La cronaca di quasi tutti gli attacchi cyber degli ultimi anni (ma anche molto prima, purtroppo) ci racconta con tutta evidenza che i superpredatori del cyberspazio vanno alla ricerca di quelle realtà abbastanza indifese da consentire l’iniezione di un malware da veicolare all’interno dei loro clienti più grandi, che hanno a loro volta clienti ancor più grandi, che servono poi i mastodonti dell’economia.
Cosa c’è di più facile e di più scontato che hackerare il più debole, il più defilato esemplare del sistema? Eppure, puntualmente il più debole e il più trascurato si trova ad essere il tallone d’Achille del sistema in quanto interconnesso con tutti gli altri da sistemi di posta elettronica, di fatturazione, di supply-chain.
Perché, dunque, i produttori di sistemi di cyber sicurezza trascurano le piccole realtà e dedicano la gran parte della loro attenzione a aziende già ricche e intrinsecamente in grado di reggere un incidente di sicurezza? Eppure, basterebbe prendere ad esempio ciò che accade in natura per rendersi conto di quanto questo approccio sia sbagliato.
Natura e senso di conservazione della specie
Senza scomodare gli etologi fino a Darwin, sappiamo che il senso di conservazione della specie mira a proteggere i più deboli in quanto nascituri, indifesi, inconsapevoli dell’ambiente.
I predatori, da parte loro, in natura, sanno che se vorranno mangiare dovranno attaccare i più deboli, sia i cuccioli a cui abbiamo fatto riferimento, via via fino ad arrivare agli ultimi rappresentanti del branco, del gregge, dello stormo o del banco che dir si voglia, lasciati indietro in quanto vecchi o anche gli esemplari più malati, lasciati dal gruppo in pasto ai predatori per frustrarne inconsapevolmente un DNA meno adatto a sopravvivere.
Sono i predatori quelli preposti a compiere, tra l’altro, la funzione di spazzini, e quella di rinforzo ai metodi già crudi della natura stessa, delle malattie, degli eventi avversi fino al tempo meteorologico più spietato.
Il peccato originale della cyber security
Nell’economia delle aziende, i beni da salvaguardare non sono i più esigui e i più effimeri: i beni da proteggere sono quelli più valevoli, più preziosi e quindi rappresentanti una criticità, per definizione. Ecco allora interi governi intenti a pianificare lo spostamento all’interno della nazione dei DNS di rete (sta accadendo ad esempio in Russia con il disegno di legge “Digital Economy National Program”), per poter controllare i flussi di informazioni che passano online tra i cittadini russi e il resto del mondo. Oppure grandi aziende multinazionali dotarsi di sistemi di sicurezza a prova di conflitto tra blocchi contrapposti degni della più letteraria e filmografica guerra fredda stile spy-story anni sessanta.
Ma riflettiamo: quale atteggiamento può essere così scellerato da garantire preferibilmente una protezione di sicurezza rivolta alle aziende più forti o già più forti? Proteggere i più forti, i più grandi, porta in nuce un vizio di forma: proteggere il noto, il conosciuto, laddove gli attacchi provengono invece sempre dai fronti sguarniti, lasciati scoperti non per negligenza, ma per poca contezza delle potenzialità di quelle vulnerabilità.
Il senso di cyber sicurezza passa insomma attraverso una declinazione egoista di prevenzione, lasciando dunque le aziende più deboli ad un fatalismo senza speranza. Cosa proteggiamo in una rete? I server con i dati che mappiamo sul nostro schema! Dove investiamo in una infrastruttura? Spendendo risorse per l’hardening punti di ingresso che devono essere analizzati. Cosa impostiamo nel nostro sistema di sorveglianza? Regole note di supervisione che faranno scattare allarmi non appena queste trappole verranno attraversate da ciò che ci attendiamo accada.
Ma cosa ne sarà invece di quello che non ci attenderemmo mai che accada, come spesso puntualmente accade?
Da Sun-tzu a Murphy, (e ritorno)
Uno dei precetti dell’”Arte della Guerra” del citatissimo Sun-Tzu tirato in ballo in qualunque ambito si parli di strategie e dunque di cyber security, è proprio “nel mezzo del caos, c’è anche l’opportunità.” Che si può tradurre nel non aver paura di mettere le mani nei dispositivi intricati e dimenticati delle nostre infrastrutture e cercare lì le nostre vulnerabilità, dove anche l’hacker esperto andrà a cercare le sue, di opportunità!
Mi chiedo: come abbiamo fatto a passare da una nobile arte della guerra come quella decodificata da Sun-Tzu, alla dozzinale saggezza popolare di frasi come quella più famosa relativa alle “leggi di Murphy”: “Se c’è una possibilità che varie cose vadano male, quella che causa il danno maggiore sarà la prima a farlo”?
Nella cyber sicurezza nulla va mai così come predice Murphy! La sua raccolta di aforismi, è stata divertente e anche forse preziosa durante la terza rivoluzione industriale, ma nell’impresa di oggi che usa infrastrutture IT di ennesima generazione, gli eventi indesiderati che arrecano il danno il maggiore accadono in modo subdolo, non si notano, non danno evidenza, come gli stessi cryptominers, che silenziosi lasciano andare in ebollizione la nostra CPU senza darci il minimo sospetto che il nostro computer stia minando cryptomoneta da un mese, da sei, mesi. Da un anno.
Proteggere i deboli mentre si aumenta la resilienza
Non ci stiamo appellando a quello che sappiamo della Natura per ricondurci ad un’etica bacchettona o demodé, come spesso si fa quando si invoca la natura, eppure nessuna di queste definizioni sono state più adatte di una diretta accusa all’ingiustificato senso di cyber-protezione che viene instillato nelle aziende con mal riposte speranze.
Interpretare sostanzialmente il ruolo che in altre situazioni interpretano i bulli quando sovrastano i più deboli: da una parte, aziende già ricche e intrinsecamente in grado di reggere un incidente di sicurezza grazie a potenti ammortizzatori economico-finanziari, utilizzano tecnologie raffinate di cyber threat intelligence, di advanced persistent threat analysis, di open source intelligence e di web-firewalling…. Senz’altro con supporti dai costi (e dunque dai prezzi) impronunciabili, dai canoni quinquennali, dai nomi altisonanti, dal deployement infinito; dall’altra aziende a conduzione famigliare che rappresentano l’85% del tessuto imprenditoriale italiano che devono fare i conti con mezzi economico-finanziari esigui e soggetti ad imposte di qualunque tipo, che considerano “overhead” qualunque carico di spending superiore al necessario e dunque evitabile o rimandabile al prossimo anno, alla prossima gestione finanziaria, a data da destinarsi, a mai più.
E i produttori di strumenti di cyber security?
E’ il momento per tutti i produttori di sistemi di difesa cyber, che si rivolgono sempre e comunque alle infrastrutture critiche, perché temono di non avere dalle piccole realtà imprenditoriali le revenues che ci si attende dall’intervento sui grandi player, di ricordare che in un Paese costituito per l’85% da PMI e dal 75% da aziende “famigliari”, potremo trovare senz’altro modo di veicolare lo sforzo di proporre una catena del valore che ospiti i razionali dello spending in cybersicurezza anche nelle infrastrutture del tessuto microimprenditoriale.
