Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy

Cybersecurity? È una questione di fiducia

Cybersecurity? È una questione di fiducia

Scritto da Pier Luca Montessoro Il . Inserito in cybersecurity . Visite: 313

#CybersecurityCafé

di Pier Luca Montessoro, Università di Udine

Oggi vorrei parlarvi di fiducia e di consapevolezza. Se queste due parole non vi sembrano abbastanza in tema cybersecurity, vi invito a ripensarci. È arrivato il tempo di sdoganare la sicurezza dal territorio dei problemi tecnici e considerarlo come un problema sociale, per la sua dimensione e per la profondità con cui permea il nostro quotidiano.

Dobbiamo renderci conto che, al di là degli aspetti tecnologici, la sicurezza risiede in una catena di fiducia che va da chi progetta hardware, software o servizi a chi li utilizza ed è importante aumentare la consapevolezza dei rischi potenzialmente presenti in ciascuno degli anelli. Partendo dal cuore della tecnologia, il progettista deve essere consapevole delle criticità di sicurezza fin dall’inizio del lavoro: questo perché la sicurezza è un ingrediente che deve essere parte del progetto, non una funzionalità aggiunta a posteriori. Ma anche il manager responsabile del progetto stesso e dell’attività del progettista deve esserne consapevole, perché sviluppare sistemi considerando i possibili problemi di sicurezza ha un costo e si devono fornire allo sviluppatore adeguate risorse in termini economici e temporali.

Consapevolezza deve esserci poi in chi utilizza la tecnologia per offrire servizi, come ad esempio i cosiddetti “system integrator” e i service provider. Anch’essi, come committenti e acquirenti delle tecnologie, devono chiedere opportune garanzie e, di nuovo, essere disposti a pagare per ottenerle.

Consapevolezza deve esserci infine nell’utente finale, che, collocato in fondo alla catena, è costretto a dare fiducia a tutti i soggetti precedenti, pur essendo tipicamente inesperto e spesso sprovveduto. Ciononostante, non può permettersi di non sapere che certi comportamenti sono a rischio. Oggi, più che all’attacco informatico fondato su espedienti tecnici, i rischi maggiori sono legati alla social engineering, cioè alla capacità di indurre nelle persone comportamenti che poi potranno essere utilizzati come breccia per aggirare le misure di sicurezza. È il caso degli attacchi, dai più ingenui a quelli anche molto raffinati, che mirano a impersonare un interlocutore diverso (e a cui attribuiamo fiducia) da quello con cui abbiamo in realtà a che fare.

Di questi aspetti devono occuparsi due mondi trasversali: la normativa e la politica.
A livello legale, lo strumento fondamentale per realizzare una catena della fiducia è rappresentato dai Service Level Agreement. Questi però dovrebbero essere concepiti per obbligare a soluzioni tecniche e organizzative atte a fornire garanzie che le cose funzionino, e non con l’idea di rivalersi nel caso questo non succeda. Si tratta di una questione largamente culturale, prima ancora che normativa. I Service Level Agreement giocano infatti un ruolo fondamentale nell’outsourcing: una pratica comune e vantaggiosa che però limita ancora di più la nostra capacità di controllo. Così, spesso si finisce per riporre la fiducia in qualcuno in modo sconsiderato, semplicemente perché i passaggi sono tanti e non sempre ne siamo a conoscenza o dedichiamo risorse adeguate per analizzarli. Del resto, anche quando i controlli sarebbero possibili a livello teorico risultano spesso del tutto impraticabili: basti pensare che sistemi relativamente piccoli come le recenti versioni di Windows o Ubuntu sono composte da oltre 50 milioni di linee di codice, senza arrivare a Google con i suoi circa 2 miliardi. Una vulnerabilità data da un errore o inserita ad arte con intenti più o meno disonesti diventano così il classico ago nel pagliaio e la possibilità di controllo diretto resta un fatto meramente teorico: è comunque necessario riporre fiducia nei numerosi soggetti responsabili di tali controlli. Questo è particolarmente evidente nel mondo dell’open source, in cui si ripone fiducia nella collettività degli sviluppatori, ma dove i sistemi sono anche più esposti allo sfruttamento di eventuali vulnerabilità.

Tutto questo ha anche delle conseguenze a livello di politiche nazionali: per poter circoscrivere la fiducia a soggetti conosciuti e controllabili sarebbe necessario promuovere lo sviluppo interno delle tecnologie. Non è nemmeno più un problema di sicurezza in senso stretto, ma di politiche industriali: quando tutto è basato sui servizi di altri, il problema diventa la fragilità delle condizioni con cui si accede a un servizio (vedi Google). Nello stesso tempo, tutto è talmente connesso e complicato che non è nemmeno pensabile realizzare una sorta di autarchia. Al contrario, il sistema Internet è tale da spingere verso il monopolio o perlomeno l’oliogopolio: Google può permettersi di fare Google perché tutto il mondo lo finanzia e per opporsi a Google dovrebbe esserci un soggetto simile che avrebbe anche lui bisogno di essere finanziato da tutto il mondo – e dovrebbe convincere il mondo, sostanzialmente, a finanziare un doppione di una cosa che funziona già, senza alcuna garanzia né di far meglio né di essere maggiormente degno di fiducia. Siamo tornati di nuovo, dunque, alla questione della fiducia.

Nel mondo digitale il problema della fiducia emerge anche in altri aspetti legati alla nostra vita quotidiana: la privacy, l’esposizione a soggetti malintenzionati, il bullismo (e non solo nei giovanissimi). La domanda è: quando concediamo la nostra fiducia, come sviluppatori, committenti, fornitori di servizi, ma soprattutto utenti, lo facciamo consapevolmente?

Oggi purtroppo non sempre è così e c’è bisogno di correre ai ripari. Bisogna arrivare sia alle fasce della popolazione ormai fuori dal sistema scolastico, sia ai giovani ancora raggiungibili tramite le scuole: un faro in questo senso è rappresentato dalle iniziative promosse, per esempio, dalla Polizia Postale e delle Comunicazioni, con le numerose iniziative online e programmi per la formazione degli insegnanti. Tuttavia le nostre scuole non sono ancora abbastanza ricettive e spesso chi avrebbe più bisogno di consapevolezza e formazione è talmente inconsapevole da non riconoscere neppure il proprio bisogno.

La verità è che nel momento che si entra a far parte di una rete i nostri comportamenti non mettono a rischio solo noi stessi ma possono danneggiare anche gli altri e in modo potenzialmente grave: è come guidare un autoveicolo e come per quello, ci vorrebbe la patente!

Pier Luca Montessoro

Intervento alla Conferenza GARR 2018 "Data (R)evolution".
Montessoro è professore ordinario di Sistemi di Elaborazione presso il Dipartimento Politecnico di Ingegneria e Architettura dell’Università degli Studi di Udine.

GARR News - Testata semestrale registrata al Tribunale di Roma: n. 243/2009 del 21 luglio 2009

Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia

GARR News è edito da Consortium GARR, La rete Italiana dell'Università e della Ricerca


GARR News n°19 - Dicembre 2018 - Tiratura: 10.000 copie - Chiuso in redazione: 23 luglio 2018
Redazione GARR News
Hanno collaborato a questo numero: Francesca Aloisio, Valeria Ardizzone, Claudio Barchesi, Alex Barchiesi, Paolo Budroni, Francesco Ceccarelli, Giovanni Cioni, Alberto Colla, Patrizia Cuppini, Nevio Dubbini, Marco Ferrazzoli, Roman Ganguly, Corrado Giustozzi, Giuliano Greco, Pasquale Mandato, Silvia Mattoni, Laura Moretti, Michele Nardini, Claudio Pisa, Mario Reale, Roberta Rezoalli, Bruno Santeramo, Antonella Varaschin, Gloria Vuagnin, Massimo Zallocco


 

Abbiamo 101 visitatori e nessun utente online