SICUREZZA DIGITALE

Storia di una débâcle annunciata

Alla ricerca della sicurezza informatica perduta. Tra un convegno e l’altro

Quello che sta accadendo è fuori dal mondo. Vi prego di credermi: ho ricoperto per decenni, e anche l’anno scorso, il ruolo di responsabile di sistemi informatici, in organizzazioni piccole, grandi e globali, industriali, private e governative. Non ho mai visto niente di simile. Attacchi informatici preannunciati, mirati, tutti a segno, contro ogni genere di sistema computerizzato e/o telematico, interno, pubblico, infrastrutturale, commerciale: non si erano mai visti con questa pluriquotidiana cadenza e con impatti sui servizi tanto eclatanti.

Qualcuno dice: è la sindrome del disastro ferroviario, quando ne succede uno grave, poi per un mese ne vengono riportati uno al giorno più limitati, malfunzioni, rischi sventati. Non è così per due motivi. Il primo è l’esistenza di un ben preciso contesto, che non è, si badi, la guerra russo-ucraina in sé ma la situazione specifica di para-belligeranza in cui Italia e Russia si trovano. L’Italia è posizionata dal lato giusto ma sta seguendo una linea mediatica sovraesposta e sopra le righe. Solo in Italia (ma sono qui per ricevere smentite, se del caso) nel nostro continente, assistiamo a una fucilazione sommaria non delle tesi russe ma del metodo di inchiesta e oggettività. Si invitano in TV giornalisti/e dell’apparato russo e li si lincia senza ascoltare, a prescindere, e loro non aspettano altro: ponendosi aggressivamente sul loro piano si finisce in un grottesco e rissoso pareggio. “Parlate voi che ci avete invaso nel 1941? che seguivate Mussolini?”. Pubblicità, e punto a capo. E gli hacker sono tutti russi, li prendevamo in ridere.

Il secondo motivo è stato ben evidenziato da Umberto Rapetto, siamo attaccati con tecnologie vecchie di trent’anni che solo preludono, attraverso la negazione dei servizi da parte delle vittime immobilizzate dagli hacker, a ben peggiori attentati tesi a infettare e alterare intere reti, rendendo indisponibili o inaffidabili i dati. Siamo pertanto al redde rationem di una situazione costruita negli anni e dall’oggi al domani ben poco si può fare e quel poco non esce sicuramente dalla pletora di convegni, osservatori, commissioni a cui partecipano i vari preposti. Le reali speranze di resistenza-resilienza sono legate alla tempestività e alla concretezza dei singoli responsabili dei singoli sistemi informatici. Ai Grand Commis si richiede solo di starsene buoni e non fare altri casini oltre a quelli degli hacker, in quella che sarebbe un’involontaria ma grandguignolesca sindrome di Stoccolma. 

Facciamo un passo indietro. Quando sono entrato nei sistemi IT che allora si chiamavano EDP, c’erano ancora in circolazione i vecchi ragiunatt che avevano portato le schede perforate nei reparti contabilità e paghe. Non ci si attendeva molto di più dai calcolatori, così quando si iniziò a parlare di terminali su tutti i tavoli, di accesso diretto degli utenti ai sistemi, la diffidenza fu immensa. Nessuno si sentiva tagliato per quelle cose lì, pochi ne avevano curiosità, tutti timore (perdite di tempo, trovarsi in panne sul più bello, progetti macchinosi e cambiamento dei propri consolidati modi di lavoro, diminuzione del personale e quindi del potere). 

La categoria dei capi di sistemi prese a smaniare per arrivare nella stanza dei bottoni, riportare all’AD, porsi in relazione con il business, che però non capiva e quindi non metteva mano al portafoglio. La pretesa di influire sul business, tipica degli anni 80-90 del secolo passato, si può dire sia fallita ma non del tutto, lasciando l’ICT in una posizione né carne né pesce, con molti cantieri aperti e in una postura finanziariamente vincolata: spendete fino a X non una lira oltre; e se c’era da fare un taglio per crisi si andava sempre lì, cancellando progetti, posponendoli, rimandando investimenti. La cosa peggiore di tutte: l’ICT fu messo sotto il controllo del CFO, che salvo rare eccezioni è la persona più negata all’innovazione tecnologica, assieme al capo risorse umane, al quale molti ICT ebbero l’ardire di tentare il furto della funzione organizzazione. Con esiti letali, per loro.

La bufala Y2K (“baco del millennio”), sopraggiunta dopo 5-6 anni di fine secolo caratterizzati da grandi investimenti inutili per un banale problema di date, causò una perdita di credibilità ai nostri ICT da cui non ci saremmo più ripresi. I CFO diventarono de facto i capi dei sistemi e fecero piani seri per rientrare del danaro buttato. All’ICT si chiese concretezza tecnica, attenzione alle infrastrutture, definizione delle specifiche per contratti di servizi terzi, che poi avrebbe negoziato e gestito il CFO. 

Allora si consolidò e appalesò l’enorme ritardo accumulato dai nostri sistemi in termini di sicurezza informatica. Troppa inutile attenzione a cambiare i processi utente, alla strategia, all’allineamento con il business. “Tornate in sala macchine, scrivete codice e query, presidiate gli accessi, l’integrità e la sicurezza dei dati”. Una parola, fare questo con una specie di obolo di S. Pietro da versare alle scartoffie delle big di consulenza che andavano a farsi ingaggiare dall’AD, con il CFO alle costole che non capiva che cos’era un firewall, con un budget che si assottigliava sempre a metà anno.

A partire dalla metà degli anni 1990, l’ICT cominciò con una qualche serietà a fare capolino nella P.A.. Per una fisiologica isteresi, mentre il mondo privato faceva retrenching sulla spesa informatica, nello Stato esplodeva la voglia di bit e byte. La risposta ovvia fu la creazione di agenzie e sottoagenzie, con l’arrivo in città dei gabbiani della consulenza. Non fu certo la creazione di competenze solide e mirate, quelle che oggi ci farebbero sentire al sicuro. Persone come Rapetto rimangono ritratti che addobbano le nostre pareti, così come le sue sono addobbate dagli encomi ricevuti. Detto in sirventese del Trecento, nei sistemi informatici di Stato giravano molti emeriti. Aggiungete voi.

Quella tracotante, sprezzante ironia che accompagnava l’ICT, l’abitudine di rifilargli sempre i peggiori che non funzionavano nel business, la scarsa attenzione alla preparazione tecnica del management, la cecità rispetto a quello che veniva avanti nel mondo, l’idea che noi eravamo più furbi e non buttavamo i soldi nei videogiochini, lo snobismo delle alte sfere: tutte cose che ho visto e di cui parlo. Altre, che solo ho intuito, non le cito nemmeno ma potete arguire che molti soldi siano andati nelle tasche non volute dal cittadino.

Il ritardo con cui ci stiamo muovendo, se ci stiamo muovendo, la vulnerabilità sconcertante nascono secondo me da questa storia. C’è poi un risvolto ancora più triste: il silenzio colpevole, mistificatorio con cui questa grave questione è trattata dal mainstream dell’informazione. L’eredità, l’onda lunga dell’eclissi democratica sperimentata durante il Covid sta spandendosi sinistramente anche qui. Si discute (ma più che discutere si proclama gonfiando il petto) di libertà, di autodeterminazione altrui e intanto malinconicamente cala il sipario sulla nostra democrazia, fondata sul lavoro e non sul reddito di cittadinanza, sul diritto all’informazione e non sul pensiero unico. 

La TV racconta in tre secondi i casi di black-out di ministeri, ferrovie, ospedali, poi qualcuno minimizza, circoscrive, piazza il gerundio d’obbligo, stiamo -endo, -ando, e poi parte il convegno, si apre il libro bianco, si invoca la commissione. Un bel censimento per iniziare, poi ci sono i comodi, confortevoli titoli del PNRR dove può rientrare la software-house del cognato o la start-up del figlio che sa solo smanettare (sullo smartphone, intendo).

Siccome è noto che l’80% delle violazioni hanno origine, fraudolenta o inavvertente, nelle persone, viene da pensare che una notevole sacca di sabotatori si annidi nelle nostre istituzioni, specie statali. Disfattisti ce ne sono sempre stati, furti e furtarelli, piccoli sabotaggi, lettere e denunce anonime, calunniose o veritiere: specie i ministeri e l’apparato giudiziario hanno visto tonnellate di queste pellicole. Un paese che va male prima o poi mostra quanto faccia schifo la propria parte peggiore e il web la propaga a tutto il mondo, come in un repellente reality o Truman-show. La presunta valvola di sfogo del whistleblowing non sembra funzionare (l’anonimato è mio e me lo gestisco io, e chi fa la spia sappiamo di chi non è figlio).

Domani è un altro giorno, si violerà.

Back to top button