Quanto è difficile fare cybersecurity

Questa settimana sono stato in dubbio tra due notizie che mi hanno colpito e alla fine parlo di entrambe. Partiamo da quella “piccola”. Lo scorso 3 novembre il cittadino rumeno Denis Marian Ionita è stato condannato a sei mesi di carcere per frode informatica. La sua colpa è stata quella di avere compromesso nel 2015 una slot machine e vincere indebitamente 420 euro. L’imputato è stato incastrato dai i video delle telecamere di sorveglianza che lo mostrano armeggiare vicino al dispositivo e poi fuggire. Fino a questo punto nulla di stravagante, se non fosse che le perizie effettuate sulla slot machine non sono riuscite a chiarire come ci sia tecnicamente riuscito. Dal punto di vista della sicurezza, questo è un problema non trascurabile perché significa che quel dispositivo è vulnerabile, ma senza sapere come è stato compromesso non sarà possibile evitare che si ripeta. Veniamo alla seconda e più “grande” notizia.

A fine ottobre la SEC, l’organismo di vigilanza sulle borse statunitensi, ha accusato SolarWinds e il suo responsabile della sicurezza informatica, Timothy G. Brown, di frode ai danni degli investitori ed errori di controllo interno relativi a rischi e vulnerabilità dei suoi sistemi tecnologici. SolarWinds era ascesa agli onori delle cronache nel dicembre 2020 per essere stata l’obiettivo di un massiccio attacco informatico durato quasi due anni, ricordato come “SUNBURST”. Secondo la ricostruzione della SEC, l’operatore che, attraverso la piattaforma Orion, offriva servizi in cloud per il monitoraggio delle reti, pubblicamente sosteneva di essere assolutamente sicuro, mentre internamente tutti erano consapevoli di gravi problemi. Nei documenti interni dell’azienda si legge tra l’altro che la configurazione di accesso remoto della piattaforma era " non molto sicura” ed erano presenti vulnerabilità tali che, se qualcuno le avesse sfruttate, avrebbe potuto “praticamente fare qualsiasi cosa senza venir scoperto fino a quando non sarà troppo tardi”, il che potrebbe portare a “grave perdita di reputazione e finanziaria” per SolarWinds.

Lo stesso Brown in almeno due occasioni, nel 2018 e 2019, avrebbe affermato che "l'attuale stato di sicurezza mostra uno stato di grave vulnerabilità delle nostre risorse critiche" e che "l’accesso sistemi critici e la gestione dei relativi privilegi non sono appropriati". Ecco un secondo grave problema per chi si occupa di sicurezza: non poter fidarsi di nessuno. Nel settore oggi va per la maggiore l’approccio definito “zero trust” (appunto “nessuna fiducia”). Facile a dirsi, ma difficile a farsi, perché la necessità che sia tutto connesso e lo spostamento verso il cloud computing di milioni di organizzazioni remano decisamente contro questo approccio. Se poi quelli che dovrebbero essere i “buoni” mentono, allora potrebbe essere un’impresa impossibile. Due storie che ci dicono quanto sia difficile il mestiere della cyber security.