Ancora una volta una riflessione che parte dall’incidente di OVH: sono andato a cercare i video con le dichiarazioni di Octave Klaba, fondatore di OVH, in cui, pochi giorni dopo l’ormai famoso incendio, dice:
It seems that globally, the customers … understand what we are delivering, but some customers, they don’t understand what exactly they bought
Considerando la dichiarazione nel suo contesto (qui in parte sintetizzato e spiegato) è chiaro il riferimento al fiume di critiche verso OVH in relazione al non disporre di un piano di Disaster Recovery. In realtà, come è ovvio che sia, è onere dei clienti sottoscrivere servizi di Disaster Recovery e dotarsi di una procedura di attuazione del piano. La frase azzeccatissima di Klaba sulla “non comprensione di cosa esattamente hanno acquistato” può sembrare un po’ cruda ma è tremendamente vera.
La vicenda aiuta a portare alla luce un dato preoccupante: molte organizzazioni ed aziende, anche non piccole come abbiamo visto, stanno affrontando l’era dell’informazione senza una strategia che sia in grado di tutelare il loro business. L’esigenza di una strategia di Disaster Recovery, l’esigenza di un piano per la gestione della sicurezza cibernetica o per la tutela delle informazioni strategiche, è qualcosa che ci si aspetta dal management. I team operativi si possono poi occupare di come implementare queste strategie. Conviene uscire dal modello in cui tutto ciò che è digitale è a carico dell’IT, non è più vero da anni e le conseguenze di queste antiche credenze oggi finiscono sui giornali.
Passo dalla ramanzina ad un tema virtuoso: il crescente interesse da parte dei produttori tecnologia IoT nel rendere i propri device sicuri. L’argomento mi sta particolarmente a cuore occupandomi principalmente di sicurezza informatica e mi ha fatto molto piacere osservare che alcune realtà si stanno concretamente muovendo per approcciare un percorso che le aiuti a produrre device safe and secure.
Il problema ha radici profonde: la pervasività di questi device è un fatto relativamente recete ed i loro utilizzatori non necessariamente hanno maturato una consapevolezza in relazione al livello di sicurezza di oggetti come gli smart device per uso domestico o i sistemi di automazione industriale con i loro sensori, rilevatori ed attuatori.
Ad un certo punto abbiamo semplicemente iniziato ad introdurre nelle nostre vite e nelle nostre aziende oggetti in gradi di dialogare tra loro attraverso reti locali ed attraverso la rete internet. Chi ha progettato le prime generazioni di questi meravigliosi device non era sempre al corrente del contesto e delle minacce che possono essere veicolate attraverso la rete ed ha di fatto prodotti oggetti safe ma non secure.
L’epilogo è noto: il mondo del crimine organizzato ha iniziato ad utilizzare lo strumento degli attacchi informatici per mettere in scacco aziende ed organizzazioni.
Diventa quindi necessario portare la cultura della sicurezza informatica in un mondo che non parlava questa lingua… con l’aggravante che anche chi dovrebbe parlarla ancora oggi fatica a tenere il passo nei confronti delle sempre molto aggiornate tecniche e tattiche di attacco.
Qualche spunto di riflessione nel podcast di domani (29 marzo).
Rocco Sicilia 