Questa è la via
Se c’è una cosa che l’attacco ransomware alla Colonial Pipeline ci ha insegnato, è che finora non abbiamo imparato nulla. Almeno così sembrerebbe.
Se facciamo mente locale, il ransomware e in generale gli attacchi informatici supply-chain sono in auge e fanno danni da almeno una decina di anni. Se per gli attacchi che colpiscono i sistemi di produzione o di controllo il discorso è leggermente più complicato, per quelli ransomware la domanda da porsi è semplice: perché le aziende continuano a pagare dei criminali per far decriptare e sbloccare i propri dati, senza alcuna garanzia che gli stessi dati vengano sbloccati o non vengano diffusi in seguito, invece che implementare una volta per tutte una solida strategia di sicurezza e backup che renderebbe il rischio di danno praticamente nullo? Perché, insomma, non spendere un certo budget – considerevole ma comunque alla portata delle aziende – piuttosto che rischiare di dover spendere almeno dieci volte tanto senza alcuna garanzia di recupero delle funzionalità o di salvaguardia della reputazione?
Per capire come mai spesso ci si trova in questa situazione, torniamo indietro di più o meno trent’anni.
Ci sono le prime rivoluzioni in termini di sistemi informatici aziendali. Le piccole e medie imprese utilizzano gli stessi sistemi di quelle grandi. Non più (o almeno non solo) monolitici server con linguaggi e software inconcepibili ma strumenti di condivisione che (sempre per quei tempi) erano più intuitivi ed erano quasi uguali a quelli che si potevano avere in casa. Più o meno come adesso, si dirà. E invece no. Perché la vera differenza con i sistemi attuali era una differenza importante: erano lì per restarci. Questo sistema è ottimo, dicevano le case produttrici, starai sempre con noi e non avrai bisogno di nient’altro. Se tu crescerai, noi cresceremo con te, ti basterà comprare da noi tutto quello che ti servirà. È stato l’approccio sbagliato? Certo. Se ne rendevano conto? Certo che no, come avrebbero potuto?
I bisogni sono aumentati e sono anche cambiati. Sono diventati più complicati, hanno avuto bisogno di cose migliori, che non necessariamente possono essere create dalle stesse persone di prima. Cose più sicure, più veloci. Cose (non di rado) più belle. Allora dobbiamo vedere come far entrare questa cosa di adesso nella cosa che c’era prima. E dobbiamo vedere come farla funzionare bene. E se quella di prima deve scomparire, allora devo usare quest’altra cosa che deve entrare nella cosa che ho adesso. Una specie di ingranaggio che si autogenera e espelle i pezzi vecchi, ma che deve sempre poter girare.
E questa situazione non è mai facile da gestire e non è sempre possibile farlo semplicemente. Creare un sistema di sicurezza o in generale un sistema informativo efficiente e integrato in un’azienda non è una cosa che si può fare immediatamente per molte ragioni, alcune delle quali incomprensibili se non si è all’interno dell’azienda stessa. L’azienda ogni giorno accetta il rischio, che sia con poche o molte colpe, non possiamo sempre dirlo dagli eventi che vediamo dall’esterno. Questo non significa dover prendere alla leggera il rafforzare le proprie strutture, ma ci si deve rendere conto che questo che viviamo è ancora – malgrado ci piaccia credere il contrario – un periodo di transizione dai vecchi paradigmi informatici ai nuovi.
Trent’anni fa si ragionava ancora principalmente sulla realizzazione dell’obiettivo a tutti i costi. Si immaginavano le macchine volanti quindi si dovevano costruire le macchine volanti. Pensare a cose come rendere fruibile una cosa del genere con tutte le implicazioni che ne conseguivano sembrava quasi un esercizio inutile. Problemi come abbassare i costi di produzione di velivoli complessi, la distribuzione, costruzione delle infrastrutture e la eventuale creazione di un modello sociologico/comportamentale totalmente diverso, sembravano piccoli intoppi che si sarebbero potuti risolvere in pochi anni.
Solo molto tempo dopo si è imparato a pensare non solo al punto di partenza e al punto di arrivo, ma al tragitto migliore da percorrere, incastonando questi modelli di pensiero a volte in discussi standard, a volte in filosofie dettate dal semplice buonsenso e dalla minimizzazione del rischio. Guardare solo il traguardo, ora, è una cosa che non ci si può più permettere.
—
I link di questa settimana:
La mitologia potrebbe darci informazioni sui disastri ambientali avvenuti nel passato.
Un Tetris che vi darà sempre i pezzi sbagliati. Inutile provarci.
Fate un giro nella galleria dei più importanti NFT.
—
NRS è la newsletter di cultura e tecnologia di INUTILE » associazione culturale. A cura di Francesca Balestrieri, Carmine Bussone e Matteo Scandolin. Per conoscere meglio INUTILE e i suoi progetti, visita il nostro sito; se ti piace quello che facciamo, sostienici. Puoi contattare la redazione di NRS via Twitter o via mail.