La sicurezza é un'amante incompresa

Chiunque sia stato in un aeroporto negli ultimi dieci anni, avrà  sentito un annuncio simile a questo:

Vi ricordiamo che, per la vostra sicurezza, è consentito portare a bordo solo un bagaglio a mano.

Questa frase è una smaccata menzogna, ma una menzogna da cui dobbiamo imparare. Limitare il numero di bagagli a mano non aumenta la sicurezza, ma consente alle compagnie aree di impedire uno sfruttamento incontrollato di una risorsa limitata (lo spazio a bordo) e di ridurre il peso trasportato gratuitamente. Prova ne sia che l'obbligo di portare a bordo solo un bagaglio a mano è sempre esistito e che solo recentemente il divieto è stato rafforzato con l'associazione a criteri di sicurezza. In altri termini, le compagnie aeree utilizzano la sicurezza per garantire il rispetto di regole che nulla hanno a che vedere con la sicurezza. L'approccio degli informatici a questo tipo di problemi è molto meno creativo.

In ogni executive summary, in ogni white paper, in ogni incontro con un potenziale cliente, chi vende sicurezza segue immancabilmente lo stesso schema:

• elenca i rischi dell'informatica moderna;
• rincara la dose, dicendo che le cose andranno sempre peggio;
  (fin qui è stato onesto, ma poi..)
• afferma che il suo prodotto - sia esso un firewall, un anti-virus o una consulenza - può garantire la sicurezza dei dati e dei sistemi on-line.

Giustamente preoccupato da questa visione apocalittica del futuro, il cliente acquista il prodotto o il servizio e ritiene per cià di essere al sicuro (ha il diritto di farlo: ha pagato), fino a che - una settimana, un mese o un anno dopo - il suo sistema viene "bucato" da un pirata informatico.
Quando cià avviene, il cliente scopre, nella maniera più dolorosa possibile, che un sistema "non banale" (per utilizzare una definizione di Bjarne Stroustrup) non potrà  mai dirsi sicuro.
Potrà  essere più o meno protetto, questo sì (e le verifiche di sicurezza, siano esse applicative o sistemistiche, svolgono un ruolo molto importante nel processo di protezione), ma la sicurezza, paradossalmente, sarà  tanto più difficile da ottenere quanto più sarà  necessaria.
Per riprendere l'esempio aeronautico, mentre è relativamente facile garantire la sicurezza di un piccolo aereo da turismo, è estremamente complesso assicurare un livello minimo di protezione a un volo di linea.

Inoltre, i sistemi di sicurezza sono come le vaccinazioni: ciascuno è efficace per alcune malattie e inutile per altre; se ci si vaccina contro il morbillo e la scarlattina, si è comunque ancora vulnerabili al colera, alla malaria e all'AIDS. E Internet è piena di portatori sani.

A causa di questi malintesi di fondo, c'è sempre più gente che pensa (e dice e scrive) che la sicurezza informatica ha perso la sua battaglia contro i pirati informatici, mentre siamo noi, che abbiamo perso, perché abbiamo creato delle aspettative che la sicurezza non potrà  mai soddisfare.

Impugniamo un coltello per la lama e ci lamentiamo delle ferite, mentre dovremmo piuttosto imparare dai nostri omologhi aeronautici e cominciare a sfruttare la sicurezza come uno strumento per evidenziare le carenze delle strutture in cui operiamo e come incentivo al rispetto delle regole.

Le verifiche di sicurezza, infatti, non ci forniscono solo informazioni sul nostro sistema, ma anche su chi lo gestisce (sulla preparazione dei programmatori, per esempio, o sulla competenza dei capi-progetto); l'esigenza di garantire la sicurezza del sistema ci permette di imporre delle modifiche o delle correzione al codice o alla configurazione dei sistemi, laddove questi non rispondano (come spesso avviene) ai criteri minimi di qualità  richiesti.

Contrariamente all'efficacia della sicurezza per la sicurezza, che come abbiamo visto, decresce all'aumentare del bisogno, questi benefici collaterali della sicurezza sono maggiori per le grandi organizzazioni (siano esse aziende o Enti) che affidano la realizzazione di buona parte del loro sistema informatico a terzi e che quindi possono far buon uso di uno strumento che gli permetta di accertare l'effettiva qualità  delle risorse impiegate.