Le due memorabili ere del CID

cybersecurity

Eventi negativi classificati come “imprevedibili” solo per lavarsi la coscienza. La misura del tempo che abbiamo perso. Non è vero che non è mai troppo tardi

Nella stagione dei foreign fighters il pensiero corre veloce a un memorabile cristiano che a un certo punto della sua carriera – visti rifiutati i suoi servigi dai Conti di Barcellona – si arruolò a capo delle truppe di un feudatario musulmano in terra ispanica. Il tizio si chiamava Rodrigo Díaz, indomito uomo d’arme passato alla storia come “El Cid” ed etichettato “Campeador” per il lungo palmares di successi bellici. Ai tempi nostri il nome CID identifica invece la “convenzione indennizzo diretto” e individua per brevità il modulo di constatazione amichevole in caso di sinistro stradale. “O tempora, o mores” esclamerà qualche dotto lettore, memore di Cicerone.

Il curioso e strampalato preambolo – nel commiserare la decadenza dei tempi nostri – non intende trattare di eroi né di collisioni tra veicoli, ma introduce il doloroso tema degli incidenti informatici e dei loro pavidi protagonisti passivi. Lo sviluppo eutrofico delle soluzioni tecnologiche è stato accompagnato da una crescita dei livelli di rischio e, purtroppo, dalla sostanziale impreparazione ad affrontarli. E mica è finita. Se la sicurezza del “prima” sovente latita, quella del “dopo” – fatta di toppe (o patch per chi nobilita approssimazione e imperizia con un inglesismo) e di tentativi di rimedio e ripristino – diagnostica in modo impietoso le condizioni di salute di qualsiasi organizzazione finisca sotto scacco. Nemmeno il numero crescente di attacchi informatici riesce a scuotere dal torpore il management delle realtà pubbliche e private che sono state, sono e saranno bersaglio di aggressioni. “Basta dormito, dotore!!!”, esclamerebbe Dragomira, la badante rumena del Mario Bambea recentemente interpretato da Corrado Guzzanti. Ed è difficile non condividere simile esortazione, divenendo subito forte il desiderio di propagare un invito del genere. Anche entità di caratura internazionale e di storica efficienza rimangono imbambolate al verificarsi di inconvenienti funzionali e, ancor peggio, al momento della constatazione di eventi negativi che è troppo facile classificare come “imprevedibili” per lavarsi la coscienza e scrollarsi le responsabilità di dosso.

Convinto che la cultura della security e la prevenzione possono “disinfestare” il contaminato mondo computer-dependent, ho spesso dovuto deglutire sbigottito nel vedere proposte sensate e consigli preziosi precipitare nel vuoto cosmico che i miei interlocutori mi riservavano al termine di faticosi colloqui da me non sollecitati. Già, perché per un amministratore delegato o un direttore generale, il chiamare un esperto o presunto tale, ha la stessa funzione che per un peccatore ha il genuflettersi al confessionale della parrocchia. Il ritardo nel constatare l’accaduto (spesso non evidente ma non per questo lieve per natura e conseguenze) si somma alla lentezza dell’indecisione, dell’incompetenza e dell’incapacità di committenza ad altri. Ricordo Guido Mario Rey, grande presidente dell’ormai dimenticata Authority per l’Informatica nella Pubblica Amministrazione, che teneva a sottolineare il “tempo” come uno dei fattori nevralgici della sicurezza. Il professor Rey non esitava a ribadirlo, intendendo il tempo in ogni sua accezione. Era il tempo trascorso, quello ancora a disposizione, quello che manca. Era l’età “biologica” delle apparecchiature, l’intervallo maturato per scoprire una falla o individuare una password, il pur breve periodo in cui solo qualcuno conosce una falla e ne approfitta (quel che oggi chiamiamo “zero-day-attack”), i giorni e le ore per scoprire cosa è successo, il lesto girare delle lancette, rincorrendo il ritorno alla normalità in operazioni di ripristino condotte tra mille inciampi.

Leggi anche:  No data loss: i consigli di Aruba in vista del World Backup Day

Sono passati quindici anni da allora. E questa è la misura del tempo che abbiamo perso. Eh sì, il tempo. Sempre lui. Mi piacerebbe che non se ne facesse trascorrere inutilmente tanto altro, ma si cominciasse a pensare che quel che diceva il maestro Manzi non si addice al nostro contesto. Chi continua a biascicare che non è mai troppo tardi, non ha ben presente la fragilità dello scenario.