I computer non saranno mai sicuri
La sicurezza informatica è una contraddizione in termini. Limitiamoci a prendere in considerazione solo l’anno appena trascorso: Cyberthieves ha sottratto 81 milioni di dollari dalla Banca Centrale del Bangladesh. L’acquisizione da 4,8 miliardi di dollari di Yahoo da parte di Verizon è stata quasi mandata a monte da due violazioni di dati di enorme entità. Gli hacker russi hanno interferito nelle elezioni presidenziali americane.
Al di là dei titoli e degli strilli, il mercato nero delle estorsioni informatiche, dell’hacking for hire (ndt: “hackeraggio su commissione) e dei beni digitali rubati è in piena espansione. Il problema si ingigantisce di giorno in giorno.
I computer si occupano sempre più non solo di dati immateriali, come i dettagli della carta di credito e le banche dati, ma anche del mondo reale, degli oggetti fisici e dei vulnerabili corpi umani. Una macchina moderna è un computer sulle ruote, un aereo è un computer con le ali. L’arrivo del “Internet delle cose” vedrà i computer coinvolti in tutto, dalla segnaletica stradale a scanner a RM, dalle protesi alle pompe di insulina.
Non vi è alcuna prova che questi oggetti saranno più affidabili di quelli delle loro controparti desktop. Gli hacker hanno già dimostrato di poter prendere il controllo remoto delle auto “connesse” e dei pacemaker.
Dalle reti di oggetti intelligenti ai software “deboli”
Si è tentati di credere che il problema della sicurezza tecnologica possa essere risolto con una magia ancora più tecnologica e una maggiore vigilanza. È certamente vero che molte aziende non riescono ancora a prendere sufficientemente sul serio la sicurezza. Ciò richiede di coltivare una specie di paranoia, che è estranea a società non tecnologiche. Le organizzazioni di tutte le dimensioni dovrebbero attuare iniziative come i programmi “bug bounty”, in cui si pagano hacker etici per scoprire i difetti dei sistemi o dei software in modo che possano essere risolti prima che siano “bucati”.
Tuttavia non c’è modo per rendere completamente sicuri i computer. Il software è cosa estremamente complessa: Google deve gestire circa 2 miliardi di righe di codice sorgente dei propri prodotti software, gli errori sono inevitabili. Un programma medio ha 14 vulnerabilità separate, ognuna di esse è un potenziale punto di ingresso illegale. Debolezze a cui aggiungere quelle della storia di Internet, in cui la sicurezza è diventato un tema solo in un secondo momento.
Computer, che ti proteggo a fare?
No. Non esageriamo! Una lunga esperienza ci insegna che il rischio di frodi, di incidenti stradali o di catastrofi naturali non può mai essere eliminato completamente. Tuttavia, le società hanno sviluppato modi per gestire tali rischi – dalla regolamentazione governativa all’uso della responsabilità legale e dell’assicurazione – e creare incentivi a un comportamento più sicuro e virtuoso.
Si inizia dalle norme
La priorità dei governi dovrebbe essere quella di astenersi dal peggiorare la situazione. Gli attacchi terroristici, come quelli recenti a San Pietroburgo e a Londra, spesso fanno gridare alla riduzione della crittografia con l’idea che i servizi di sicurezza possano meglio controllare i singoli individui. Tuttavia, è impossibile indebolire la crittografia solo per i terroristi. La stessa protezione che protegge i programmi di messaggistica, come Whatsapp, tutela anche le transazioni bancarie e le identità online. La sicurezza informatica è meglio servita da una crittografia forte per tutti.
La successiva priorità è quella di impostare le norme fondamentali sul prodotto. La mancanza di competenza ostacola sempre la capacità degli utenti dei computer di proteggere se stessi. I governi devono quindi promuovere una sorte di “programma di salute pubblica” per l’informatica. Potrebbero insistere sul fatto che i gizmo (ndt: congegni) collegati a Internet siano automaticamente aggiornati quando siano stati trovati e risolti dei bug. Potrebbero costringere gli utenti a modificare i nomi utente e le password predefiniti. Come avviene già in alcuni Stati americani, potrebbero obbligare le aziende alla disclosure (ndt: comunicazione pubblica) quando i loro prodotti siano stati violati. Ciò le incoraggerebbe a risolvere un problema invece di seppellirlo.
Da un computer a cento
La definizione di standard minimi aiuta, ma fino a un certo punto. L’incapacità degli utenti di proteggere sé stessi è solo un’aspetto del problema generale della sicurezza informatica – e gli incentivi per affrontarlo seriamente sono ancora troppo pochi. Spesso il danno causato da un hacker non ricade sul proprietario di un dispositivo compromesso. Pensate alle reti botnet di computer, dai desktop ai router alle lampade “intelligenti”, che sono infette da malware e attaccano altri bersagli (ndt: caso delle telecamere cinesi o dei router di Deutsche Telecom).
Aspetto ancora più importante: da decenni l’industria del software ha declinato ogni responsabilità per danni causati ai loro clienti dal loro prodotto software. Tale approccio ha i suoi vantaggi. La fruttuosa strategia della Silicon Valley “go fast and break thinks” (ndt: acceleriamo e cambiamo le cose, ma anche facciamo in fretta e rompiamo le cose) è possibile però soltanto se le aziende hanno mano libera nel poter lanciare nuovi prodotti quando hanno ancora bisogno di essere perfezionati.
Uno stato delle cose che dovrà presto cambiare. Poiché i computer vanno a bordo di prodotti (consumer) coperti da accordi di responsabilità stabiliti, come automobili o beni domestici, le responsabilità dell’industria ICT andranno presto in contrasto con le leggi vigenti in materia di prodotto difettoso.
Responsabilità. A ognuno la sua
Le aziende dovrebbero poi riconoscere che, se anche i tribunali non dovessero attribuire loro responsabilità, l’opinione pubblica si. Molti esperti in sicurezza informatica fanno oggi paralleli con l’industria automobilistica americana degli anni ’60, che aveva ignorato la sicurezza per decenni. Nel 1965 Ralph Nader pubblicò “Unsafe at Any Speed”, un bestseller che ha reso pubblico e messo un freno all’atteggiamento lassista del settore. L’anno seguente il governo è ha preso una posizione decisa introducendo le norme sulle cinture di sicurezza, sui poggiatesta, ecc. Provate a immaginare che clamore creerà il primo incidente con bambini su macchine a guida autonoma!
Per gestire i rischi guardiamo agli aspetti finanziari oltre che tecnologici
Fortunatamente, il piccolo ma crescente mercato dell’assicurazione della sicurezza informatica offre un modo per proteggere i consumatori pur preservando la capacità d’innovazione del settore informatico.
Un’azienda i cui prodotti non funzionano correttamente o vengono ripetutamente violati da hacker, (ndt: se si saranno assicurati) vedrà i propri premi salire, spingendolo a risolvere il problema.
Un’impresa che prende misure ragionevoli per rendere le cose sicure, ma è compromessa comunque, avrà la possibilità di attingere a un risarcimento assicurativo che le impedirà di fallire. Ed è solo a questo punto che le aziende informatiche potranno negoziare una riduzione delle responsabilità. Ancora una volta, ci sono precedenti: quando i reclami eccessivi contro le aziende aeronautiche americane hanno minacciato di far fallire l’industria negli anni ’80, il governo ha cambiato la legge limitando la loro responsabilità sui vecchi prodotti.
Una ragione per cui la sicurezza informatica è oggi ad un livello così basso, è che poche persone l’hanno presa sul serio ieri. Agli albori di Internet era perdonabile. Ora che le conseguenze sono note e i rischi causati da bug e hacking sono grandi e crescenti, non c’è scusa che autorizzi a perseverare nell’errore. Cambiare atteggiamento e comportamento, tuttavia, richiederà strumenti economici, non solo tecnici. Scopri le proposte di Margas:
Fonte: @The Economist Aprile 2017
