Dì sì alla cyber immunità e no alla paura

5 Ago 2019

Sono stato per molti anni nell’industria della sicurezza informatica. Durante quel periodo, e insieme ad altri veterani della sicurezza informatica, ho sperimentato in prima persona l’ascesa della FUD hype (in inglese acronimo di paura, incertezza e dubbio). Devo ammetterlo, funzionò. La scienza del neuromarketing ci aveva azzeccato. La paura aiutò molto nella vendita di prodotti per la sicurezza informatica. Tuttavia, come ogni farmaco potente, il FUD aveva un effetto collaterale. In realtà non solo uno, ma tanti.

Noi come industria non possiamo scappare dal FUD, perché ne siamo dipendenti. Secondo noi, il FUD si manifesta in alcuni dei nostri clienti che chiedono la prova che quello che gli stiamo dicendo non è solo un’altra potenziale violazione, ma un vero e proprio pericolo. Sfortunatamente, la migliore prova che il pericolo è reale arriva quando succede qualcosa di brutto, ed è per questo che anche i media ne sono diventati dipendenti. Quanti più milioni di dollari, euro o qualsiasi altra moneta perde qualcuno, più interessante è la storia.

Ed è qui che entrano in gioco i regolatori, con la loro tendenza a reagire in modo sproporzionato e a imporre severi regolamenti di conformità e multe. In realtà questo mette i ricercatori di sicurezza, gli ideatori dei prodotti, i venditori, i media e i regolatori in una sorta di trappola strategica. Nella teoria dei giochi questa trappola è chiamata il dilemma del prigioniero: una situazione in cui tutti i giocatori devono usare strategie subottimali, perché agire diversamente significa perdere. Nel caso dell’industria della sicurezza informatica, usare questa strategia subottimale significa generare ancora più FUD.

Per uscire da questa trappola, dobbiamo capire una cosa: Non si può costruire un futuro basato sulla paura.

Il futuro di cui sto parlando non è così lontano, è quasi arrivato. I robot guidano già camion e vagano su Marte, scrivono musica e creano nuove ricette culinarie. Questo futuro è lungi dall’essere perfetto sotto molti punti di vista, incluso quello della sicurezza informatica, ma siamo qui per migliorarlo, non per ostacolarlo.

Eugene Kaspersky ha affermato recentemente di credere che: “il concetto di cybersecurity diventerà presto obsoleto, e verrà rimpiazzato dalla cyber immunità.” Ciò potrebbe suonare bizzarro, ma ha un significato molto più profondo che vale la pena spiegare. Lasciate che mi immerga un po’ più in profondità nel concetto di cyber immunità.


Cyber immunità è un ottimo termine per spiegare la nostra visione di un futuro più sicuro. Nella vita reale, il sistema immunitario di un organismo non è mai perfetto, e virus o altri oggetti microbiologici maligni riescono ancora a trovare il modo di ingannarlo, o addirittura di attaccare il sistema immunitario stesso. Tuttavia, i sistemi immunitari hanno un importante caratteristica in comune: imparano e si adattano. Possono essere educati ai possibili pericoli mediante i vaccini, e in momenti di difficoltà possiamo assisterli con anticorpi già pronti.

Nella sicurezza informatica, abbiamo a che fare più che altro con questi ultimi. Quando i sistemi informatici dei nostri clienti subiscono una infezione, dobbiamo avere subito la soluzione pronta. È proprio qui che inizia la dipendenza, con i venditori di sicurezza informatica che forniscono pronto soccorso a malattie che fanno molto male. La sensazione di avere i “super poteri” ha causato dipendenza ai venditori di sicurezza informatica. Pensavamo: “Si, è ora di prendere forti antibiotici, perché fidatevi, il problema è davvero grave.” Ma usare antibiotici ha senso solo quando l’infezione si è già manifestata, e siamo tutti d’accordo che ciò è lontano da uno scenario ideale. Nella nostra metafora di cybersecurity, sarebbe stato meglio se il sistema immunitario avesse fermato quella infezione prima che prendesse il sopravvento.

Oggi i sistemi informatici sono diventati molto eterogenei e non possono essere visti al di fuori del contesto degli esseri umani, quelli che li mettono in funzione e quelli che interagiscono con i dispositivi. La richiesta di “educare il sistema immunitario” è diventata così grande che in realtà stiamo notando una tendenza a dare la priorità alla fornitura di servizi o persino i prodotti, che prima erano fondamentali. (Il “prodotto” oggi è in molti casi una soluzione personalizzata, che si adattata alle caratteristiche del sistema informatico e che è progettato per adattarsi a esso.)

Non ci siamo arrivati subito a questa prospettiva; E proprio come con la vaccinazione non si tratta di un approccio unico, ma piuttosto, una serie di tentativi di vaccinazione tutti volti allo stesso obiettivo: una maggiore cyber immunità per un futuro più sicuro.

In primo luogo, e soprattutto, un futuro più sicuro può essere costruito solo su una base sicura. Riteniamo che ciò sia possibile quando tutti i sistemi sono progettati fin dall’inizio tenendo conto della sicurezza. Le Industrie di telecomunicazione e automobilistiche stanno già sperimentando il nostro approccio visionario. Le case automobilistiche sono particolarmente interessate alla sicurezza, e la nostra missione di “costruire un mondo più sicuro” è fondamentale. Nel mondo automobilistico, sicurezza significa davvero sicurezza.

Come per la vaccinazione biologica, ci aspettiamo che il concetto di immunità informatica venga accolto con scetticismo. La prima domanda che mi aspetto di sentire è: “possiamo davvero fidarci del vaccino e di chi lo vende?” La fiducia nella sicurezza informatica è di fondamentale importanza, e crediamo che dare solamente la nostra parola non sia sufficiente. Se i clienti di un’azienda di sicurezza informatica vogliono vedere la sicurezza e l’integrità del software, hanno tutto il diritto di richiederlo, sotto forma di codice sorgente. Lo mettiamo a disposizione, e tutto ciò di cui i clienti hanno bisogno sono un paio di occhi aperti e un PC per analizzare come funzionano le cose. È necessario un PC in condizioni ottimali per visualizzare il codice, e anche per far sì che chi lo guarda non possa manometterlo. E proprio come si può chiedere un consulto da vari medici, avere una terza parte di fiducia che visualizzi il codice ha altrettanto senso. Con le soluzioni IT, quell’osservatore esterno potrebbe essere il rappresentante di una dei nostri Big Four, che può spiegarvi cosa significano davvero quei bit e byte per i vostri affari.

Un altro componente importante è la capacità del sistema immunitario di resistere agli attacchi. Un software di sicurezza informatica rimane sempre un software, e può presentare degli errori. Il modo migliore per imparare dagli errori è quello di esporli agli hacker “white-hat” cioè gli hacker etici, coloro che trovano gli errori e fanno rapporto ai venditori. L’idea di offrire un premio per trovare bug nei software, presentata per la prima volta nel 1983, fu assolutamente una brillante idea, perché ha ridotto esponenzialmente gli incentivi finanziari agli hacker black-hat (i quali esaminano gli errori trovati o li vendono ad altri cybercriminali.) Tuttavia, i white hat richiedono garanzie che la società su cui indagano non li tradirà e non li perseguirà.

Dove c’è domanda, c’è offerta, così di recente abbiamo visto suggerimenti per accordi tra ricercatori e aziende in modo che i primi possano decifrare questi ultimi in modo sicuro senza paura di essere accusati di nessun crimine, a condizione che ci si attenga alle regole. Credo che andare verso questa direzione sia un passo verso un futuro più sicuro e con meno paura del passato, ma questo viaggio richiederà del tempo.