"I brasiliani hanno buttato giù Punto informatico". Con una telefonata mi arriva la notizia che è stato colpito proprio il quotidiano telematico che ha dato le informazioni più tempestive e corrette sulle intrusioni dei misteriosi hacker sudamericani che hanno "bucato" diversi siti pubblici italiani.
Adesso tocca a noi, penso subito, e mi attacco al telefono per chiamare DS-Net, il provider che ospita InterLex: "Attacchi dal Brasile?" chiedo al responsabile dei sistemi Windows NT. La risposta è sconcertante: "Con tanti attacchi che arrivano, se non ho qualche indicazione più precisa non posso saperlo". Le indicazioni arrivano subito da Punto informatico, ma non occorre neanche andare a vedere i LOG: quel "buco" è stato chiuso da tempo, nessun problema.

"Con tanti attacchi che arrivano": su questa frase è necessaria una riflessione molto attenta. Perché la realtà è questa: qualsiasi sistema on line di una certa consistenza è costantemente sotto la pressione, 24 ore su 24, di una quantità di hacker o semplici "smanettoni" che cercano di violare le protezioni e introdursi abusivamente. Se consideriamo la ben nota vulnerabilità di certi software e il numero relativamente basso di azioni pericolose o devastanti delle quali si ha notizia, concludiamo che probabilmente non ci sono in giro tanti pirati molto abili, o che la maggior parte dei system administrator  e dei  security  manager non sono così incapaci o distratti come a volte si pensa.

Ma questo non attenua la gravità del problema. Basta una sola patch non installata tempestivamente e un cracker abbastanza abile per provocare catastrofi. Si deve ricordare che la tecnica usata dai "brasiliani" per far comparire i loro messaggi su alcune home page consente di fare qualsiasi cosa nel sistema violato, dal furto di informazioni alla loro distruzione. E possono essere informazioni estremamente critiche, come i (soliti) numeri di carte di credito o dati personali sensibili da vendere al miglior offerente, segreti industriali o semplici informazioni indispensabili per il corretto funzionamento di una qualsiasi procedura.
Non ci si illuda che "tanto, hanno solo lasciato un messaggio". Il rischio è altissimo.

Dopo una sola settimana dall'attacco dei brasiliani, le cronache tornano sul tema, ma ora tocca ai cellulari. La stampa dà la notizia (confusa e imprecisa, come al solito) del nuovo worm che spedisce SMS a raffica, sfruttando ancora una volta l'insicurezza intrinseca dei programmi di posta elettronica imposti da Microsoft alla quasi totalità degli utenti di personal computer. Forse dovremo abituarci a convivere con l'incubo degli intrusori informatici sempre in agguato, oggi sul PC o sul telefonino, domani sul frigorifero o sulla lavatrice "intelligenti" e on line.
In una certa misura sarà inevitabile la rassegnazione, come oggi non ci sorprende troppo il fatto che ci abbiano rubato la macchina o sfilato il portafoglio dalla tasca. Ma l'insicurezza informatica non è solo un rischio per i singoli individui, è una spada di Damocle che incombe sulla società.

Un attacco distruttivo ben riuscito su un sistema pubblico può mettere in ginocchio una collettività anche molto grande. Per rendersi conto della gravità del rischio basta riflettere sul fatto che ormai quasi tutti i servizi pubblici sono governati da sistemi informatici in rete, dalla sanità alla distribuzione dell'energia, dalla "macchina" elettorale al controllo del traffico stradale e ferroviario. E soprattutto il sistema più delicato di tutti, quello delle telecomunicazioni, perché dalla sua efficienza deriva l'efficienza degli altri. Questi sistemi sono abbastanza sicuri?

Naturalmente è molto difficile dare una risposta. Il fatto che fino a oggi non si siano verificati eventi catastrofici, nonostante l'esistenza di una quantità di persone che passa il tempo cercando di "bucare" tutti i server che gli capitano a tiro, porterebbe a concludere che la situazione non è poi così drammatica. Ma la facilità con la quale in Italia sono stati "buttati giù" proprio i siti degli enti preposti alle telecomunicazioni, il Ministero e l'Autorità per le garanzie, non dovrebbe farci dormire sonni tranquilli. Se proprio nei sistemi di questi enti non si prende l'elementare precauzione di installare le "pezze" a difesa delle falle più conosciute, quale può essere il livello di protezione degli altri sistemi informativi pubblici, soprattutto in assenza di un insieme adeguato di misure obbligatorie?

La sicurezza dei sistemi informativi, prima che un fatto tecnico, è un fatto "culturale", e nello stesso tempo ha evidenti riflessi legali.
Perché "culturale"? Perché coinvolge la "visione del mondo" di chi ha, a qualsiasi titolo e a qualsiasi livello, la responsabilità di un sistema informatico, o di una sua parte. Facciamo un semplice esempio, al livello più elementare: la gestione delle password di utente in una rete. Se il problema più importante di chi usa regolarmente un PC in rete è ricordare la password, e quindi la lascia scritta in un posto di immediata accessibilità, costui non ha la "cultura" della rete. Non si pone il problema che qualcuno possa voler alterare certi dati essenziali, accessibili da quella postazione, e che la facile disponibilità della password costituisca nei fatti un attentato alla sicurezza delle informazioni contenute nel sistema.

A un livello più alto, per esempio quello del direttore generale di una grande azienda, l'assenza di una cultura della sicurezza si rivela nella mancata nomina di un responsabile della protezione, confidando nella bravura del capo dei sistemi informativi. Quel direttore non sa che in molti casi le principali preoccupazioni del system administrator sono la rapidità e la semplicità delle procedure, che spesso si rivelano in contrasto con le esigenze della sicurezza. Quindi non solo è necessaria la presenza di un esperto che abbia la sicurezza come obiettivo fondamentale del suo lavoro, ma anche che non sia alle dipendenze di un soggetto i cui interessi possono essere, in una certa misura, in contrasto con il suo compito. In altri termini, il responsabile della sicurezza deve riferire direttamente ai vertici dell'azienda o dell'ente, pur lavorando a stretto contatto del responsabile dei sistemi.

Bastano questi due esempi per capire come il problema della protezione dei sistemi in rete debba in qualche modo essere "istituzionalizzato". Per questo potrebbero essere utili alcune previsioni legislative, che impongano l'adozione misure di sicurezza almeno nelle reti del settore pubblico. Misure che devono essere "adeguate", non "minime", come nel caso della protezione dei dati personali.
In linea di principio, le previsioni del primo comma dell'articolo 15 della legge 675/96 sono corrette. E' necessario estendere il concetto a qualsiasi sistema informatico di pubblico interesse, e anche prevedere obblighi precisi per il settore privato, con proporzionate sanzioni penali per chi non adotta le precauzioni più comuni per la protezione dei sistemi: l'installazione e l'aggiornamento continuo degli antivirus, la gestione sicura delle password, la cifratura dei dati sensibili, la copia di back up dei dati importanti e soprattutto l'installazione delle protezioni fornite dai produttori del software contro gli accessi abusivi. E nei casi più critici, la predisposizione di sistemi e procedure per il disaster recovery.

Qui si apre un altro capitolo delicato: la responsabilità delle case produttrici dei programmi, che troppo spesso offrono prodotti la cui sicurezza è sotto il limite della decenza: pensiamo, appunto, a Microsoft Outlook o alle versioni originarie di Windows NT. Riflettiamo ancora una volta su un aspetto che abbiamo già trattato su queste pagine: la responsabilità dei danni provocati da un virus ricade su chi ha scritto il codice dannoso, ma anche su chi l'ha diffuso "inconsapevolmente" e su chi ha fornito i programmi che ne hanno favorito la diffusione.

In ultima analisi, è necessario rivedere le norme aggiunte al codice penale dalla legge 547/93, prevedendo anche la responsabilità per colpa, sia per quanto riguarda la diffusione di virus e affini, sia per l'inadeguatezza delle protezioni contro gli accessi abusivi.
Forse solo in questo modo si potrà contribuire alla diffusione di quella cultura della sicurezza che è sempre più necessaria per la vita delle organizzazioni e degli individui nel "mondo interconnesso".