Si è convinti che la propria architettura di sicurezza cibernetica funzioni quando non ci sono incidenti eclatanti.
Non si pensa al delicato momento che stiamo vivendo e non si ha coscienza che la guerra non è solo quella di bombe e missili. Soprattutto, nonostante la visione militare tradizionale, non si ricordano mai i campi minati e la loro “travasabilità” nel contesto digitale.
Le vedette scrutano con soddisfazione l’orizzonte e alle loro spalle chi si è infiltrato piazza i suoi ordigni in ogni angolo disponibile, scavando, approfittando di cavità, riempiendo le intercapedini degli edifici, sistemando gli inneschi su porte o oggetti che possono essere incautamente mossi…
Dovrebbe preoccupare il fatto che non succede nulla o, ad esser più precisi, che non ci si riesca a rendere conto di quel che sta capitando. Invece, forte di constatazioni superficiali, l’Occidente apprezza questa atmosfera di illusoria serenità e allenta le redini.
Mentre gli hacker si sbizzarriscono in azioni di estrema silenziosità – clonando archivi, rubando segreti e inquinando i più corpacciuti sistemi informatici – sul fronte del bersaglio si confonde la mancanza di rumori con l’assenza di attacchi.
Si scopre così che l’indifferenza a certi problemi non è prerogativa esclusiva dell’Italia dove non si viene mai a sapere cosa è successo, anche a mesi di distanza dagli “incidenti” finiti sui giornali e il cui prezzo è stato pagato dai cittadini azzoppati dai disservizi. Il NIST, ovvero il National Institute of Standards del Dipartimento del Commercio degli Stati Uniti, ha fatto presente che il proprio budget è stato tagliato di quasi il 12 per cento. L’Ente che ha un ruolo fondamentale nella cybersecurity non solo americana ha dichiarato che – nonostante le sopraggiunte difficoltà – continuerà a sostenere e gestire l’NVD, ovvero il National Vulnerability Database.
Chi non è appassionato di certe cose si domanda legittimamente di cosa si stia parlando. È l’archivio elettronico delle vulnerabilità più utilizzato al mondo e, offre dati basati su standard sui punteggi di gravità CVSS, software e piattaforme interessati, punti deboli e collegamenti a patch e risorse aggiuntive. In pratica è il tabellone da tenere d’occhio quasi fosse quello nelle stazioni ferroviarie indispensabile per scoprire cambi di binario, ritardi e altre informazioni utili per non perdere il treno.
A dispetto del crescente arretrato di vulnerabilità inviate all’NVD e che “richiedono un’analisi”, la mannaia della riduzione dei costi si abbatte impietosa in un ambito meritevole di ogni priorità.
Il mese scorso, secondo il sito web del NIST, l’Istituto ha analizzato solo 199 delle 3.370 segnalazioni ricevute. Il trend non sembra destinato a migliorare visto che ad Aprile ci sono stati solo 24 approfondimenti a fronte di 677 pericoli comunicati.
I dati sono impressionanti ed evidenziano in modo inequivocabile la distanza che separa chi attacca da chi cerca di difendersi.
La tragedia, in realtà è un’altra. Quel “database” è consultato prevalentemente dai banditi che così scoprono opportunità di assalto che magari erano sfuggite loro. I security manager, invece, sono impegnati in convegni inutili e comunque garantiscono che la rispettiva situazione è sotto controllo senza aver bisogno di cercare preoccupazioni inutili.
