettono” di proteggerli.
Spesso va bene, altre volte no; e quando va male, va male di brutto.
Sì, ok, ma figurati se deve capitare proprio a me…