La sempre maggiore diffusione delle tecnologie ha profondamente rivoluzionato la nostra società, le relazioni interpersonali e le modalità di erogazione dei servizi. La tecnologia però, oltre ad offrire tante opportunità offre anche tante insidie.

Questo contributo vuole porre l'attenzione su alcune questioni attinenti ciò che comunemente è chiamata sicurezza informatica senza peraltro avere la presunzione di essere esaustivo.

Innanzitutto è necessario comprendere cosa significa sicurezza informatica.

In Italia il termine è solitamente interpretato come tutti quegli accorgimenti tecnici che garantiscono un sistema informatico dall'intrusione di utenti non autorizzati. E' questa visione ciò che si riconduce al concetto di security in senso stretto. Nella cultura e letteratura anglosassone invece, a questa interpretazione se ne aggiungono altre due. Una vede il concetto di sicurezza come safety legato cioè al concetto di sicurezza fisica delle persone nell'utilizzo sicuro del prodotto o sistema. L'altra è legata al concetto di sicurezza di funzionamento cioè la dependability intesa come la valutazione del livello di fiducia che può essere attribuito al sistema riguardo al suo funzionamento. Questa visione considera quindi l'attitudine di un sistema da una parte a disporre di prestazioni funzionali (affidabilità, manutenibilità, disponibilità) e dall'altra a non generare maggiori rischi (umani, ambientali, finanziari, ecc).

Si evince quindi che la sicurezza informatica ha una dimensione multidimensionale e la progettazione, realizzazione e gestione di un sistema complesso deve essere l'unione di tante competenze qualificate e altamente specializzate.

La visione della sicurezza safety intesa come sicurezza fisica del dispositivo o sistema è data per implicita e non pare, in questo lavoro, assumere interesse.

La visione di sicurezza intesa come dependability è invece piuttosto interessante anche alla luce di problemi tecnologici occorsi recentemente a PosteItaliane, Trenitalia o Aruba e che hanno creato rilevanti e diffusi disservizi a milioni di utenti e su tutto il territorio nazionale. Il problema è probabilmente legato alla concezione ottimistica del tutto e del pensare che i problemi capitano sempre agli altri. Infatti sono pochi coloro che, pur sapendo che potrà accadere, decidono di avere un server di backup oppure scelgono di avvalersi di una linea internet alternativa. Facciamo un esempio banale: una azienda software decide di prendere un computer server, metterlo nei propri uffici, ed erogare su di esso servizi via web affidandosi a una normale adsl o fibra ottica.

In questo caso un problema hardware o software al server rende indisponibile il servizio così come è reso indisponibile se per caso, durante lavori stradali, venisse materialmente tranciato il cavo internet.

E' qui necessario un salto culturale: avere la responsabilità dei sistemi informativi significa non solo garantire che il server che eroga il servizio e che i software funzionino, ma significa anche garantire che le infrastrutture elettriche, elettroniche, informatiche e di telecomunicazioni li facciano funzionare. Ciò è stato sino ad ora impossibile perché vi è sempre stata una netta distinzione tra ciò che sono le infrastrutture e ciò che sono i sistemi informativi. Allo stato attuale i sistemi informativi sono a tutti gli effetti infrastrutture e inglobano, e non invece ne sono subalterni, tutte le altre infrastrutture che li devono far funzionare.

Su questo settore sta intervenendo l'autorità DigitPA che nel documento “Linee guida per il disaster recovery delle pubbliche amministrazioni” pone in modo forte il problema della continuità di servizio dando indicazioni operative del come ciascun ente deve classificare la criticità dei propri servizi informatici. Maggiore è la criticità di un sistema, maggiore è il disservizio che il sistema crea in caso di guasti e quindi maggiore dovrà essere l'impegno tecnologico per garantire che tutto vada bene. Si arriverà quindi che un ente i cui sistemi sono particolarmente critici dovrà dotarsi di un doppio CED, di una doppia connessione in fibra ottica su percorsi fisici differenti ed anche, e non è utopia perché qualcuno già lo ha fatto, di una centrale elettrica annessa al CED in grado di sopperire a eventuali prolungate mancanze di alimentazione elettrica.

La visione della sicurezza informatica intesa come security e cioè come insieme delle misure atte a prevenire intrusioni da soggetti non autorizzati è anche questa molto interessante.

Comunemente il sistema informatico sicuro è quel sistema che gli hacker informatici non riescono a compromettere. Questo approccio presuppone una sorta di partita a scacchi tra il gestore del sistema e l'hacker con il primo sempre vincente sul secondo. Niente di più sbagliato! Un approccio basato sulla difesa è perdente in partenza. Progettare un sistema che sia in grado di difendersi dagli attacchi presuppone la conoscenza di tutte le possibili minacce e per ciascuna conoscere la specifica contromisura. In sostanza significa conoscere in anticipo le mosse dell'avversario. L'approccio corretto al quale arrivare è quindi un approccio basato non sui divieti ma basato sui permessi. Abbandonare cioè la logica delle black-list e adottare quella delle white-list. In pratica è quello che già fanno alcuni vendor di smartphone e tablet dando la possibilità di installare sul dispositivo solo programmi che la casa produttrice ha preventivamente controllato e messo disponibile sul proprio store.

Appare ancora utile, per questa visione di sicurezza, porre l'attenzione sui difetti (bug) che nel corso del tempo sono scoperti e che quindi necessitano dell'installazione sui sistemi di appositi programmi. Vi sono politiche di gestione dei sistemi estremamente differenti. Alcuni gestori effettuano un quotidiano controllo della disponibilità di aggiornamenti di sicurezza e li applicano immediatamente. Altri, invece, una volta che il sistema è in produzione e quindi funziona, disattivano gli aggiornamenti. A svantaggio dei primi la possibilità non proprio remota che alcuni aggiornamenti possano alterare la configurazione di alcuni servizi rendendoli indisponibili e pertanto richiedendo un intervento tecnico dal dispendio di risorse umane e strumentali imprevedibile. A svantaggio dei secondi la possibilità che gli hacker, ogni volta che sono disponibili aggiornamenti di sicurezza, possano studiarli approfonditamente e capire quali difetti del sistema vanno a correggere; in questo modo i sistemi non aggiornati possono essere violati semplicemente.

Quanto detto vale nel caso di attacco “frontale” fatto da hacker ai sistemi informatici; nella realtà, almeno stando dalle statistiche delle aziende di antivirus, è molto più semplice catturare le credenziali di accesso al sistema da parte di utenti autorizzati e usare le stesse in modo illegale. Esempio tipico di questi attacchi sono le numerose mail che esteticamente richiamano quelle della propria banca e che per motivi di sicurezza invitano a cambiare password. Nonostante tanti accorgimenti e tante attività di sensibilizzazione numerose statistiche dimostrano che circa il 7% degli utenti cade nel tranello. A questo punto gli hacker possono tranquillamente entrare nel sistema e spostare denaro, cancellare dati o altro ancora.

Si comprende quindi del come il nostro concetto di sicurezza debba essere opportunamente allargato e del perché la progettazione di un sistema informatico debba tenere presenti tutte e 3 le visioni in una ottica unitaria. Da qui l'esigenza di una competenza e professionalità multidisciplinare del progettista del sistema e di chi poi è chiamato a gestirlo. Cosa questa, non ancora compresa nella sua reale portata dal legislatore che, in assenza di regolamentazione, consente a chiunque di erogare servizi anche complessi.