Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

Pubblica amministrazione e open source

La sicurezza non deve diventare un pretesto per la invasività
ALCEI* - 30.01.03

La sicurezza dei sistemi informatici e telematici è un problema serio che merita un approfondimento meditato e concreto. Non giovano a soluzioni efficaci le notizie allarmistiche, i sensazionalismi e le informazioni sbagliate troppo spesso dilaganti sull'argomento - né le disattenzioni, purtroppo ancora diffuse, alle necessarie cautele.

In questo contesto disordinato giocano anche gli interessi privati di chi cerca di approfittare della situazione. Non è l'unico esempio, ma è particolarmente vistoso e pericoloso, il comportamento dell'impresa monopolista che controlla nove decimi del mercato mondiale del software. La bandiera del trustworthy computing, recentemente sventolata dalla Microsoft, non merita la fiducia che chiede. Senza ripetere qui cose note da molto tempo, la complessità e la "permeabilità" di molti sistemi (e in particolare di quelli della casa di Redmond) sono fra le cause più gravi dei diffusi problemi di sicurezza.

Mentre si fa poco o nulla per correggere quei difetti, la nuova proposta della Microsoft è afflitta da un vizio culturale ancora prima che tecnico. Quello di trasformare anche la gestione della sicurezza in un processo che priva l'utilizzatore (e, cosa più grave, l'amministratore di rete) del controllo sulla macchina e sulle applicazioni. Ciò che la Microsoft cerca di ottenere è una situazione in cui gli amministratori e gli utilizzatori perdono ogni ruolo o responsabilità e sono ridotti a semplici applicatori di patch - ed è la casa fornitrice l'unica a decidere quali "rattoppi" si debbano usare, propinandoli automaticamente in una continua serie di insidiosi service pack in cui può contrabbandare ogni sorta di complicazioni dettate dai suoi privati interessi.

Anche senza entrare nei dettagli tecnici, è evidente che il cosiddetto trustoworthy computing è più uno strumento per aumentare il potere di controllo del monopolio che una risorsa per migliorare la sicurezza. Se nel quadro di un sistema che aumenta le complessità (e di conseguenza i rischi) invece di semplificare si aggiungono ulteriori automatismi fuori dal controllo degli utilizzatori e degli amministratori di sistema la più probabile conseguenza è un peggioramento dei problemi di sicurezza rispetto alla situazione, già preoccupante, di oggi.

Un'altra notizia recente, che contribuisce a peggiorare il quadro, è l'offerta della Microsoft di rendere disponibile agli Stati (per esempio ai membri della Comunità Europea) il codice sorgente delle piattaforme Windows - nel quadro del suo govermnent secutity program. Questa apparente "apertura" nasconde trappole pericolose. Non solo si propone ai governi (come ai privati) di "affidarsi alla sicurezza Microsoft" (cioè di dare a un'impresa privata un'impensabile "delega" sui propri sistemi e controlli) ma gli stati che incautamente lo accettano sono costretti a sottoscrivere un contratto che, naturalmente, li imprigiona in una serie di obblighi nei confronti della Microsoft - fra l'altro con clausole inaccettabili che vietano di modificare i codici e di utilizzare il know how per sviluppare software proprio. Per non parlare delle invasività che già nella situazione attuale sono concesse alla Microsoft (e a tanti altri che approfittano della permeabilità dei suoi sistemi) e che in quella situazione potrebbero solo aggravarsi.

L'analisi delle trappole nascoste nella filosofia trustworthy computing e in contratti-capestro come quello del government secutity program può essere complessa e meriterà ulteriori approfondimenti. Ma i termini fondamentali della questione sono chiari. Ancora una volta (e con crescenti motivi di attenzione) è evidente che la responsabilità della sicurezza e della qualità dei sistemi non possono e non devono essere ciecamente "delegate" agli interessi privati di un'impresa commerciale. Né dai cittadini, né dalle imprese, né dagli amministratori di sistema - e tantomeno dagli Stati, dalla pubblica amministrazione e dai servizi (comunque amministrati o gestiti) di pubblica utilità. L'allarme sulla "schiavitù elettronica", che ALCEI aveva lanciato chiaramente nel 1998, si propone con ancor maggiore gravità nella situazione di oggi.

È più che mai necessario che i governi nazionali e l'Unione Europea affermino con la massima energia la loro capacità di gestire questi problemi senza assoggettarsi in alcun modo a condizionamenti estranei. E, nello stesso tempo, è necessario che le risorse e i metodi di sicurezza non siano "centralizzati" e occulti, ma sia diffusa la conoscenza, il più ampiamente possibile, fra gli utilizzatori e gestori di sistemi - e in generale fra i cittadini. Senza esagerazioni a falsi allarmi che spargono paure insensate - e invece con chiarezza, trasparenza e concretezza sui problemi reali e sui modi per risolverli.