22 aprile 2020
Lavorare da casa, se si è organizzati, aiuta. Aiuta perché si guadagna del tempo e il tempo lo si può utilizzare, tra le altre cose, anche per riflettere: si possono analizzare situazioni note, in maniera più profonda e da punti di vista diversi.
Abbiamo tutti installato sui PC e i notebook che usiamo per lavoro, dei sistemi di protezione da attacchi informatici che banalmente chiamiamo "antivirus". In realtà queste applicazioni sono ormai qualcosa in più di un normale antivirus. Il nome gli è stato dato anni fa perché la strategia di protezione era basata sul riconoscimento di sequenze di bit all’interno del malware (virus) che lo identificano esattamente, come le sequenze di DNA all’interno di un virus. Adesso non è più solo così, ma il paragone rende l’idea e teniamolo per buono.
Si aggiornano costantemente perché all’apparire di minacce sconosciute, mai viste prima, il produttore deve "cablare" delle reazioni (contromisure). Se l’antivirus non è aggiornato non riconosce il virus e non sa come reagire. Ormai questo è patrimonio comune di conoscenza. In realtà non è così semplice, ma si è creata un’incrollabile fede nel fatto che una minaccia trovi immediata reazione in un miglioramento delle tecniche di difesa.
Covid-19 è un virus biologico. L’aspettativa dei più, prima di accorgersi che così non è stato, è che, come accade ogni anno col virus dell’influenza, la tecnica medica potesse proporre una soluzione, un aggiornamento, che ponesse rimedio alla minaccia. Come per gli antivirus da computer.
Per il momento così non è. Potremmo aspettare, tanto prima o poi il vaccino arriva. Visti i danni alla salute, alla socialità e all’economia questa però non è una grande strategia. E allora cosa si fa nel frattempo? Si presta attenzione ai comportamenti, si monitorano i piccoli sintomi costantemente, ci si prova la febbre e si attuano delle azioni che contengono il rischio di contagio, aspettando un vaccino che ci dia una auspicabile immunità.
Tornando alle infrastrutture informatiche cosa significa? Se il paragone calza, è vero che il virus biologico si combatte con la biologia, alla fine, ma evidentemente ci dei limiti temporali, all’efficacia di queste contromisure; è altrettanto vero che il virus "tecnologico" richiede una risposta tecnologica, ma non basta. Il principio è noto da tempo tra chi si occupa di cybersecurity. Non è però abbastanza condiviso nelle aziende né tra i manager, né tra gli specialisti IT. Questi ultimi, nella fede incrollabile in uno sviluppo tecnologico arrembante, spesso sono convinti che la migliore tecnologia sia la barriera invalicabile a questi attacchi. Poi però, ogni tanto, e ora sempre più spesso, qualcosa non va per il verso giusto.
Chiariamo subito una cosa: un’ottima tecnologia serve, eccome. Ma di sicuro non basta. Continuando con i paragoni: in che maniera stiamo pensando di riaprire i luoghi di lavoro? Controllando e monitorando, le persone che ci entrano oltre che prendendo precauzioni per evitare il diffondersi del contagio. Abbiamo delle certezze in merito? Abbiamo la "tecnologia infallibile" che ci supporta? No.
Monitorare significa eseguire dei controlli continui, applicando la miglior tecnologia disponibile, ma verificando continuamente, per tener d’occhio quei lievi sintomi che possono essere indicatori di qualcosa di ben più grave. Chi valuta i sintomi? Meglio che lo faccia qualcuno che conosce la materia in maniera approfondita.
In termini di cybersecurity come si possono applicare queste esperienze? Così come se ho all’interno un medico di medicina generale, non un esperto qualsiasi di una specialità affine, uso le migliori tecnologie e attivo le contromisure, altrettanto faccio per la sicurezza informatica. Uso un ottimo prodotto che mi protegga da "virus" noti o da minacce "prevedibili" ed eseguo monitoraggi costanti affidando l’analisi dei "sintomi" e le reazioni conseguenti ad un medico delle "malattie da malware".
Se il medico non c’è costantemente presente, o è impegnato in altro, affido il controllo a degli specialisti esterni. Ma controllo, monitoro. La soluzione peggiore, perché crea un’illusione di protezione senza che questa sia reale, è quella di monitorare molto bene e affidare la "lettura" dei sintomi a qualcuno che non è uno specialista oppure a qualcuno che è già oberato da altre attività. Si finisce, nel giro di breve per ignorare, nascosti tra segnali non veri (falsi positivi), i sintomi che sono prodromici ad una grave infezione.
Sono situazioni che abbiamo incontrato qualche volta nel corso della nostra vita professionale, soprattutto in aziende di grosse dimensioni che hanno correttamente pensato che monitorare fosse un comportamento corretto. Non avevano però specialisti per leggere i sintomi, nonostante il reparto IT fosse qualificato. E’ un mestiere diverso.
Ho scritto che l’abbiamo visto qualche volta e non spesso. La spiegazione non risiede nel fatto che la maggior parte monitora e analizza correttamente. La vera spiegazione è purtroppo che pochi monitorano: come per virus biologici hanno una fede incrollabile nel vaccino (che comunque arriverà, non prima però di aver fatto danni incalcolabili).
Serviva il Covid-19 per capire queste cose? Essendo lungimiranti, no. Questo non è l’unico virus che al momento non ha un vaccino. Se pensiamo ad Ebola o all’HIV o anche alla SARS gli indizi li avevamo sott’occhio da tempo, ma questi non ci erano vicini, erano cose di altri. Forse stavolta …
di Giancarlo Gervasoni
VP Sales, Marketing, R&D, Purchasing
Zerouno Informatica spa
11 ottobre 2024
Nuova edizione del siderweb TG. #siderwebtg Credits: archivio siderweb; World Steel Association media library.
Lascia un Commento