Non sono un esperto di sicurezza informatica e neanche un esperto di calcolo ad alte prestazioni, di big data, di intelligenza artificiale o di cloud, né sono contrario in alcun modo all’utilizzo di tali tecnologie.
Ma la modalità di scelta del cloud come soluzione ai mali del mondo (ICT), così come la modalità di gestione dell’Agenzia per la Cybersicurezza nazionale e dell’incidente alla regione Lazio, mi sembrano quanto di più distante si possa immaginare da quello che farebbe chiunque ami risolvere i problemi.
Cybersicurezza e privacy, così la PA italiana può vincere la partita del secolo
Provo ad argomentare di seguito la mia visione.
Quelli che “amano risolvere i problemi”
Primo Levi ha scritto “amare il proprio lavoro (che purtroppo è privilegio di pochi) costituisce la migliore approssimazione concreta alla felicità sulla terra”. Se si vuole veramente affrontare un problema forse sarebbe meglio cercare tra quelli che si appassionano nel realizzare soluzioni. Un altro autore (meno noto in Italia ma trovare il nome è facilissimo) ha scritto “non esiste nessun manuale che parli del problema essenziale della manutenzione della motocicletta, tenere a quello che si fa”. Come si fa a capire se qualcuno tiene a quello che fa? Se ha passione per risolvere i problemi? La risposta è quasi scontata: basta vedere come affronta il problema.
Chi ama il lavoro di risolvere problemi, inizia studiando quello specifico problema e lo fa con passione. Attenzione, affrontare un problema tecnico con passione non significa farsi guidare dall’istinto (almeno non solo). Al contrario, significa cercare la massima precisione in quello che si sta facendo. Molte volte sono quelli che sembrano dettagli a fare la differenza nel risultato finale della soluzione. Non è una situazione nuova, e nel passato anche grandissimi personaggi sono caduti nella tentazione di proporre soluzioni di cui mancavano solo i dettagli tecnici. Abbastanza famoso, almeno nell’ambiente della fisica, il caso di Werner Heisenberg (un genio assoluto!) che negli anni ‘50 dello scorso secolo annunciò pubblicamente, anche alla radio, di avere risolto il problema dell’unificazione delle forze fondamentali specificando che mancavano solo alcuni dettagli tecnici. Dopo queste affermazioni, Wolfgang Pauli (un altro dei padri della meccanica quantistica), noto per il suo spirito caustico, scrisse ad alcuni colleghi per annunciare al mondo che era in grado di dipingere come Tiziano e che mancavano solo alcuni dettagli tecnici, come dimostrava nella lettera (riprodotta nella figura), in cui aveva abbozzato solo la cornice.
Dopo queste considerazioni, in qualche modo generali, vorrei cercare di rendere il discorso più concreto con qualche collegamento a fatti ed annunci recenti nel campo della sicurezza informatica.
L’esempio dell’Agenzia per la Cybersicurezza nazionale
Al momento in cui scrivo non so chi verrà coinvolto nella nuova struttura a cui è stata affidata per legge la cybersecurity. Di sicuro si sa che è stato nominato il Direttore. Ma se si legge il decreto (ormai convertito in) legge non è chiaro di che tipo di figura professionale l’Agenzia abbia bisogno.
Baldoni una scelta “sicura”, per l’Agenzia della cybersecurity
Le trecento persone che si ipotizzano per l’Agenzia possono essere troppe o troppo poche a seconda dei problemi che si vogliono risolvere. Personalmente non ho ricette magiche da suggerire (in realtà non credo ne esistano) per risolvere “i problemi della cybersecurity” e, d’altro canto, come ho scritto all’inizio, non sono un “esperto”. Mi permetto però di dare un suggerimento per la selezione di eventuali tecnici (a tutti i livelli). Chi vuole occuparsi di cybersecurity dimostri di aver capito quello che c’è scritto in quel piccolo capolavoro che è Reflections on Trusting Trust scritto da Ken Thompson come discorso per l’accettazione del premio Turing nel lontano 1983 (quasi 40 anni fa!). Sono tre paginette assolutamente illuminanti.
L’attacco alla regione Lazio: nessuno può dirsi al sicuro
Un altro fatto recente, quasi concomitante, sul quale vale la pena riflettere è quello dell’attacco alla regione Lazio che ha permesso l’installazione di un ransomware con relativa richiesta di riscatto in Bitcoin. Non voglio fare dietrologia ipotizzando che il “riscatto” sia stato in realtà pagato, ma non si può evitare di notare che, in fondo, l’equivalente in Bitcoin di 5 milioni di euro è una frazione modesta (circa un quinto) dei milioni di euro spesi dalla regione Lazio per un’infrastruttura hardware/software che, alla prova dei fatti, è crollata e, sembra, ancora non sia tornata pienamente operativa. Il punto che vorrei evidenziare invece è la totale mancanza, ad oggi, di una seria analisi di quanto accaduto con conseguente individuazione delle responsabilità, non dico personali, ma almeno delle componenti tecniche.
Quasi come se non ci fosse un aspetto tecnico da approfondire. Una delle poche cose corrette scritte nei primi giorni, subito dopo l’intrusione, è che nessuna organizzazione, pubblica o privata, in Italia o all’estero, può considerarsi totalmente sicura. Ci sono stati, e ci saranno, attacchi che vanno a buon fine ad organizzazioni ben più sensibili ai problemi della sicurezza informatica della regione Lazio, ma la differenza è il modo con cui l’organizzazione reagisce ed anche come l’evento viene descritto. Il problema da noi è diventato subito politico con dichiarazioni a dir poco sorprendenti. Gli organi di informazione hanno fornito descrizioni della situazione talmente poco credibili da risultare divertenti. Quello che sarebbe utile, cioè una dettagliata ricostruzione tecnica di quello che è avvenuto, temo che non sarà mai disponibile, non dico al grande pubblico, che probabilmente la troverebbe noiosa, ma neanche a chi ha un interesse diretto, se non altro per evitare di ripetere gli stessi errori. In Italia è già avvenuto nel passato con incidenti di questo tipo e c’è sicuramente un’enorme differenza con quanto accade da altre parti.
L’intrusione ai sistemi della HBGary Federal
Nel 2011, ci fu negli Stati Uniti un incidente che è considerato un classico per chi fa formazione nel settore, l’intrusione ai sistemi della HBGary Federal. Fece scalpore perché la società era specializzata proprio nel settore della sicurezza informatica ma, nonostante questo, una combinazione di negligenza tecnica e di social engineering determinò una situazione come minimo imbarazzante (con tanto di sberleffi sugli account twitter di alcuni dei vertici).
In quel caso, però, non ci fu alcuna reticenza. Tutti gli errori che avevano permesso agli attaccanti di prendere il controllo di vari sistemi furono descritti in dettaglio, senza invocare complotti o trincerarsi dietro esigenze investigative (per la cronaca, gli autori furono individuati ed arrestati, vedremo cosa succederà in questo caso). Cosa impariamo dal caso della regione Lazio? Apparentemente nulla, almeno per adesso, perché non si può neanche dire, a sentire i responsabili, che non fossero stati fatti gli investimenti necessari.
La strategia cloud nazionale
Collegato in vari modi ai due casi precedenti c’è il recentissimo annuncio della Strategia Cloud Italia. Sulla carta una soluzione fantastica, peccato che non si capisca a quale problema tecnico. O meglio, sembra che il cloud sia la soluzione a tutti i problemi. È stato scritto che l’obiettivo è migrare sul cloud i dati di almeno il 75% degli uffici pubblici italiani entro il 2025. Per raggiungere questo obiettivo sono previsti quasi 2 miliardi di euro. Come spesso accade, i campioni nazionali che già si sono candidati a gestire e spendere una tale montagna di soldi sono praticamente gli stessi che hanno messo la pubblica amministrazione nella condizione (certificata dall’AGID) di avere il 95% dei data center con carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza. Quale capacità di risoluzione di problemi hanno mostrato se la situazione è così grave?
In altre parole, si rinuncia proprio a definire in maniera dettagliata i problemi ed analizzare le possibili alternative con tutta la libertà che un tale investimento dovrebbe permettere. Sulla base di quali considerazioni, soprattutto per i dati “strategici”, il cloud rappresenti la soluzione migliore rimane un mistero, anche se, sono convinto, vari esperti sono pronti a certificarlo.
Conclusioni
A scanso di equivoci, non ho nulla a priori contro le tecnologie cloud. Le ho usate e le continuo ad usare in alcuni progetti (non solo accademici). Penso però che, per quanto possa sembrare curioso, l’approccio del tecnico dovrebbe sempre essere quello di un (grande) economista che ha detto “I’m in favor of whatever works in the particular case” ma, purtroppo, per molti esperti, “The conventional view serves to protect us from the painful job of thinking” (lo stesso economista).
Naturalmente, se il problema reale è spendere comunque tutto il budget, il cloud, o una blockchain “di Stato” o qualunque altra combinazione di hardware, software e applicazioni va bene. Anzi, suggerirei ai decisori di scegliere quanto di più inutile ci possa essere, così a nessuno verrà in mente di controllare se la soluzione funziona, tanto non serve.
