Grandi investimenti e tecnologie all'avanguardia spesso non riescono a metterci realmente al riparo da rischi di qualsivoglia natura, e anche le grandi aziende rischiano grosso.
La Stazione Spaziale Orbitante è stata infettata da un virus informatico, due imbucati riescono ad entrare alla casa Bianca durante un banchetto ufficiale e stringere la mano al presidente degli Stati Uniti, un reporter di Repubblica entra indisturbato all'aeroporto Leonardo da Vinci di Fiumicino e passa tutti i varchi protetti entrando nelle aree riservate senza essere controllato o fermato da nessuno e senza che nessuno se ne accorga, il Palazzo di Giustizia di Milano apre le sue porte informatiche agli invasori, e l'elenco potrebbe continuare, siamo così deboli ?
Cosa non ha funzionato in questi casi ? Che soluzioni ci sono ? E' il fallimento delle tecnologie ? Siamo tutti a rischio ?
Ebbene sì, a leggerle così queste notizie sembrano paradossali, anzi, purtroppo non lo sembrano nemmeno più, dopo gli attentati dell'11 settembre nulla di tutto ciò sembra più impossibile e personalmente questa è la cosa che mi spaventa di più, ma questa è la realta con cui ci dobbiamo confrontare. I siti e le infrastrutture chepensavamo più sicure possono risultare vulnerabili, e spesso scatta il panico, ma se andiamo a vedere bene trovare l'anello debole della nostra catena di protezione è facile, perchè spesso, molto più spesso di quanto pensiamo, l'anello debole siamo noi, l'essere umano.
Viene da chiedersi come sia possibile che persone addestrate appositamente al fine di operare per la sicurezza si possano lasciare ingannare da comportamenti spesso ingenui, e fortunatamente, altrettanto spesso, non pensati per nuocere, al punto da rendere inutile qualsivoglia misura di sicurezza.
Attenzione, non stiamo parlando di un bidello di un liceo che lascia incustodite le chiavi della scuola, consentendo a qualche buontempone di farsi la copia delle chiavi, qui stiamo parlando dei servizi segreti americani, della NASA, delle nostre forze dell'ordine e di tutte quelle strutture preposte ad operare in modalità 'sicura', che invece non riescono a raggiungere gli obiettivi di sicurezza per i quali sono addestrati e pagati.
Inutile puntare il dito sui budget ridotti, o sulle tecnologie, loro non c'entrano, o almeno non in questi casi, qui si parla di persone, gli 'attaccanti', che con un loro comportamento hanno violato sistemi di sicurezza costati milioni di dollari (o euro, a vostra scelta) semplicemente utilizzando schemi mentali nuovi ma non troppo, finalizzando il loro comportamento a trovare la 'falla' non tecnologica da cui entrare, oppure, in alcuni casi, violando norme o leggi che si basano, almeno in parte, sulla fiducia.
Ma vediamo cosa è successo nei casi citati.
Il caso della stazione spaziale orbitante. Non so esattamente quando è successo, ma il fatto è stato scoperto ad agosto del 2008 dagli stessi tecnici della NASA durante un controllo da terra, ed a quanto è stato pubblicato da alcuni giornali, l'infezione è stata causata da un 'incauto' astronauta che avrebbe utilizzato una sua chiavetta USB personale, senza che questa fosse stata sottoposta ai normali controlli a terra previsti in questi casi per il materiale informatico che deve arrivare a bordo della stazione spaziale orbitante. Il fatto non ha fortunatamente comportato grossi problemi, ma è stata solo fortuna, il virus contenuto nella chiavetta, infatti, era destinato ad attaccare password di determinati videogiochi che ovviamente non erano fra i programmi caricati sui computer di bordo, e l'evento non era evidentemente intenzionale.
Ma se fosse stato un altro tipo di virus ?
Ecco che un semplice 'incauto' comportamento avrebbe potuto mettere a repentaglio la vita di diverse persone ed il futuro della stazione spaziale, il tutto per aver utilizzato una chiavetta USB violando i protocolli di sicurezza della NASA.
Gli intrusi alla Casa Bianca. Leggendo questo titoletto viene da pensare ad una intrusione in stile 007 con tanto di agenti segreti che si calano dagli elicotteri,ebbene, niente di tutto questo. Lui è un produttore di vino in smoking, lei è la moglie, biondissima ex-ragazza pon pon in abito indiano di seta rossa (poco appariscente?), si sono semplicemente messi in fila fra gli invitati illustri ad un galà in onore di un ospite indiano, sono entrati e si sono fatti presentare al presidente Obama, senza ovviamente essere stati invitati. Questa, secondo i giornali che hanno riportato la notizia, è stata la spiegazione ufficiale data dalla Casa bianca, ripeto, questa è stata la spiegazione ufficiale data dalla Casa Bianca per giustificare l'accaduto. Visto che non è stata controllata la loro identità, al punto di non accorgersi che non erano nemmeno invitati, viene da pensare che sarebbero potuti essere anche emissari di Al Qaeda, ed anche in questo caso è ecvidente che qualcosa di 'umno' ha funzionato male, nessun fallimento tecnologico.
Passeggiata notturna in aeroporto. La vicenda più recente. In una notte di una domenica di gennaio, poche settimane fa, un giornalista di Repubblica ha varcato i metal detector, spenti, ed è entrato nelle aree destinate ad ospitare i passeggeri in partenza senza essere né controllato, né fermato in alcun modo, ed ha scritto un articolo al riguardo, disponibile in rete sul sito del suo giornale. E se fosse stato un maleintenzionato ? Avrebbe potuto nascondere armi o altro materiale atto ad offendere nelle aree passeggeri per poi farlo recuperare alla bisogna, o nascondersi direttamente per poi aspettare la riapertura dello scalo, per non parlare del libero accesso che ha auto alla rete ed alle postazioni di check-in. Cosa è successo in questo caso ? Il metal detector non era fuori uso, era spento. Spento ! Non c'era personale di guardia ai varchi. Qualcuno ha terminato il turno in anticipo, o lo ha iniziato in ritardo, perché tanto di notte non succede niente ? Ancora non ho letto notizie ufficiali in merito, ma anche qui mi sembra di poter dire che c'è alla base un errore umano, di chi ha pianificato i turni e le postazioni forse, o di chi non li ha rispettati, ma nessuna tecnologia ha fallito il compito assegnatole.
Il Palazzo di Giustizia di Milano. Quasi storia vecchia. Sempicemente chiedendo in modo garbato una cortesia (poter stampare un modulo necessario per motivi di ufficio), un avvocato avrebbe ottenuto che una segretaria del Palazzo di Giustizia di Milano inserisse la sua chiavetta USB (dell'avvocato) nel computer in dotazione alla segretaria, regolarmente collegato alla rete. Neanche a farlo apposta la chiavetta conteneva un virus che ha iniziato a registrare password e altre informazioni al suo interno, quando l'avvocato si è fatto restituire la chiavetta si è portato via le informazioni trafugate. Fortuna ha voluto che in questo caso si trattasse di un attacco 'etico', ossia di un attacco richiesto dallo stesso palazzo di Giustizia per verificare il livello di sicurezza delle sue infrastrutture, e ancora una volta la violazione è stata possibile grazie ad una falla aperta inconsapevolmente da un essere umano.
Da qui la domanda nel titolo di questo post, ma soprattutto una riflessione, ossia, è chiaro a tutti quanto sia nostra responsabilità, ognuno per la propria parte, assicurarci che il nostro comportamento, informatico e non, sia 'sicuro'? E' chiaro a tutti quanta responsablità abbiamo in tutto questo ?
Inutile dire che si può fare di meglio, ad esempio, sono disponibili da tempo in Italia e all'estero corsi di sensibilizzazione alla sicurezza informatica, per addetti ai lavori e per utenti normali (provate a cercare su Google "corso Information Security Awareness") ma ancora sono poche le aziende che li somministrano ai propri dipendnti, quegli stessi dipendenti che poi spesso mettono in atto comportamenti rischiosi, i cui effetti rischiano di danneggiare profondamente la loro stessa azienda o, nei casi peggiori, creare danni a terze persone o loro stessi.
In alcuni casi ci sono leggi che obbligherebbero le aziende a somministrare questi corsi, in altri casi le normative volontarie ed i framework internazionali li caldeggiano e li inseriscono nelle best practice di riferimento per la sicurezza informatica, ma in italia siamo ancora indietro inquanto ad adozione (e ti pareva), forse perché non abbiamo ancora capito che al centro della sicurezza c'è sempre e comunque un essere umano, e se non si investe sulla formazione delle persone, non ci sono tecnologie che tengano, è come mettere l'allarme alla propria casa e poi lasciarne i codici di attivazione o disattivazione scritti su un biglietto vicino al quadro dell'allarme, l'effetto disastroso è lo stesso.
Insomma, se vogliamo rendere sicure le nostre aziende, i nostri luoghi pubblici, le istituzioni ed il valore che generano, non basta mettere cartelli o installare firewall sofisticati, dobbiamo educare i dipendenti, gli utenti e, perchè no, gli studenti a ragionare in termini di sicurezza e senso della responsabilità, fare cultura. Su quella cultura sarà poi più facile, e molto più economico, creare infrastrutture sicure.
Carlo Rossi
Carlo ROSSI
CGEIT®, CISA®, Lead Auditor ISO IEC 27001, ITIL®V3F, ECML
http://mitsloan.mit.edu/execed/cp/rossi.php
Commenti