- Home
- Cybersecurity
- Cybersecurity? È una questione di fiducia
Cybersecurity? È una questione di fiducia
| Pier Luca Montessoro | cybersecurity
#CybersecurityCafé
di Pier Luca Montessoro, Università di Udine
Oggi vorrei parlarvi di fiducia e di consapevolezza. Se queste due parole non vi sembrano abbastanza in tema cybersecurity, vi invito a ripensarci. È arrivato il tempo di sdoganare la sicurezza dal territorio dei problemi tecnici e considerarlo come un problema sociale, per la sua dimensione e per la profondità con cui permea il nostro quotidiano.
Dobbiamo renderci conto che, al di là degli aspetti tecnologici, la sicurezza risiede in una catena di fiducia che va da chi progetta hardware, software o servizi a chi li utilizza ed è importante aumentare la consapevolezza dei rischi potenzialmente presenti in ciascuno degli anelli. Partendo dal cuore della tecnologia, il progettista deve essere consapevole delle criticità di sicurezza fin dall’inizio del lavoro: questo perché la sicurezza è un ingrediente che deve essere parte del progetto, non una funzionalità aggiunta a posteriori. Ma anche il manager responsabile del progetto stesso e dell’attività del progettista deve esserne consapevole, perché sviluppare sistemi considerando i possibili problemi di sicurezza ha un costo e si devono fornire allo sviluppatore adeguate risorse in termini economici e temporali.
Consapevolezza deve esserci poi in chi utilizza la tecnologia per offrire servizi, come ad esempio i cosiddetti “system integrator” e i service provider. Anch’essi, come committenti e acquirenti delle tecnologie, devono chiedere opportune garanzie e, di nuovo, essere disposti a pagare per ottenerle.
Consapevolezza deve esserci infine nell’utente finale, che, collocato in fondo alla catena, è costretto a dare fiducia a tutti i soggetti precedenti, pur essendo tipicamente inesperto e spesso sprovveduto. Ciononostante, non può permettersi di non sapere che certi comportamenti sono a rischio. Oggi, più che all’attacco informatico fondato su espedienti tecnici, i rischi maggiori sono legati alla social engineering, cioè alla capacità di indurre nelle persone comportamenti che poi potranno essere utilizzati come breccia per aggirare le misure di sicurezza. È il caso degli attacchi, dai più ingenui a quelli anche molto raffinati, che mirano a impersonare un interlocutore diverso (e a cui attribuiamo fiducia) da quello con cui abbiamo in realtà a che fare.
Di questi aspetti devono occuparsi due mondi trasversali: la normativa e la politica.
A livello legale, lo strumento fondamentale per realizzare una catena della fiducia è rappresentato dai Service Level Agreement. Questi però dovrebbero essere concepiti per obbligare a soluzioni tecniche e organizzative atte a fornire garanzie che le cose funzionino, e non con l’idea di rivalersi nel caso questo non succeda. Si tratta di una questione largamente culturale, prima ancora che normativa. I Service Level Agreement giocano infatti un ruolo fondamentale nell’outsourcing: una pratica comune e vantaggiosa che però limita ancora di più la nostra capacità di controllo. Così, spesso si finisce per riporre la fiducia in qualcuno in modo sconsiderato, semplicemente perché i passaggi sono tanti e non sempre ne siamo a conoscenza o dedichiamo risorse adeguate per analizzarli. Del resto, anche quando i controlli sarebbero possibili a livello teorico risultano spesso del tutto impraticabili: basti pensare che sistemi relativamente piccoli come le recenti versioni di Windows o Ubuntu sono composte da oltre 50 milioni di linee di codice, senza arrivare a Google con i suoi circa 2 miliardi. Una vulnerabilità data da un errore o inserita ad arte con intenti più o meno disonesti diventano così il classico ago nel pagliaio e la possibilità di controllo diretto resta un fatto meramente teorico: è comunque necessario riporre fiducia nei numerosi soggetti responsabili di tali controlli. Questo è particolarmente evidente nel mondo dell’open source, in cui si ripone fiducia nella collettività degli sviluppatori, ma dove i sistemi sono anche più esposti allo sfruttamento di eventuali vulnerabilità.
Tutto questo ha anche delle conseguenze a livello di politiche nazionali: per poter circoscrivere la fiducia a soggetti conosciuti e controllabili sarebbe necessario promuovere lo sviluppo interno delle tecnologie. Non è nemmeno più un problema di sicurezza in senso stretto, ma di politiche industriali: quando tutto è basato sui servizi di altri, il problema diventa la fragilità delle condizioni con cui si accede a un servizio (vedi Google). Nello stesso tempo, tutto è talmente connesso e complicato che non è nemmeno pensabile realizzare una sorta di autarchia. Al contrario, il sistema Internet è tale da spingere verso il monopolio o perlomeno l’oliogopolio: Google può permettersi di fare Google perché tutto il mondo lo finanzia e per opporsi a Google dovrebbe esserci un soggetto simile che avrebbe anche lui bisogno di essere finanziato da tutto il mondo – e dovrebbe convincere il mondo, sostanzialmente, a finanziare un doppione di una cosa che funziona già, senza alcuna garanzia né di far meglio né di essere maggiormente degno di fiducia. Siamo tornati di nuovo, dunque, alla questione della fiducia.
Nel mondo digitale il problema della fiducia emerge anche in altri aspetti legati alla nostra vita quotidiana: la privacy, l’esposizione a soggetti malintenzionati, il bullismo (e non solo nei giovanissimi). La domanda è: quando concediamo la nostra fiducia, come sviluppatori, committenti, fornitori di servizi, ma soprattutto utenti, lo facciamo consapevolmente?
Oggi purtroppo non sempre è così e c’è bisogno di correre ai ripari. Bisogna arrivare sia alle fasce della popolazione ormai fuori dal sistema scolastico, sia ai giovani ancora raggiungibili tramite le scuole: un faro in questo senso è rappresentato dalle iniziative promosse, per esempio, dalla Polizia Postale e delle Comunicazioni, con le numerose iniziative online e programmi per la formazione degli insegnanti. Tuttavia le nostre scuole non sono ancora abbastanza ricettive e spesso chi avrebbe più bisogno di consapevolezza e formazione è talmente inconsapevole da non riconoscere neppure il proprio bisogno.
La verità è che nel momento che si entra a far parte di una rete i nostri comportamenti non mettono a rischio solo noi stessi ma possono danneggiare anche gli altri e in modo potenzialmente grave: è come guidare un autoveicolo e come per quello, ci vorrebbe la patente!Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 12/2018Editoriale
-
Bambini riabilitati e felici grazie ai robotcaffè scientifico
-
AI: cos’è (e cosa non é) e perché tutti ne parlanocaffè scientifico
-
Come AI e robotica cambieranno le nostre vitecaffè scientifico
-
Ci vediamo su WebMeetings!servizi alla comunità
-
Con eduroam tutto il mondo è Wi-Fiservizi alla comunità
-
Il robot e la retecaffè scientifico
-
Bye bye copyrightservizi alla comunità
-
La rivoluzione archeologica è alle portela voce della comunità
-
Oltre i confini della scuolala voce della comunità
-
Giovani talenti d’innovazionela voce della comunità
-
EPOS ERIC :: nasce il consorzio europeola voce della comunità
-
Plan S :: dai principi all’attuazionela voce della comunità
-
Escape :: la nuvola che libera i datila voce della comunità
-
Tecnologia :: è made in Italy il supercomputer Ue per la fusionela voce della comunità
-
Piccole medie digitali per imparare i vantaggi della retela voce della comunità
-
Direzione Terabitosservatorio della rete
-
Big Science: arriva l’iperconnessione a 200 Gbpsosservatorio della rete
-
Pen test: la miglior difesa è l’attaccocybersecurity
-
Cybersecurity? È una questione di fiduciacybersecurity
-
Indirizzi IP: una risorsa preziosacybersecurity
-
Quando PEC è diventato l’acronimo di Può Essere Compromessacybersecurity
-
Hack the Cloud: quando la sfida è tra le nuvolela nuvola della ricerca e istruzione
-
Il futuro del supercomputing? È (anche) made in Europeinternazionale
-
Il giorno dell’Open Science europeainternazionale
-
L’insegnamento musicale cambia a tempo di Swingpillole di rete
-
Al via EllaLink, nel 2020 collegherà Europa e America Latinapillole di rete
-
CESNET, dalla Repubblica Ceca in arrivo il video superveloce a 8kpillole di rete
-
IGF 2018: la fiducia ai tempi di Internetieri, oggi, domani
-
Conferenza GARR 2019agenda
-
TNC 2019 - Forging Digital Societiesagenda
-
Cloud Services for Synchronisation and Sharingagenda
-
Idee per innovare in rete. Dalle prime MAN ad oggi: valori e modelli da condividereagenda
Articoli nella rubrica
-
di Pier Luca Montessoro
-
di Claudia Battista
-
di Simona Venuti
-
di Biagio Tagliaferro
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009