Questo testo è basato su un mio precedente in inglese, scritto nel 2013 e pubblicato su una rivista. Purtroppo il contenuto è ancora valido, quindi lo ripropongo in italiano. Nelle prossime puntate proverò a vedere cosa ho imparato nel frattempo.

Ho passato la maggior parte della mia vita lavorativa occupandomi di sicurezza informatica come consulente, visitando molti clienti e molto differenti tra loro. Ognuno aveva qualche necessità in ordine alla sicurezza informatica: il vero problema è quando hanno realizzato di averla.
Ovunque troverete discusso il concetto di "defense in depth", della sicurezza a livelli che deve essere pensata, implementata e documentata al fine di formare chi dovrà operare al fine di schivare almeno gli errori più evidenti. Nella pratica questo è solamente un gran mucchio di balle.
Le aziende cercano la sicurezza solamente quando hanno un problema, e non parlo di una violazione che compromette dati o sistemi: di solito si accorgono della sicurezza quando qualche norma introduce degli obblighi di qualche tipo. E, solitamente, ci arrivano all'ultimo momento. Le aziende temono le multe più che i possibili intrusi (primo grande errore). Inutile dire che questa forma di sicurezza "reattiva" è tanto utile quanto mettersi la cintura di sicurezza dopo aver fatto un incidente.
Quindi quello che accade è che l'azienda tutto ad un tratto deve rispettare qualche norma? Sbagliato. Non essendo interessata a ciò che la norma impone deve solamente documentare di essere a posto. E non interessa come, bisogna farlo alla svelta e soprattutto senza impattare il business che ha le sue regole che sono immutabili (secondo grande errore).
La richiesta di sicurezza arriva prima di tutto dallo staff legale, ed il loro impegno principale è trovare soluzioni di carta secondo le quali questa azienda non deve sottostare a quel tipo di regolamento, se lo deve fare è solo per una piccola parte e normalmente non considerando i propri asset come critici, siano essi proprietà intellettuale o dati anche di terzi in loro possesso. Questo porta lo staff a stilare le prime conclusioni che sul lato tecnologico solitamente non stanno in piedi in alcun modo: le si pensa destinate a qualche forma di leguleio.
Normalmente bisogna passare anche attraverso l'assessment fatto da una qualche entità esterna che, forse (terzo grande errore), richiederà all'IT residente schemi che non è in grado di capire e policy che non sa leggere, il tutto normalmente senza avere alcuna nozione del business che viene erogato dai sistemi che sta "analizzando". Spesso la parte teatrale dell'assement comprende anche ragazzi con la felpa (presi con contratti a termine da 15 giorni e che si pagano da soli il panino per pranzo) che installano macchine di vario tipo con antenne e lucine, il tutto atto a generare report da 1000 pagine che compongono il terribile stato della rete "as is". A questo malloppo di solito si aggiunge qualche copia e incolla di pagine internet che trattano temi legati alle buzzword del momento. Chiudono alcuni documenti con qualche "best practice" Se sei fortunato il documento passa almeno per lo stagista successivo che applica lo stesso font al calderone e inserisce il logo aziendale nel piede di pagina. Quello a cui non si sfugge, se il documento è in italiano, è lo scempio totale della lingua con l'inserimento di parole casuali derivate da termini inglesi che nella migliore delle ipotesi sono fuori contesto. Attenzione, non è un dettaglio: usare termini inglesi italianizzati solitamente significa non avere idea del loro significato e sperando che sia lo stesso per il lettore non gli si porta molto rispetto. Nella quasi totalità dei casi i termini inglesi hanno un corrispondente italiano anche se si parla di IT, senza nemmeno la necessità di usarne di ridicoli. E comunque, via con la prima fattura.
E' il momento del secondo documento, quello che spiega come passare dall' "as is" al "to be" implementando le magiche linee guida. Il tutto in maniera completamente avulsa da quello che è il modo di operare tipico di quell'azienda (terzo grande errore bis) e mancando al vero valore che un professionista può fornire al cliente: capire il suo lavoro, capire le linee guida e armonizzare le due cose. Ma, è evidente, questo male si sposa con i costi e i tempi ristretti. Perchè ovviamente la sicurezza costa e nessuno ne vede i benefici nell'immediato, è come un'assicurazione. Anzi peggio, perchè costringe a dei percorsi che rendono il lavoro più ingessato. In un mondo in cui le aziende sono a "trazione commerciale" questo è un mezzo sacrilegio. Perchè mai sprecare risorse per la sicurezza quando con gli stessi soldi possiamo offrire dei nuovi set di icone animate? Perchè non posso spedire in serenità tutti i nostri dati di produzione ad un sub-sub-sub-sub contractor a Hyderabad usando l'FTP sul sito dove si scaricano i film? E perchè complicare l'uso delle applicazioni con quelle cose complicate come le password, magari da cambiare due volte l'anno? Il mio gatto è vissuto 12 anni e il nuovo ha lo stesso nome del precedente, la mia data di nascita non la posso cambiare, ma cosa vogliono con queste password?
A questo punto il cliente ha scoperto di aver speso un sacco di soldi per l'analisi (!) e si trova pure a dover cambiare le cose per essere in regola. Altri soldi, ma siamo matti? Certo che no, il consulente esterno ha ovviamente la soluzione a portata di mano: basta comperare [da lui] uno o più apparati che renderanno sicuro il tutto automagicamente, senza bisogno di fare altro. Deve essere una soluzione "enterprise", "ridondata" e, ovviamente, costosa. Un po' di trattativa commerciale durante la quale nessuno si sente preso in giro dopo uno sconto del 50% sulla proposta iniziale, due avanti e indietro tra i vari dipartimenti per ottenere l'ok di tutti (a volte addirittura l'IT residente viene interpellato per avere l'ovvia conferma a procedere) e si parte: invece di revisionare infrastruttura, software e procedure si compra uno scatolotto che ha un costo X da spesare in Y anni, il sogno dei contafagioli. Il "problema" sicurezza si avvia a trasformarsi in una rata mensile e torna il sorriso.
Ed ecco che arriva il nuovo firewall (quello vecchio non è "certificato"): chiaro che vanno reinstallati tutti i client ma quel costo è di un altro dipartimento. E fa niente se lo si fa spedendo le credenziali per mail.
Poi non può mancare un IDS/IPS che cerca in ogni angolo della rete i "cattivi" e automagicamente blocca le loro attività. Tra i cattivi ci sono le applicazioni aziendali che hanno la pessima abitudine di girare su porte utilizzate dal malware XYZ (o sarà mica il contrario?). Anche quel database genera traffico "anomalo" e quel telefono IP potrebbe nascondere un canale di esfiltrazione. Perciò i dispositivi IDS/IPS vanno messi in fase di apprendimento, tuning e quant'altro, altrimenti scassano tutto: e così restano per sempre, inutili scatole che mangiano corrente in qualche CED, alla faccia della certificazione ambientale che l'azienda espone in home page. Poi un giorno l'oscura aziendina mediorientale che produce queste scatole magiche fallisce e il prodotto semplicemente muore o viene acquistato dal pesce più grosso che lo rinomina, cambia licenza e lo usa come grimaldello per entrare in azienda e continuare il ciclo di cui stiamo parlando.
Un altro aggeggio che bisogna avere è qualcosa che "protegga" dalla perdita di dati verso l'esterno del perimetro, le cosiddette "soluzioni" (di che?) DLP: Data Loss Prevention. Si parte con qualche procedura mistica di classificazione dei dati, ma siccome nessuno internamente ci si vuole mettere si lascia in mano la cosa al consulente che decide cosa sia importante o meno (le sue decisioni verranno sicuramente ratificate in qualche riunione in cui le espone con slide colorate che nessuno starà a guardare). Solitamente per il fornitore si tratta di vedere quali sono le tre funzioni del prodotto e decidere che ciò che è in grado di controllare è certamente ciò che è importante. D'altronde questa azienda è tra i visionari nel quadrante magico di Gartner, mica possono dire fesserie, giusto? Così si bloccano tutte le mail con numeri dentro (potrebbero essere carte di credito o offerte che superano quella massima consentita su un contratto). Usare una chiavetta USB richiede 13 livelli di autorizzazione (quindi si usa Dropbox che siccome serve al boss è aperto per tutti). E comunque la procedura ormai la conoscete, a forza di bloccare/aprire (pardon, mettere in "learning" la potentissima intelligenza artificiale) il DLP diventa un altro mucchio di scatole che mangiano corrente. Ma poi, come ce la caviamo con tutte le persone in giro per il mondo a vendere le nostre merci? Chiaramente dobbiamo cifrare il disco del loro laptop no? Metti che lo perdano o che vnga rubato... Serve per forza un software di cifratura che, guarda caso, il consulente ha a portafoglio. Perchè non usare quello integrato? Ma è chiaro, potrebbe avere delle backdoor inserite da qualche agenzia di tre lettere. Meglio usare un prodotto sconosciuto realizzato da tre sconosciuti che si sono incontrati per sbaglio in uno sconosciuto canale Telegram per realizzare un algoritmo di cifratura casalingo. Security by obscurity è sempre la scelta migliore! Bene, ma quando il nostro venditore è a Kathmandu e chiama alle 2 di notte l'assistenza IT perchè si è dimenticato il PIN come facciamo? Mmmm, trovato: assieme al laptop mettiamo nella loro borsa un disco USB su cui fare i backup non cifrati. Già che ci siamo anche una busta con scritto "non aprire" che contenga il master-total-global-unlock PIN di tutta l'azienda, perchè ok i dati sul disco esterno ma le applicazioni...
Così dopo un anno (ce l'avevano venduta che in un mese eravamo a posto...) cosa abbiamo? Un mucchio di consulenti che sono andati e venuti (le condizioni fanno si che il ricambio sia altissimo), ognuno di questi con accesso esterno e password amministrative per tutta l'infrastruttura aziendale, "necessarie" per l'assessment.
Abbiamo rack pieni di apparati lampeggianti; è vero, sono disabilitati (oops, in "learning mode"), ma il tour aziendale agli investitori non può prescindere dal muro dei "firewall" lampeggianti.
Siamo anche impegnati nell'installazione di quell'altro apparato super potente, che però non funziona e ha bisogno di una patch ma Vladimir, l'unico che ha scritto il codice di quel coso, non ha tempo di implementarla perchè si è dato al mining della criptovaluta della settimana.
Per finire non ci facciamo mancare un mezzo armadio pieno di documentazione scritta male su cose che in qualche modo riguardano una versione dell'azienda che ormai è vecchia.
Ma hey, abbiamo comprato la sicurezza!
E tu resti li a vedere il tuo progetto che ripresenti ogni anno che ha dentro una sola parola, formazione. E che continuano a cassarti perchè: Non ce ne sono di storie, la sicurezza non è un prodotto da comprare. La sicurezza è nella cultura delle persone. La sicurezza non è solamente tecnologia, è nel modo di agire ogni giorno al lavoro (e non solo). Le aziende (visto che le scuole latitano) dovrebbero smettere di spendere in apparati e cominciare ad investire in educazione. Può darsi che magari accendano qualche lampadina, utile in tutti gli ambiti della società non sono nel mondo aziendale o nell'IT.