L’attacco hacker alla Regione Lazio che sta facendo ringalluzzire tutti gli esperti di sicurezza del Paese (anche i presunti tali) in questi primi giorni agostani, è stato raccontato molto male dai media.
Inutile nascondersi dietro a un dito o fare della dietrologia (sempre la stessa, peraltro) sostenendo che l’anello debole della sicurezza IT è tra la sedia e la scrivania, ovvero l’uomo. Indubbiamente vero, certo, ma molto limitato: cosa ce ne facciamo della diagnosi se non si applica la cura?
Dare la colpa all’uomo coincide con una visione piccola del mondo e dello stato delle cose: nelle ultime ore, tra le tante notizie in cerca di conferma (e che, come tali, non dovrebbero essere pubblicate), emerge che sarebbe stato il figlio di un dipendente in Smart working a usare il PC del padre (durante la notte, dicono i bene informati che, evidentemente, erano presenti) e a permettere involontariamente l’attacco.
La tendenza di alcuni media a dare un corpo proprio al lettore e a prendere per il naso le persone (i “lettori” non esistono in quanto tali, sono persone dotate di cervello che leggono e non abboccano a ogni fesseria) è parte attiva nell’arretratezza del Paese. Sempre più media parlano di Risorgimento digitale senza raccontare con chiarezza che siamo fermi al Medioevo. Scrivono di treni osservandoli dalla sella di un cavallo, senza neppure averlo mai visto da vicino, un treno.
L’uomo c’entra a metà
A tutti i guru che raccontano la storiella dell’anello debole, dell’uomo che mette in crisi la sicurezza di un’infrastruttura IT, andrebbe ricordato che – quando si parla di risorse online – la sicurezza totale non esiste, motivo per il quale un buon sistema è quello che tende alla sicurezza nonostante l’uomo. E qui la maggior parte dei sedicenti guru della sicurezza cascano a terra come l’asino proverbiale.
Questi figuri non fanno il bene del Paese e, soprattutto, sponsorizzano la loro inadeguatezza puntando la propria visibilità verso obiettivi alla loro portata.
In un Paese in cui ancora grandi aziende (anche pubbliche) usano Windows XP, in cui non si applicano le policy di sostituzione ciclica delle password, in cui queste non sono complesse perché gli utenti si lamentano di quanto sia difficile scriverle e ricordarle, in cui i server cadono a pezzi e in cui ancora non si è capito che anche le stampanti di rete vanno protette, prendersela con l’uomo è facile, comodo e disonesto.
A meno che, parlando di responsabilità umana, non si faccia riferimento a quegli amministratori di sistema improvvisati, alle risorse esterne che erogano servizi di pessima qualità esigendo tariffe orarie da capogiro, alimentando così la convinzione tra gli imprenditori che “l’IT è un costo”, mentre la logica vincente si sposa pensando che l’IT è sì – innegabilmente – un costo, ma un costo necessario a generare profitti.
In questo caso dire che l’anello debole è l’uomo appare più pertinente. Responsabilità di quegli uomini che rendono utilizzabili i computer ai figli dei dipendenti.
Le contromisure
Si parte dalle policy: profili utenti e gruppi blindati. Nessuno può installare alcunché su computer (fissi o mobili che siano) e su dispositivi mobili. Il BYOD è bandito: l’azienda mette a disposizione telefoni aziendali e quelli privati non possono agganciarsi alla rete aziendale.
Tutto ciò ha ovviamente un costo il quale, tuttavia, è infinitesimale rispetto al tenere ferme le attività per giorni a causa di amministratori di rete incompetenti, aziende di consulenza cialtrone e, su questo siamo tutti d’accordo, a causa di imprenditori che non investono nella cultura digitale e nell’IT.
C’è da chiedersi, inoltre e non da ultimo, perché gli imprenditori non investano. Ognuno trova da sé la risposta. Ma i consulenti esterni capaci e seri esistono, basta assoldarli con la stessa premura che si usa quando si assume un dipendente. L’idea – diffusa – secondo cui una risorsa esterna incapace può essere allontanata in qualsiasi momento è fuorviante, soprattutto se si parla di IT: la si allontana, in genere, quando il danno è stato fatto. Occorre impedire proprio questo: che IT manager, dipendenti e risorse esterne facciano danni.