Venerdì nero della tecnologia

Problema tecnico o sistema fragile?

Continueremo nelle prossime settimane a interrogarci sul venerdì nero della tecnologia, permarranno dubbi e perplessità. Eravamo increduli e impotenti qualche giorno fa, restiamo perplessi e diffidenti. Ci hanno spiegato o almeno hanno provato a convincerci che non è stato un attacco informatico, non c’è un attore malevolo come nei casi degli attacchi cyber, bensì un aggiornamento di Falcon di CrowdStrike, che sembrerebbe avere comunque minimizzato i data breaches, un problema tecnico. Dov’è finito però il testing degli aggiornamenti su un pool ristretto di entità, prima del rilascio? 

Abbiamo allora più chiaramente compreso che l’oligopolio dei giganti delle forniture cyber e IT rende troppe infrastrutture critiche (pubbliche e private) dipendenti dalla qualità di updates e patches rilasciate da uno o due attori sul mercato. La catena di fornitura creata da Microsoft nel corso dei decenni fa sì che da essa dipendano non solo aziende, ma Stati; Russia e Cina tuttavia indenni.

Il sistema dunque può essere fragile. Si è trattato, dicono gli esperti, della più grave debacle della storia dell’informatica: il blue screen of death è apparso su migliaia di pc.

Quali le conseguenze legali? Saranno – i prossimi – giorni e mesi di istanze e di interrogazioni parlamentari in tutti i Paesi interessati da un’interruzione delle infrastrutture critiche. Ancora qualche settimana, dicono sempre gli esperti, per ripristinare tutto mentre ci spiegano come fare.

Le agende digitali dei Paesi occidentali tendono sempre di più, per fortuna, ad ammodernare le forniture dei servizi ai cittadini. Ma lo fanno affidandosi sempre alle stesse enormi software houses private, da cui diventano dipendenti, deresponsabilizzandosi.

Infrastruttura cloud o on premise?

L’evento globale riapre scenari e genera domande. L’infrastruttura informatica deve essere interna alle aziende oppure in cloud? Come sempre vantaggi e svantaggi, rischi e opportunità. L’evoluzione digitale, l’AI, richiedono potenza di calcolo e le infrastrutture in cloud potenziano la difesa, sono flessibili, razionalizzano i costi, alleggeriscono l’operatività delle strutture interne: software-as-a-service è il modello. Possiamo tornare indietro e affrontare il problema internalizzando, con infrastrutture on premise? L’interconnessione di sistemi, piattaforme, ciò che ci circonda, che usiamo ogni giorno è completamente digitalizzato anche se i sistemi sono eterogenei.

Forse allora è il momento di riparlare di competenze essenziali per costruire la resilienza e mantenere all’interno delle organizzazioni il controllo e la gestione. L’UE ha avviato un percorso orientato a evidenziare l’importanza della resilienza: il Regolamento DORA e la Direttiva NIS 2 sono in tal senso le linee guida da seguire. Si tratta di obblighi, regole di governance e organizzazione, responsabilità, funzioni di controllo, riduzione al minimo dell’impatto dei rischi informatici applicando strategie, politiche, procedure, protocolli e strumenti in materia di ICT adeguati. Servono dunque competenze interne alle organizzazioni, scelte strategiche interne ed esterne, governo dei processi, una security governance tecnologica e digitale che non trascuri la supply chain e possa scegliere tra deployment cloud o hybrid cloud consapevolmente: tornare indietro non si può. Governare i rischi mantenendo il controllo delle infrastrutture tecnologiche è l’unica strada percorribile.

Giuseppe Calabrese, CEO Secursat