Il 7 febbraio 2019 è uscito sul Corriere della sera un articolo di Massimo Gaggi dal titolo “Usa, il business sicurezza nelle scuole”.
Dopo le stragi compiute da ragazzini nelle proprie scuole (la più famosa è quella della Columbine High School del 1999 con 15 morti; la più recente è quella di Parkland, con 17 morti), le contromisure non hanno portato alla riduzione delle armi da fuoco, ma all’aumento dei sistemi di videosorveglianza nelle scuole, con migliaia e migliaia di telecamere.
Con le dovute cautele, è possibile vedere alcuni parallelismi tra questa vicenda e alcune tendenze nell’ambito della sicurezza delle informazioni.
Chiunque si occupa di sicurezza sa che le misure di rilevazione sono importanti, ma meno efficaci di quelle di prevenzione. Eppure le misure di rilevazione (telecamere, IDS, SIEM, vulnerability assessment e penetration test, processi di gestione degli incidenti) sono oggetto da sempre di maggiore interesse da parte dei venditori e degli utilizzatori delle misure di sicurezza.
Consideriamo solo due esempi. Il primo riguarda il NIST Cybersecurity framework, un insieme di 108 controlli di sicurezza pubblicati dal National Institute of Standards and Technology degli USA e adottati, tra gli altri, dalla BCE e dal “Framework Nazionale per la Cybersecurity e la Data Protection”. I controlli dedicati alla rilevazione e al trattamento degli incidenti e delle vulnerabilità (controlli di rilevazione e di recupero) sono più di 40 (più del 30%). Ad essi vanno aggiunti altri controlli come quelli di verifica dell’integrità (PR.DS-6 e PR.DS-8). I controlli relativi alla configurazione sicura dei sistemi sono invece… uno (il PR.IP-1). Da questo punto di vista, sembra sicuramente meglio bilanciata la ISO/IEC 27001, che dedica 7 controlli su 114 alla gestione degli incidenti.
Il secondo esempio riguarda controlli di rilevazione come i vulnerability assessment e i penetration test, più pubblicizzati rispetto a quelli preventivi di configurazione sicura dei sistemi e di programmazione dei software da parte anche di persone qualificate. Tre casi tra gli altri:
Il caso della celebre OWASP Top ten è significativo: sebbene raccolga misure di prevenzione, è presentata inizialmente come strumento di identificazione delle vulnerabilità.
Nei supermercati è presente un gruppo ridotto di guardie addette alla prevenzione dei furti. Sicuramente i furti sono numerosi, ma non sufficienti per mettere in discussione il modello economico e organizzativo, per cui è evidentemente più conveniente la riduzione dei costi del personale rispetto alle perdite dovute ai furti. Nei supermercati sono comunque numerosi i dispositivi di videosorveglianza, necessari anche a dissuadere alcuni ladri.
Nel caso dei supermercati, l’analisi del rischio indica che il costo di ciascun evento è basso, anche se la probabilità è elevata. Questo giustifica l’uso delle misure di rilevazione (telecamere) e non di prevenzione (personale di vigilanza).
Nel caso delle stragi nelle scuole, l’analisi del rischio dovrebbe indicare che la probabilità di accadimento è bassa, ma le conseguenze sono altissime e questo dovrebbe portare a scegliere misure di sicurezza diverse rispetto a quelle da prevedere per probabilità alte e impatti bassi (per inciso, nel campo della sicurezza delle informazioni, nel caso di probabilità basse e impatti elevati, si preferiscono misure di recupero, come per esempio i backup e i siti di Disaster recovery; quando però sono in gioco vite umane è evidente che non si parla più di “sicurezza delle informazioni” e non è utilizzabile lo stesso schema; questo dimostra, ancora una volta, che ogni materia richiede una sensibilità diversa da quella richiesta da altre materie, anche se apparentemente simili).
Chi prende le decisioni di spesa è un manager. E per un manager, per svolgere il proprio mestiere, il controllo è importantissimo. Lo dimostrano, tra le altre, le teorie dedicate al controllo di gestione, la diffusione del “Management-by-objective” trasformato in “Management-by-measures” e la richiesta ossessiva di report da parte di tanti manager (questo, tra gli altri, ha portato all’introduzione di software gestionali molto complessi, ma anche molto problematici, in quanto l’obiettivo era quello di avere report senza pensare agli impatti sui processi).
Qui non si sta proponendo una critica alle pratiche di gestione delle organizzazioni; si sta solo richiamando l’attenzione su un atteggiamento tipico delle persone che hanno responsabilità all’interno di un’organizzazione. Questo atteggiamento è una delle componenti necessarie al loro ruolo: se non dovessero controllare alcunché, non sarebbero necessarie.
L’orientamento al controllo ha come effetto che i manager, dovendo scegliere, potrebbero preferire misure di rilevazione rispetto a quelle di prevenzione, anche se sono meno efficaci (non si spiegherebbe altrimenti l’introduzione, in alcune organizzazioni, degli inefficaci e inefficienti sistemi di Data loss prevention, che sono soprattutto sistemi di rilevazione).
La vicenda del “controllo” delle armi nelle scuole mette in evidenza due atteggiamenti contrapposti ma presenti: il primo è la sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, il secondo è la fiducia totale nei confronti dei venditori delle tecnologie, nonostante abbiano già dimostrato di potersene approfittare (si veda il caso di Cambridge Analytica).
I venditori di tecnologie hanno un vantaggio: vendono “soluzioni”. Magari non sono efficaci, ma sono sempre “soluzioni”. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, “ho un tool”; oggi sembra la risposta comune. Ancora più apprezzati sono i fornitori che propongono un “servizio chiavi in mano” (installazione della “soluzione”, sua manutenzione ed esercizio).
La tendenza è quindi sempre più quella di rifugiarsi in tecnologie di controllo sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più in misure preventive, negli stipendi del personale che c’è già, nella sua formazione e nella sua crescita numerica. Questo permetterebbe anche di ridurre lo stress delle persone spesso costrette ad orari più lunghi del previsto e quindi gli errori. Dovrebbero però essere ridotti anche i super-fornitori, i super-consulenti e le super-tecnologie specializzate nella sorveglianza.
L’articolo citato è disponibile online al seguente URL: https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.
Il sito di OWASP è stato visitato il 12 marzo 2019.
Articolo a cura di Cesare Gallotti
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…