Raccolgo con dispiacere la palla di un evento che mi colpisce abbastanza da vicino: parlo dell’hackeraggio subito da Federprivacy e dai suoi rappresentanti (che conosco di persona e stimo).
Di per sé non sono affatto stupito dell’evento né ho voglia o bisogno di criticare chicchessia.
Ciò che dobbiamo fare in questi casi è trarre dall’episodio alcuni elementi utili ad imparare come ridurre i rischi. Non a caso utilizzo il termine “riduzione”: la sicurezza totale dei sistemi informatici non esiste. Non esiste alcuna garanzia, nessuno può vantarsi di essere al sicuro al 100%. Ed è fondamentale diffidare di chiunque tenti di vendere la sicurezza informatica come valore assoluto.
Partendo da questo presupposto, il gioco della sicurezza informatica si basa su analisi di vulnerabilità, valutazione del rischio, adeguamento iniziale e manutenzione continua dei sistemi di protezione, il tutto condito da periodiche attività durante le quali ci si rifà daccapo, possibilmente con l’ausilio di professionisti diversi.
Questo scenario sembra irrealizzabile? Sembra costoso? Dipende.
Cominciamo a dipingere il quadro della situazione.
1) Chi si deve proteggere?
Chiunque utilizzi uno strumento elettronico destinato all’elaborazione dei dati, anche non connesso ad internet. Dal privato al piccolo negozio, dall’artigiano al libero professionista, piccole, medie e grandi imprese: siamo tutti sulla stessa barca, un mondo fatto di strumenti informatici basati su dati elettronici. Ed è qui che nasce il primo grande problema: la consapevolezza. Sono moltissimi gli utenti che non sono consapevoli degli strumenti che usano, che ripongono la massima fiducia in dispositivi dei quali non conoscono né le reali potenzialità né le vulnerabilità.
2) Perché ci si deve proteggere?
Per garantire la continuità nelle funzionalità della propria azienda. Sembra banale dirlo, ma l’indisponibilità anche di singole postazioni di lavoro, soprattutto nelle aziende più piccole e meno strutturate, può generare gravi problemi nell’operatività quotidiana. Ed i problemi generati da sistemi non disponibili non si ripercuotono solo sull’azienda che subisce il blocco ma anche su soggetti esterni (clienti e fornitori) che interagiscono con i dati aziendali o che utilizzano per il proprio business i servizi offerti dall’azienda stessa. Infine, come nel caso di Federprivacy e di molti altri, possono nascere problemi legati alla reputazione.
3) Cosa si deve proteggere?
Questo è il vero dilemma. I dati elettronici, anche nelle piccole realtà, sono dispersi in moltissimi dispositivi differenti, fruibili attraverso molteplici software ed in molteplici modalità. Non sono solo i dati a dover essere protetti ma anche i dispositivi ed i sistemi che ne garantiscono la fruibilità e l’intelleggibilità. Facciamo l’esempio di un sito web, per sua natura un elemento totalmente esposto agli attacchi informatici e, quindi, particolarmente meritevole di attenzioni (anche perché si tratta del biglietto da visita pubblico dell’azienda). Come si protegge un sito web? Domanda troppo complessa per avere una sola e semplice risposta. Ci basta dire che in questi casi uno degli elementi di sicurezza più importante è costituito dagli aggiornamenti. I webserver che ospitano i moderni siti web (per lo più creati con l’ausilio di CMS come Joomla, Wordpress, Drupal, Magente, Prestashop etc) sono dei sistemi operativi con alcuni software installati. Prima ancora del sito web ciò che va reso sicuro è l’ambiente che lo ospita, utilizzando sistemi operativi che godono di supporto costante negli aggiornamenti, applicando con regolarità i fix proposti e preoccupandosi di installare il minor numero possibile di software. Questo perché più sono gli applicativi coinvolti nel funzionamento di un server web e più alto è l’onere di verificare che gli stessi non diventino obsoleti, non siano più in grado di aggiornarsi e non possano più garantire un livello di sicurezza adeguato. Periodicamente il websever va reinstallato: non esiste il sistema operativo eterno, soprattutto nei sistemi creati per essere esposti a internet. Garantita la sicurezza dell’ambiente che ospita, possiamo concentrarci sul sito web e sul suo aggiornamento. Non parlerò certo dei siti statici, anche perché sono ormai dei mostri mitologici appartenenti ad un’altra “era”. Pensiamo a siti sviluppati con CMS Wordpress o Joomla: questi stessi CMS rilasciano costantemente nuove ed aggiornate versioni delle loro piattaforme. Perché pensate che lo facciano? Per metterci in difficoltà? E’ così facile creare un sito web con questi CMS ma è automatico che, nel giro di poche settimane, lo stesso sito sia già obsoleto se non si progetta un percorso di aggiornamento continuo. Le cose si complicano ancora di più per quei siti che utilizzano plugin o componenti esterni al CMS principale: ciascuno di questi elementi è un potenziale veicolo di vulnerabilità laddove il fornitore non garantisca aggiornamenti costanti nel tempo.
La vita di un sito web non si riduce al momento in cui il sito viene creato: le aziende devono affidarsi a società che possano garantire, a fronte del giusto compenso, l’aggiornamento costante di sistemi, software, database e CMS. Senza tutto ciò non è “probabile”, è “certo” che il sito internet prima o poi cadrà a causa di una sua vulnerabilità.
4) Quanto costa proteggersi?
Domanda chiave. La risposta non è mai “niente”. Non si può pensare che la sicurezza informatica sia garantita per il solo fatto che si è installato un antivirus gratuito. Ma d’altro canto non è neppure giusto vendere inutili consulenze o dispositivi ad aziende che poi non sono in grado di fruirne.
Il mondo informatico è identico al mondo dei trasporti in questo senso. C’è chi va a piedi e chi in bicicletta, chi utilizza la moto e chi l’automobile, alcuni si fanno trasportare in autobus, in treno o in aereo. In generale non esiste il mezzo di trasporto sicuro in assoluto, né quello giusto a prescindere. Ogni mezzo è giusto per la finalità che si vuole perseguire e questo accade anche nell’informatica: si sceglie lo strumento elettronico più adatto alle proprie esigenze di sicurezza e lo si deve imparare ad usare nel modo giusto, proprio come si impara ad andare in bicicletta, guidare l’automobile o, in casi più rari, pilotare un aereo. Non solo, esattamente come facciamo per la nostra automobile, dobbiamo verificare costantemente che lo strumento elettronico sia sicuro e che sia in grado di proteggerci quando ne abbiamo davvero bisogno. Davvero viaggereste su un’automobile con gli pneumatici consumati? Perché viene naturale portare l’automobile a fare il tagliando periodico e invece non viene così naturale fare un tagliando anche ai dispositivi informatici aziendali?
Proteggersi, quindi, ha un costo variabile: la manutenzione di un aereo è ovviamente più cara di quella di una bicicletta, ma va fatta, senza sé o senza ma. Non si può creare una infrastruttura informatica complessa come un aereo e non manutenerla correttamente: prima o poi le vulnerabilità presenteranno il conto.
Conclusione
Concludo esortando tutti, privati e aziende, a rendersi partecipi di una maggiore attenzione nei confronti della sicurezza informatica: investite risorse nella protezione dei dati, non sono soldi buttati via, sono la vera soluzione ai “problemi moderni”. E ricordatevi sempre di fare i backup, di farne tanti, su dispositivi diversi e posizionati in luoghi differenti! Solo i backup (fatti bene) garantiscono il ripristino dei sistemi compromessi.