Non esiste la sicurezza “informatica” (lungo)

Nella gestione della sicurezza informatica manca la paura, quella vera, che è sana: se gestita correttamente consente di evitare comportamenti pericolosi e insegna una corretta cultura della prevenzione. Vale offline e ma anche online. I manager della sicurezza non sanno cosa sia la paura. E non perché sono coraggiosi. di Andrea Monti Key4Biz.it del 29 marzo 2017

There is no such thing as “information security” – non esiste la sicurezza “informatica”. Siamo talmente abituati ai luoghi comuni che caratterizzano questo tema, da ripetere come un disco rotto i mantra che echeggiano da vent’anni senza interrogarci più sul loro senso (se ne hanno ancora).

Uno dei mantra in questione è il security is a process, not a product reso famoso da Bruce Schneier. Nel suo articolo, l’esperto americano teorizzava correttamente il principio secondo il quale comprare pezzi di ferro senza avere ben chiaro cosa farne e come usarli era semplicemente inutile. Ma, per via di un enorme paradosso, security is a process è stato – ed è ancora – il cavallo di battaglia di molti venditori di insicurezza che, certo, hanno venduto processi invece di prodotti, ma processi inefficienti. Chiamare 27000-1 per dettagli.

Benché, come ho detto, il ragionamento di Schneier sia condivisibile, non tiene conto di un parametro fondamentale quando si parla di sicurezza: il ruolo della paura.

Non parlo della “paura” di prendere virus, di perdere dati o di subire un DoS. Parlo della paura vera. Quella che ti assale di sera tardi, in un parcheggio deserto e poco illuminato, quando senza alcun motivo un paio di persone cominciano a dirigersi verso di te con passo deciso e impugnando qualcosa in mano. O quella che ti paralizza quando qualcuno, violando il tuo spazio personale, ti appoggia il filo di una lama sul collo e ti spilla una goccia di sangue, mentre ti chiede il portafogli. Oppure, ancora, quella che ti paralizza ulteriormente quando, mentre qualcuno ti picchia, ti rendi conto che non si fermerà e il tuo corpo comincia a non rispondere più ai disperati comandi che arrivano dal cervello.

Cosa c’entra tutto questo con la sicurezza informatica? Presto detto.

Come spiegano i professionisti dell’uso della forza (militari, poliziotti, addetti alla sicurezza) la paura (quella vera) è sana: gestita correttamente, infatti, ci consente di evitare comportamenti pericolosi e ci insegna una corretta cultura della prevenzione. Così, invece di perdere tempo con sedicenti “maestri” a imparare la “mossa mortale”, un sano approccio alla gestione della paura consente di riconoscere i precursori delle azioni violente, gestire la de-escalation dell’aggressività e capire quando (rarissime volte) non ci sono alternative alla reazione decisa, violenta e definitiva.

Ma quando la paura è mal indirizzata, per esempio trasmettendo alla persona una falsa percezione di sicurezza derivante dalla presunzione di “sapere come difendersi”, le conseguenze possono essere letali. Un esempio è costituito dal suggerimento, molto in voga nelle palestre di “difesa personale”, di adottare un comportamento spavaldo in modo da emettere verso i malintenzionati dei segnali “subliminali” che dovrebbero dissuaderli dall’importunarci. Più che un consiglio di sopravvivenza, questo è un biglietto di sola andata per l’ospedale o il camposanto, perché un certo tipo di violenza è scatenato proprio da comportamenti del genere, che vengono “letti” dal delinquente di turno come un atto di sfida o di invasione del suo territorio. Viceversa, avere consapevolezza del luogo in cui ci si trova, gestire distanza e posizione della minaccia potenziale e predisporsi “pacatamente” alla reazione sono comportamenti poco evidenti all’occhio distratto del passante, ma estremamente chiari per l’aggressore. In questo modo egli capisce di avere a che fare con un soggetto che “sa il fatto suo” invece che con una preda e, a meno che non sia uno psicopatico, dirigerà altrove le sue “attenzioni”.

Per traslato, nella gestione della sicurezza informatica mancano queste sensazioni primarie – animalesche, direi – e diventa quindi complicato scegliere modelli organizzativi e, di conseguenza, i prodotti necessari a realizzarli. Breve: i manager della sicurezza non sanno cosa sia la paura. E non perché sono coraggiosi.

Il modello di paura utilizzato strumentalmente dal marketing dei venditori di insicurezza è basato sulla razionalizzazione del terrore: compra il mio servizio di backup per evitare che il cliente ti faccia causa per danni in caso di perdita di dati. Paga il mio sistema di intrusion detection così quando arriva il Garante dei dati personali ti salverai dalla multa per omessa adozione di misure di sicurezza. E via discorrendo.

Ma questo modello non funziona realmente. Lo dimostra (questioni di corporate politics a parte) l’insofferenza dei responsabili dei sistemi informativi quando si parla di questi argomenti, e le cui scelte in materia si risolvono immancabilmente nello scaricare sui fornitori oneri e responsabilità della gestione di un evento negativo che, molto probabilmente, non si verificherà mai. In breve: la sicurezza è un fastidio, oltre che un costo secco e improduttivo.

L’approccio basato sulla “vera” paura è, invece, diametralmente opposto: metto i miei sistemi informativi nella condizione di non essere attaccati, disincentivando i potenziali aggressori ad “occuparsi” di una rete “scomoda”. In questo modo, tutti i “predatori da opportunità” – umani o bot che siano – smetteranno praticamente subito di sprecare tempo e risorse, andando alla ricerca di altre vittime. Certo, poi ci sono anche quelli che ci hanno preso di mira e che non si fermeranno fino a quando non avranno raggiunto il risultato. Ma sono in numero certamente inferiore ai “predatori da opportunità” e, come tali, più facilmente individuabili e gestibili.

E, ora, la parte complicata: come si fa?

La risposta è scomoda e poco adatta al nostro tempo, dominato da decaloghi, ricette e regolette da social network: bisogna addestrarsi abbastanza a lungo da sviluppare istinto e automatismo nel riconoscere quando una certa situazione sta evolvendo verso uno stato pericoloso e ad adottare le necessarie contromisure. Per avere un’idea di cosa intendo, leggete The cuckoo’s egg di Clifford Stall (tradotto in italiano con il titolo L’uovo del cuculo). L’autore, all’epoca sistemista all’università di Berkeley, California, scoprì che un componente di un gruppo hacker tedesco si era introdotto nei suoi sistemi grazie a un’anomalia nella rendicontazione del time sharing. I conti (letteralmente, trattandosi di somme da addebitare agli utenti che si servivano di quei computer) non tornavano e c’era qualcuno che impegnava potenza di calcolo, senza pagare. Da quell’osservazione partì una “caccia” che ha fatto la storia della sicurezza informatica.

Dunque, per quanto sia sgradevole l’affermazione che segue, per essere dei buoni (“buoni”, non “veri”) esperti di sicurezza bisogna avere necessariamente passato molto tempo nell’underground digitale e portare i segni di questa permanenza. Ma bisogna averlo fatto sul serio, non leggendo i romanzi di William Gibson, Bruce Sterling o Neal Stephenson per poi fare finta di essere “uno del giro”. In questo caso, infatti, al più si potrà raccattare qualche invito a convegni paludati, qualche comparsata televisiva o una docenza in qualche seminario universitario. Fra i due archetipi c’è la stessa differenza che passa fra un generale che non è mai andato in guerra e uno che è arrivato al grado avendo rischiato in proprio, per anni, nei luoghi più sperduti del globo.

Con questo, non voglio dire che solo chi proviene da un certo ambiente possa “capire” di sicurezza e praticarla in modo corretto. Voglio, piuttosto, sostenere che:

  • non esiste la “sicurezza informatica”, ma la  “sicurezza”  tout-court, senza ulteriori qualificazioni,
  • la consapevolezza della propria preparazione – e dei propri limiti – è un elemento fondamentale nella formazione del security manager,
  • la paura (vera) è un’ottima consigliera. Anche nella gestione dei sistemi informativi.

 

 

Possibly Related Posts: