|
|
 |
|
Pubblica amministrazione e open source
|
|
La sicurezza non deve diventare un
pretesto per la invasività
ALCEI* - 30.01.03
La sicurezza dei sistemi informatici e telematici è un problema serio che
merita un approfondimento meditato e concreto. Non giovano a soluzioni efficaci
le notizie allarmistiche, i sensazionalismi e le informazioni sbagliate troppo
spesso dilaganti sull'argomento - né le disattenzioni, purtroppo ancora
diffuse, alle necessarie cautele.
In questo contesto disordinato giocano anche gli interessi privati di chi cerca
di approfittare della situazione. Non è l'unico esempio, ma è
particolarmente vistoso e pericoloso, il comportamento dell'impresa
monopolista che controlla nove decimi del mercato mondiale del software. La
bandiera del trustworthy computing, recentemente sventolata dalla
Microsoft, non merita la fiducia che chiede. Senza ripetere qui cose note da
molto tempo, la complessità e la "permeabilità" di molti sistemi (e in
particolare di quelli della casa di Redmond) sono fra le cause più gravi dei
diffusi problemi di sicurezza.
Mentre si fa poco o nulla per correggere quei difetti, la nuova proposta della
Microsoft è afflitta da un vizio culturale ancora prima che tecnico. Quello di
trasformare anche la gestione della sicurezza in un processo che priva l'utilizzatore
(e, cosa più grave, l'amministratore di rete) del controllo sulla macchina e
sulle applicazioni. Ciò che la Microsoft cerca di ottenere è una situazione in
cui gli amministratori e gli utilizzatori perdono ogni ruolo o responsabilità e
sono ridotti a semplici applicatori di patch - ed è la casa fornitrice
l'unica a decidere quali "rattoppi" si debbano usare, propinandoli
automaticamente in una continua serie di insidiosi service pack in cui
può contrabbandare ogni sorta di complicazioni dettate dai suoi privati
interessi.
Anche senza entrare nei dettagli tecnici, è evidente che il cosiddetto trustoworthy
computing è più uno strumento per aumentare il potere di controllo del
monopolio che una risorsa per migliorare la sicurezza. Se nel quadro di un
sistema che aumenta le complessità (e di conseguenza i rischi) invece di
semplificare si aggiungono ulteriori automatismi fuori dal controllo degli
utilizzatori e degli amministratori di sistema la più probabile conseguenza è
un peggioramento dei problemi di sicurezza rispetto alla situazione, già
preoccupante, di oggi.
Un'altra notizia recente, che contribuisce a peggiorare il quadro, è l'offerta
della Microsoft di rendere disponibile agli Stati (per esempio ai membri della
Comunità Europea) il codice sorgente delle piattaforme Windows - nel quadro
del suo govermnent secutity program. Questa apparente "apertura"
nasconde trappole pericolose. Non solo si propone ai governi (come ai privati)
di "affidarsi alla sicurezza Microsoft" (cioè di dare a un'impresa
privata un'impensabile "delega" sui propri sistemi e controlli) ma gli
stati che incautamente lo accettano sono costretti a sottoscrivere un contratto
che, naturalmente, li imprigiona in una serie di obblighi nei confronti della
Microsoft - fra l'altro con clausole inaccettabili che vietano di modificare
i codici e di utilizzare il know how per sviluppare software proprio. Per
non parlare delle invasività che già nella situazione attuale sono concesse
alla Microsoft (e a tanti altri che approfittano della permeabilità dei suoi
sistemi) e che in quella situazione potrebbero solo aggravarsi.
L'analisi delle trappole nascoste nella filosofia trustworthy computing
e in contratti-capestro come quello del government secutity program può
essere complessa e meriterà ulteriori approfondimenti. Ma i termini
fondamentali della questione sono chiari. Ancora una volta (e con crescenti
motivi di attenzione) è evidente che la responsabilità della sicurezza e della
qualità dei sistemi non possono e non devono essere ciecamente "delegate"
agli interessi privati di un'impresa commerciale. Né dai cittadini, né dalle
imprese, né dagli amministratori di sistema - e tantomeno dagli Stati, dalla
pubblica amministrazione e dai servizi (comunque amministrati o gestiti) di
pubblica utilità. L'allarme sulla "schiavitù
elettronica", che ALCEI aveva lanciato chiaramente nel 1998, si propone
con ancor maggiore gravità nella situazione di oggi.
È più che mai necessario che i governi nazionali e l'Unione Europea
affermino con la massima energia la loro capacità di gestire questi problemi
senza assoggettarsi in alcun modo a condizionamenti estranei. E, nello stesso
tempo, è necessario che le risorse e i metodi di sicurezza non siano "centralizzati"
e occulti, ma sia diffusa la conoscenza, il più ampiamente possibile, fra gli
utilizzatori e gestori di sistemi - e in generale fra i cittadini. Senza
esagerazioni a falsi allarmi che spargono paure insensate - e invece con
chiarezza, trasparenza e concretezza sui problemi reali e sui modi per
risolverli.
|
|
|
|
|
|
|
Pagina stampabile
