di Andrea Monti – WebMarketing Tools n.18/99
Nel corso delle interminabili esplorazioni di una nota libreria online mi sono imbattuto in Time Based Security l’ultima fatica “letteraria” dell’esperto di sicurezza Winn Shwartau (già autore del pregevole Information Warfare) che offre nuove prospettive dalle quali osservare quel panorama sconfinato che è la sicurezza dei sistemi.
Muraglie e noci di cocco
Distillando il pensiero dell’autore credo di poterlo riassumere in pochi concetti base: attualmente i sistemi sono protetti come le noci di cocco, hanno cioè una corteccia (variamente) robusta che però una volta spaccata non assolve più ad alcuna funzione. Volendo ricorrere ad un’immagine meno tropicale si può pensare alla filosofia della barricata: si erigono muraglie altissime e robuste in modo da impedire al nemico di superare l’ostacolo, senza preoccuparsi di cosa succederebbe (non se, ma) quando un giorno qualcuno riuscisse a vanificare questa difesa “stupida”.
Viceversa, propone Schwartau, ci si dovrebbe ispirare ad un concetto di sicurezza più ampio che – superando una concezione statica del modo di proteggere informazioni rilevanti – introduce nel meccanismo la variabile “tempo”. In altri termini l’efficacia di un sistema non è (solo) misurata dalla robustezza delle protezioni ma anche dal tempo necessario ad accorgersi dell’intrusione e da quello necessario per reagire all’attacco. Ne consegue che un sistema di sicurezza è efficace se la protezione dall’attacco (P, protection) resiste per il tempo necessario ad accorgersene (D, detection) e a reagire (R, reaction). Volendo formalizzare questa relazione si potrebbe dunque scrivere che un sistema è sicuro se P>D+R.
La sicurezza secondo la legge
Come è abbastanza intuitivo capire questo approccio è radicalmente differente da quelli praticati fino ad ora soprattutto a livello normativo. Prendiamo ad esempio la legge sui dati personali (volgarmente nota come legge sulla privacy) che impone l’adozione di misure di sicurezza allo stato dell’arte (la cui definizione è attesa oramai dal lontano novembre 1997) a chiunque tratta dati altrui e che sanziona sia penalmente sia civilmente l’omessa adozione di tali misure. In attesa del regolamento di cui sopra possiamo intuire qualche indirizzo sul contenuto di queste fantomatiche misure di sicurezza nel modulo per la notificazione dei trattamenti, che sembra proprio permeato fino al midollo del segnalato “nocedicocchismo”. Ciò significa – applicando allo stato di fatto la formula di Schwartau – che per il legislatore un sistema è sicuro se e solo se esiste una variabile P non meglio quantificata, a prescindere dalle altre due (D e R) la cui presenza non è per nulla richiesta. Analoga concezione si ritrova nella legge 547/93 sui crimini informatici tutta impregnata di password, “muri tagliafuoco” (i firewall nel colorito giuridichese di alcuni esperti) e quant’altro.
Ora, non intendo certo affermare qualsiasi cosa non conforme ai concetti della Time Based Security sia automaticamente da gettare e – se devo essere sincero – non sono neanche sicuro che questo approccio sia così innovativo o funzionale. Ciò che tuttavia conta è il fatto che qualcuno potrebbe decidere di applicarlo, magari elevando notevolmente in concreto i propri standard di sicurezza, ma incorrendo nei rigori della legge per non avere seguito con scrupolo le prescrizioni normative (ovviamente il discorso sarebbe identico se invece di avere visto qualche pessimo film di fantascienza il legislatore avesse letto il libro di Schwartau e si fosse infatuato della TBS).
In altri termini la miopia (per non dire di peggio) di chi scrive le regole del gioco sclerotizza l’elasticità che è propria della sicurezza informatica orientando le scelte delle aziende e dei singoli verso questa o quella soluzione tecnica apoditticamente ritenuta “conforme” a non si sa bene cosa, dimenticando che, specie in questo settore, la tecnologia è assolutamente irrilevante.
La sicurezza – come dimostrano da ultimo le argomentazioni di Schwartau – è frutto in primo luogo di una scelta filosofica che condiziona gli strumenti da utilizzare per realizzarla. Invertire i termini del ragionamento è peggio che mettere il carro davanti ai buoi…
Mi sorge un dubbio: e se chi scrive queste norme non avesse mai visto stalle e animali da tiro?
Possibly Related Posts:
- Così Big Tech ha imparato a monetizzare la nostra fuga dalla realtà
- Il caso Crowdstrike rivela le cyber-debolezze Ue
- Cosa significa il bando cinese di Whatsapp, Telegram e Signal dall’App Store di Apple
- Il duello tra Usa e Cina sui processori va oltre l’autonomia tecnologica
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa