SICUREZZA DIGITALE

Per rispettare il GDPR servono più incidenti, non sanzioni

Senza i tanto vituperati “hacker” non ci sarebbe nemmeno quel minimo di miglioramento che le tante azioni dimostrative hanno causato

Scrivo questo articolo in uno di quei rari momenti nei quali mi illudo che la sicurezza informatica sia qualcosa di cui ci si dovrebbe occupare seriamente. Non voglio mancare di rispetto ai tanti professionisti che cercano di lavorare aiutando sul serio clienti e datori di lavoro a “tenere in piedi la baracca”. Nemmeno, però, posso far finta di ignorare cosa sia (diventato?) il mercato della sicurezza informatica e il fatto che senza i tanto vituperati “hacker” non ci sarebbe nemmeno quel minimo di miglioramento che le tante azioni dimostrative hanno causato.

Apologia di reato? Istigazione a delinquere? No, semplicemente constatazione di un dato oggettivo: nel settore della sicurezza informatica non sono le sanzioni a indurre il rispetto delle regole.

Tutti ricorderanno il terrorismo psicologico a base di “sanzioni del 4% del fatturato mondiale” che ha accompagnato l’entrata in funzione del GDPR e che, nelle idee di molti, avrebbe generato una diffusa “messa a norma”. Nei fatti, però, questo deterrente si è rivelato poco più di uno spaventapasseri perchè se escludiamo le sanzioni (peraltro proporzionalmente poco afflittive) irrogate a qualche gigante del settore bancario o delle telecomunicazioni, a livelli “umani” i numeri sono talmente bassi da indurre i “titolari” a rischiare. Non dimenticherò mai le parole di un amministratore delegato di un’azienda che, sanzionato per trentamila Euro, mi disse: “avvocato, se avessi fatto il necessario per gli scorsi vent’anni avrei speso oltre quattrocentomila Euro. In questo modo, con meno di un decimo, me la sono cavata: va bene così e non facciamo nemmeno ricorso”.

Viceversa, in una specie di follia suicida collettiva, gli “incidenti” – o meglio: operazioni chirurgiche o attacchi  “a tappeto” a base di exploit, botnet e ransomware frutto di gestione superficiale dei sistemi informativi e dei rapporti con i fornitori – hanno incrementato le segnalazioni di data-breach anche nei casi dove non sarebbe obbligatorio dichiarare di avere accusato il colpo.  Quasi che mettere nero su bianco di avere mal-gestito la propria sicurezza fosse un vanto piuttosto che una confessione di fallimento.

Perchè accade tutto questo, e perchè ora e non prima?

Semplicemente, perché grazie all’internet i risultati di queste azioni diventano pubblici e non possono essere nascosti sotto il tappeto, sia perché se gli autori dell’azione hanno finalità politiche diffondo la notizia, sia perché quando si spengono mezza Europa o mezza Italia è abbastanza difficile sostenere che sia colpa di qualcuno che ha staccato inavvertitamente la ciabatta che alimenta il gruppo di continuità del computer della segreteria amministrativa.

Quindi, a differenza del passato, imporre la consegna del silenzio serve a molto poco e la diffusione della notizia di un “incidente” genera inevitabilmente e prima di tutto una gara di velocità nello scaricabarile o nel lasciare il cerino in mano a qualcuno (possibilmente, il fornitore o il consulente). Parallelamente, a fronte della concreta probabilità di una verifica amministrativa e/o di un’azione legale, parte anche la gara a rimettere a posto le “carte”, nella diffusa – ed errata – convizione che i controlli e controversie potranno essere gestite dimostrando di avere fatto la “sicurezza di carta”.

In conclusione e paradossalmente, se l’attenzione sostanziale alla sicurezza delle informazioni e dei sistemi informativi crescerà, questo sarà grazie (grazie, e non “per colpa”) a LulSec, Anonymous e a tante altre persone “colpevoli” di avere dimostrato l’ipocrita fragilità di infrastrutture pubbliche e private. E meritevoli di avere portato a termine dei penetration test reali, i cui risultati sono dimostrati dai fatti e non da report scintillanti e colorati – ma finti e inutili. In questo senso, dunque, nulla è cambiato negli ultimi trent’anni dal momento che questo è lo stesso approccio che guidò il Chaos Computer Club tedesco a denunciare l’insicurezza degli ATM dell’epoca, o tanti altri smanettoni (anche italiani) a pubblicare ingenuamente la scoperta di vulnerabilità di apparati e software, rivecendo in cambio richieste di risarcimento miliardarie (mai messe in pratica, peraltro).

Va anche detto, tuttavia, che le vecchie abitudini sono dure a morire e quindi nonostante lo “sfortunato incidente”, piuttosto che fare qualcosa pe migliorare la propria condizione, tante realtà torneranno al “business as usual” fatto di “definizione di framework di risk assessment basato su algoritmi di AI che implementano funzionalità di threat-prediction in un’ottica di ridisegno evolutivo di un’infrastruttura di cybesecurity ad alta resilienza GDPR-compliant.”

E così, passata la paura della “prima volta”, la giostra riparte come prima: venghino siore e siori, altro giro, stesse emozioni!

Back to top button
Close
Close