Per gentile concessione dell'editore anticipiamo l'articolo che sarà pubblicato sul numero di febbraio di ICT Security

Lo scorso 27 novembre, a Roma, Microsoft Italia ha organizzato un convegno dal tenore molto istituzionale al quale hanno partecipato eminenti personalità politiche (il Ministro Gasparri, l'ambasciatore americano a Roma) e aziendali (su tutti, Umberto Paolucci di Microsoft). Al di là delle pur pregevoli presentazioni (menzione particolare per quella, molto interessante, sul servizio di abuse desk presentata da Albacom), i due "argomenti caldi" dell'evento sono stati la presentazione in anteprima dei risultati della ricerca condotta dal Forum delle tecnologie dell'informazione insieme all'Università Bocconi di Milano e l'esposizione dei "nuovi" e discutibili principi della "sicurezza secondo Microsoft" (tema poi ripreso dallo stesso Paolucci nell'ambito del successivo convegno organizzato dal Garante per i dati personali il 5 dicembre 2002 - vedi Che bello essere un consumatore anonimo! di Manlio Cammarata).

Dal survey della Bocconi emergerebbe (il condizionale, come si vedrà, è d'obbligo) una certa preoccupazione sullo stato della sicurezza informatica nelle aziende e nella pubblica amministrazione italiana. Che però sarebbe sostanzialmente il linea con quella d'oltreoceano, come si evincerebbe dalla comparazione dei risultati con fonti statunitensi.
Dal canto suo Paolucci ha ampiamente discettato sugli obiettivi che si è posta l'azienda dalla quale dipende: raggiungere lo stesso livello di affidabilità del telefono o dell'elettricità tramite strategie di profondo "ripensamento" dei contenuti tecnologici e manageriali delle linee di prodotto targate Redmond. Ma soprattutto attuare un modello di sicurezza basato sulla trustworthyness cioè non su un valore tecnologico ma su una precisa (?) assunzione di responsabilità da parte di chi rilascia applicazioni e sistemi. Che si fa carico, senza che l'utente deva preoccuparsene, di garantire un ambiente (informatico) sicuro.

Al di là delle "dichiarazioni di principio", tuttavia, entrambe le presentazioni hanno suscitato forti perplessità.
In primo luogo, rispetto alla concreta utilità dei risultati delle analisi di SPACE-Bocconi. Per esplicita affermazione del relatore, infatti, i dati presentati non possono essere considerati un "campione" in senso tecnico essendo piuttosto un insieme "qualitativo" (che quindi - deduce questo redattore - è privo di attendibilità statistica). Ma in chiusura di relazione gli stessi dati sono stati "assolutizzati" e confrontati con altre e fonti di statunitensi (sulle quali, a loro volta, non è stato fornito alcun pedigree). E' evidente che il ragionamento non tiene.
Poco male se la cosa fosse rimasta confinata nell'ambito del convegno, ma - ed era immaginabile - le analisi in questione hanno avuto ampio spazio anche sull'informazione generalista online e cartacea. Che senza andare troppo per il sottile le ha eleveate alla dignità di "fonte" accreditata (vedi "Italia, cresce l'allarme sulla pirateria informatica" su Repubblica.it  27 novembre 2002 e C.Ferrara "Le imprese investono in sicurezza, la PA è fanalino di coda" su Italiaoggi.it del 9 dicembre 2002).

Non è impensabile, a questo punto, che il survey milanese venga utilizzato per costruire presentazioni, articoli, saggi, libri, strategie di marketing per la security e forse addirittura anche leggi. Peccato che tutto questo poggi su presupposti a dir poco claudicanti. Ma che oramai all'esterno vengono percepiti come al di sopra di ogni valutazione perché - come volevano gli Scolastici - Ipse dixit, Egli lo ha detto.
Ed è proprio questo il punto. Da tempo le scelte aziendali e politche sono orientate non da una conoscenza diretta dei fatti ma dalla trustworthyness di terze parti. Il che - in generale - non è censurabile nè indesiderabile. Ma quando l'autorevolezza è svincolata dalla verificabilità delle informazioni fornite o quando i dati vengono diffusi senza vaglio critico, beh, allora le cose sono molto diverse (vedi l'intervento di Roberto Di Nunzio al seminario "Esigenza di sicurezza e tutela delle libertà individuali" organizzato nell'aula parlamentare di Palazzo Marini dalla rivista "Quaderni Radicali" il 4 e 5 dicembre 2002). E quello che dovrebbe essere un punto di forza si trasforma in una clamorosa vulnerabilità. Sarebbe come proteggere il fronte di levante (perché lì "fonti qualificate" dicono che verrà sferrato l'attacco) per accorgersi - quando oramai sarà troppo tardi - che il nemico arriva da ponente.

Fuor di metafora: fonte autorevole non significa automaticamente dati attendibili. Perché l'unica garanzia per l'attendibilità dei dati deriva dalla trasparenza dei criteri utilizzati per produrli e quindi dalla possibilità di verificarli. Ed è per questo che, specie in un settore critico quale è la sicurezza informatica, la scelta di "delegare" sia ad alto livello come a quello operativo è estremamente delicata e non può essere fondata su informazioni parziali, incomplete o fuori controllo.

Questo è il motivo per cui non mi convince il sistema basato sul trustworthy computing, il non condivisibile modello Microsoft per la sicurezza. E' per certi versi comprensibile che, dal punto di vista dell'utente, in certi ambiti particolarmente tecnici, la sicurezza dovrebbe esistere senza essere percepita (anche se in uno strumento interattivo come un computer la passività totale non è mai una scelta accettabile). Ma lo stesso criterio non può e non deve valere per produttori di software e apparati o amministratori di infrastrutture di rete. Che, al contrario, dovrebbero dare (i primi) e poter avere (i secondi) sempre il massimo del controllo su ciò che si utilizza e su quello che succede. Invece di essere trasformati da soggetti attivamente coinvolti nello sviluppo di regole e strumenti per la sicurezza in semplici "produttori" e "applicatori di patch".

In altri termini: è vero che salendo su un aereo (quasi) nessuno si preoccupa di quello che avviene nel cockpit. Ma questo non significa che comandante e "secondo" si limitino a manovrare la cloche e a premere qualche pulsante senza alcuna (o scarsa) cognizione di causa.
Personalmente, non volerei con una compagnia che addestra in questo modo i propri piloti.