Come incrementare il livello di sicurezza dei sistemi informatici? Questo uno degli interrogativi più pressanti nell’high-tech globale, e soprattutto in quello statunitense, a seguito degli eventi del settembre scorso. Dalle potenzialità di cyber-attacchi indiscriminati al rilancio della proposta di un’ID nazionale all’uscita Microsoft per una “informatica affidabile”, lo scenario va facendosi alquanto frastagliato. Ma comunque si tenti di metterla, non pare il caso di farsi illusioni: la sicurezza perfetta non esiste, nella vita reale come in quella virtuale. E tutto sommato misure repressive e strumenti tecnici adatti esistono di già, inutile aggravarne il peso.
Lo conferma, ad esempio, un recente rapporto sullo stato di salute dei sistemi informatici USA curato dal Computer Science & Telecommunications Board, parte del National Research Council. Vi si legge sostanzialmente quanto già noto: l’high-tech nazionale è sempre più vulnerabile ai cyber-attacchi in buona parte perché le aziende informatiche non applicano adeguatamente le misure di sicurezza da tempo disponibili. La ricerca nota tra l’altro che la combinazione tra un’incursione telematica nei sistemi di controllo aereo e dirottamenti simili a quelli attuati l’11 settembre, potrebbe causare un “disastro notevolmente più catastrofico.” Vista la concreta possibilità del secondo elemento, a scongiurare i rischi di intrusioni computerizzate lo studio suggerisce la messa in atto di semplici ma efficaci protezioni: test casuali sulle funzioni di sicurezza interna, sistemi di autenticazione maggiormente affidabili, addestramento e monitoraggio più accurato nella gestione dei database. Tutte misure che le varie entità interessate possono (e devono) implementare senza ulteriori ritardi.
Eppure ciò accade assai meno frequentemente di quanto si creda. “Il fatto che le raccomandazioni suggerite 10 anni fa siano tuttora rilevanti evidenziano la presenza di grossi problemi a livello strutturale e organizzativo nel prestare adeguata attenzione alla sicurezza.” Così spiega Herbert Lin, uno dei ricercatori che ha curato l’indagine. E pur nell’importanza di ulteriori investimenti per la messa a punto di nuove tecnologie e migliori procedure operative, gli esperti del National Research Council ritengono inutile stanziare fondi federali per la ricerca in questo campo. Un solo esempio: anziché ricorrere all’abusato e inaffidabile sistema di semplici password per l’autenticazione degli utenti, meglio affidarsi all’insieme di carte magnetiche personali e dati biometrici. Qualcosa già oggi possibile. Ecco quindi che lo studio incita i produttori informatici a realizzare macchine predisposte in tal senso. Ciò, si badi bene, come parte dell’approccio generale orientato a rendere più esplicite e attive per default simili procedure di sicurezza, di modo che l’utente possa disabilitarle solo volendo.
Certo, gli attentati terroristici hanno finalmente evidenziato l’urgenza di una più generalizzata difesa tramite adeguate misure tecnologiche. Ma al di là dei fumosi proclami pubblici, uno dei problemi centrali rimane la mancanza di incentivi reali per l’industria nel concretizzare tali procedure. Non a caso il rapporto del Computer Science & Telecommunications Board conclude suggerendo un possibile rimedio: rendere i produttori informatici responsabili per eventuali intrusioni nei sistemi da loro forniti, in particolare quando questi riguardino funzioni sociali critiche. E comunque sia, pur di fronte al rapido sviluppo dell’information technology, è un fatto che le misure di sicurezza non abbiano seguito un’evoluzione altrettanto veloce ed efficace.
Ragione per cui qualche grosso nome sembra deciso a darsi da fare (oppure solo a mettersi in bella mostra?). Insieme alla riproposizione di tecnologie di riconoscimento facciale proposte da varie aziende, spicca la campagna promossa da Oracle per l’avvio di una carta d’identità nazionale digitale. Anche se finora l’amministrazione Bush oppone un simile progetto, la proposta è stata recentemente rilanciata dall’American Association of Motor Vehicle Administrators. In pratica questa vorrebbe produrre un unico documento integrato e funzionale tra patente di guida e ID in grado di “identificare specificamente ciascun individuo.” Ciò grazie alla creazione di mega-database incrociati forniti da svariate agenzie, incluse la Social Security e ovviamente l’FBI, che a loro volta potrebbero accedervi indiscriminatamente. Attenzione, però: se è vero che di fatto la patente svolge le funzioni di ID in tutti gli Stati Uniti, la sua trasformazione in meccanismo di identificazione assoluta porterebbe soltanto a confusioni e discriminazioni generalizzate. Inoltre, sottolinea una press-release della EFF, “vista la storia di abusi globali in questo campo, si tratta di una questione d’estrema serietà che merita un ampio dibattito pubblico.”
Sul tutto, merita infine una segnalazione la fresca uscita di Microsoft per una “informatica sicura e affidabile.” La nuova policy del gigante informatico viene esposta in una lunga email inoltrata a dipendenti ed associati dallo stesso Bill Gates. Il quale sembra finalmente essersi reso conto del problema, scrivendo tra l’altro: “Gli eventi dello scorso anno, dagli attacchi terroristici di settembre ai numerosi virus nefasti e altamente pubblicizzati, ci hanno rammentato l’importanza di assicurare l’integrità e la sicurezza della nostra infrastruttura critica, sia che si tratti dei sistemi delle compagnie aeree o dei comuni PC.” Sotto il Subject di “Trustworthy Computing,” il documento illustra così l’urgenza nell’offerta di misure di sicurezza davvero affidabili — qualcosa cui va dato più spazio all’interno della strategia.NET. Ovvero, l’industria informatica potrà raggiungere il successo in quest’ambito soltanto se “dirigenti, utenti e chiunque altro vedrà che Microsoft è riuscita a creare una piattaforma adeguata per garantire un’informatica sicura e affidabile.”
Anche in simili frangenti, insomma, ciascuno cerca di tirare l’acqua al proprio mulino. Oppure, positivo: forse che la competizione commerciale (e politica) potrà davvero incrementare la sicurezza dei sistemi informatici del domani?
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
