Quando ero piccolo e avevo iniziato a muovere i primi passi nel mondo professionale dei “sistemi informativi” – così venivano chiamati allora – partecipai a un convegno organizzato da un’importante associazione bancaria. L’oggetto era, manco a dirlo, la “sicurezza informatica”, messa in pericolo dagli “hacker” che “facevano cadere gli aerei” e “spegnevano le centrali elettriche”. La soluzione? “Cambiare le password!” di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
Passa il tempo, “evolvono” le tecnologie dell’informazione, nuove leggi impongono “adeguate misure di sicurezza”, proliferano i “cybersecurity evangelist” e però, come canterebbero i Led Zeppelin, The Song Remains the Same. Per risolvere i problemi di sicurezza “bisogna cambiare le password” dicono illustri commentatori.
L’ennesima iterazione di questo mantra riguarda la vita iperconessa che ruota attorno a smartphone, wearable e IoT. Se non si cambiano le password – così recita la vulgata – può succedere di tutto, pure che qualcuno ci spenga le luci di casa a comando (e magari, non si tratta nemmeno di un delinquente ma del governo che applica in questo modo il controllo sul rispetto dell’austerity energetica).
Ora, è chiaro che non bisogna sottovalutare i rischi derivanti da una gestione superficiale della sicurezza degli strumenti che utilizziamo nella vita quotidiana e nel lavoro, la vulnerabilità delle grandi reti, dei data-centre e, di conseguenza, dei nostri apparati che da loro dipendono è un problema molto serio. Nello stesso tempo, però, ci si dovrebbe anche chiedere come sia possibile che a distanza di decenni stiamo ancora parlando di “cambiare le password” e non delle ragioni per le quali la nostra inftrastruttura tecnologica e gli oggetti che utilizziamo siano affetti da una condizione di sostanziale e strutturale vulnerabilità.
“Cambiare le password” sarà anche una misura efficace e necessaria (?) ma serve a poco se il software è fatto male, se password di default come “1234” sono harcoded nei firmware di chip orientali comprati un tanto alla tonnellata e utilizzati in costosi apparati “alla moda”, se l’industria decide come devono funzionare i prodotti senza alcuna reale attenzione al rispetto della vita delle persone. E, a questo proposito, ci sarebbe anche da chiedersi cosa spinge le persone ad acquistare acriticamente degli strumenti la cui intrinseca pericolosità è evidente, pur di (pensare di) vivere come The Jetsons – da noi si chiamavano I pronipoti.
Con buona pace del “security by default”, del “security by design” e “security is a process not a product” – le parole d’ordine del perfetto consulente informatico – la realtà è che chi produce software dovrebbe essere ritenuto (pesantemente e direttamente) responsabile di quello che fa, analogamente alle industrie che operano in settori da alto rischio, come quello chimico. Fino a quando questo non accadrà, continueremo a costruire un Colosso di Rodi tecnologico, mentre leggiamo l’ennesimo libro o assistiamo all’ennesima intervista di chi, ammantato in un velo di conoscenza esoterica, evoca lo spirito della cybersecurity pronunciando l’arcano incantesimo: “cambiare le password”!
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech