Siamo nel mondo della Cyber-fragilità
La Rubrica - Cybersecurity Week
In Italia abbiamo vissuto una tranquilla mezz’ora di paura quando improvvisamente, alla vigilia del ponte di Pasqua, il nostro sistema di pagamenti digitali, bancomat compresi, è collassato. Qualcuno ha sussurrato che poteva trattarsi di un attacco informatico, ma ben presto Nexi, che di fatto gestisce l’intera catena tecnologica dei servizi di pagamento, ha smentito l’ipotesi affermando come l’evento sia stato causato da un guasto tecnico di un suo fornitore. Pochi giorni prima Panasonic, invece, ammetteva di avere subito un’aggressione (poi rivendicata dall’ormai famigerato gruppo Conti che ha reso pubblici dei dati che avrebbe esfiltrato). Per il colosso giapponese si tratta della terza violazione che conferma in meno di diciotto mesi.
Cito questi due casi perché pur essendo completamente diversi confermano una realtà che molti non hanno ancora compreso, ma con cui dovremo imparare a convivere: le tecnologie dell’informazione sono molto potenti, ma altrettanto fragili. Più le diverse attività si digitalizzano e più cresce la complessità, già oggi ad un livello tale da rendere la gestione dei sistemi informatici un’impresa forse ben oltre le nostre capacità.
Nel caso di Nexi abbiamo scoperto che quell’infrastruttura rappresenta quello che tecnicamente si definisce un “single point of failure” perché senza di essa non abbiamo più accesso al nostro denaro. Panasonic, che di certo può permettersi di investire in sicurezza, per quanto probabilmente si affanni da mesi a chiudere “porte e finestre”, non riesce a impedire che i criminali entrino ed escano dai suoi sistemi bloccando periodicamente l’accesso ai dati. Il risultato è sempre lo stesso: le tecnologie dell’informazioni mostrano tali e tante debolezze che, per caso o per atto deliberato, si trasformano nell’ostacolo principale per gestirle. Come se non bastasse, i disastri sono non di rado determinati da fatti trascurabili, di quelli che si ripetono miliardi di volte al giorno: i click. Magari uno fatto per lanciare quello che sembra un aggiornamento di routine su qualche sistema, l’altro su un link apparentemente innocuo.
