Quali sono i problemi che Microsoft vede ogni giorno nelle aziende e negli enti in cui va a fare consulenza?
"La classifica è lunga" – risponde Mauceli – "ma diciamo che sei passi possono bastare a coprire la maggioranza dei casi:"
- L'obsolescenza dei sistemi è sconfortante. Ci sono servizi critici che girano su macchine e sistemi di 10/15 anni fa, quando la sicurezza era una cosa molto diversa da quella che è oggi.
- Non viene fatta manutenzione sui sistemi esistenti: le patch non vengono applicate e questo lascia aperti i sistemi a falle che risalgono a lustri fa.
- Le credenziali non vengono protette in maniera adeguata. I motivi sono tantissimi, ma il problema principale è che se le password di amministrazione o degli utenti escono dalla rete, è ovvio che prima o poi qualcuno entri.
- Sono pochissimi i casi in cui si definiscono dei ruoli sulle macchine: se non devi installare del software, perché il tuo utente dovrebbe essere di tipo amministrativo?
- Non c'è abbastanza competenza nelle aziende per configurare in maniera appropriata tanto gli application quanto i gli authentication server.
- Non ci si fida della cloud, quando invece è un alleato potentissimo e a costo ragionevole.
Secondo Mauceli, piccole e medie imprese nonché pubblica amministrazione sono i bersagli tipici di queste casistiche. Cosa bisognerebbe fare, quindi, per smuovere un po' le acque? Cosa si deve fare in Italia per uscire da questa situazione di immobilismo?
"C'è da fare tanto, ma intanto notiamo che le cose stanno cambiando. Già il fatto che nell'ultima finanziaria si sia parlato di destinare 150 milioni di euro allo sviluppo della cybersecurity è un dato importantissimo che può servire a gettare le basi".
L'istituzione di un organismo centrale che coordini gli sforzi in materia di sicurezza informatica sarebbe assolutamente il benvenuto e potrebbe organizzare una serie di attività tese a migliorare la situazione.
Innanzitutto, serve molta formazione, ma soprattutto dal punto di vista del business. Bisogna far capire alle aziende e agli enti che la sicurezza non è più una spesa a parte, ma una voce integrante dell'infrastruttura. Servono corsi e operazioni mirate al contatto con chi decide come devono funzionare i computer.
Poi servono anche più sforzi da parte di scuole e università nel formare tecnici specializzati in sicurezza. Gli attuali corsi di laurea soffrono un po' della stessa sindrome delle aziende: la sicurezza non è integrata in tutti gli aspetti che si insegnano, ma gestita come un capitolo a parte.
Dopo averli formati, bisogna anche certificare questi tecnici in modo che possano proporre soluzioni di qualità al mercato, per garantire standard elevati sia nella Pubblica Amministrazione, dove la sicurezza del dato del cittadino dovrebbe essere un dovere morale, sia nel privato dove in caso di intrusione si ha un danno economico notevole.
"Un buon punto di partenza" – conclude Mauceli – "sarebbe quello di iniziare una serie di collaborazioni tra pubblico e privato in modo da portare la competenza delle aziende che conoscono bene questo settore in un ambito che ha problematiche complesse che non possono essere analizzate solo da aziende esterne o solo da personale interno".
Se la NSA ha deciso di collaborare con Microsoft per garantire la sicurezza di alcuni sistemi destinati alla sicurezza nazionale, non si capisce perché non si possano stipulare degli accordi per cose di livello meno impegnativo.
Ma c'è un'ultima cosa su cui Mauceli ci fa riflettere:
"Mettere in piedi tutte le linee guida del mondo è poi inutile se le leggi non si fanno rispettare. Ho detto poco fa che i problemi più grandi derivano da obsolescenza e mancanza di manutenzione, ma miamo un'occhiata a quanto dice la legislazione sul trattamento dei dati. È già stato scritto e ben dettagliato che i sistemi che trattano i dati personali dovrebbero essere aggiornati e revisionati ogni sei mesi, ma cosa succede invece? Che andiamo negli enti e troviamo macchine con 150 patch arretrate. Così non si va da nessuna parte."