Mauro C. • Non è un incubo, è la nuova realtà.
Forse ci rassegneremo al fatto che non è possibile controllare tutto, che non è nemmeno concepibile l'idea di controllare tutto, e ci dovremo "accontentare" di una ragionevole approssimazione.
Magari sarà la volta che finalmente prima di fare scelte sulla sicurezza si farà una valutazione del rischio - visto che tutto non si può fare.
Magari sarà la volta che ci si rassegna a spiegare all'utente il perché, anziché trattarlo in modo paternalistico "non ti preoccupare che faccio tutto io, tanto tu non puoi capire". E l'utente, che non è scemo, troverà un modo per aggirarci, se gli fa più comodo, perché non percepisce l'importanza della sicurezza e la considera solo una seccatura.

A quando una sicurezza sostenibile?

Andrea R. • La storia insegna che la repressione non funziona; occorre puntare sulla prevenzione.
Vista la crescita (esponenziale?) dei canali di comunicazione, anche il controllo rischia di avere dei costi che crescono nello stesso modo.
Inoltre l'utilizzo sempre più diffuso della crittografia rende sempre più costoso, se non vano, il controllo.
Probabilmente occorre puntare sul distribuire l'informazione e l'accesso ad essa, in modo che nessuno (possibilmente), possa accedere a tutto.
Inoltre occorre mettere in conto che l'affidabilità delle persone ha un costo: puntare al ribasso selvaggio sugli stipendi porta ad avere collaboratori più motivati a procurarci guai che a supportare l'azienda.

Andrea Z. • @Mauro La mia sensazione è che, per la rapidità con la quale le minacce di natura informatica (o veicolate tramite canali informatici, come il social engineering) stanno aumentando, con un trend che tende a diventare esponenziale, tutte le valutazioni di rischio fatte negli ultimi anni siano sostanzialmente obsolete e pericolosamente ottimistiche.

Di conseguenze tutte le architetture, le procedure, gli skills delle persone, e soprattutto i calcoli fatti in termini di costi-benefici per dimensionare gli investimenti sono oggi praticamente sempre inadeguati e superati dagli eventi.

Un altro motivo di questo "scollamento" tra mappa e territorio, tra evoluzione delle minacce e capacità di prevenirle / mitigarle è certamente stata la crisi... dal 2008 ad oggi è rimasto sostanzialmente tutto fermo, anzi si è frequentemente tagliato e fatto downsizing, mentre i rischi sono mediamente raddoppiati per gravità e (perdona la semplificazione) si sono moltiplicate per 10 le probabilità di accadimento....

Per non parlare delle incognite totali rappresentate dai paradigm shifts iniziati (su larga scala) negli ultimi mesi, cloud e mobile computing... e come non ricordare in questa sede le conseguenze in termini di rischi dovute alla diffusione globale dei social media?

Per tutto quanto sopra, il bellissimo concetto di "sicurezza sostenibile" che proponi mi sembra nel breve-medio termine inattuabile... ma certamente la direzione che auspico è quella. Dovremo lavorarci un bel pò :)

@Andrea Assolutamente d'accordo sulla necessità di fare più prevenzione ed in particolare di implementare una maggiore granularità a livello di ruoli, permessi etc, purtroppo la maggior parte delle informazioni oggi (per volume, se non per valore e sensibilità) sono non strutturate, quindi per natura non sono facili da trattare in questo senso.... e gli strumenti di Data Loss & Leakage Prevention sono ancora abbastanza lontani dall'essere risolutivi.

Per quanto riguarda il tema "affidabilità delle persone vs trattamento economico", piuttosto complesso e controverso (top managers da 100 milioni all'anno sono risultati inaffidabili) ricordo solo che il giorno prima dell'incidente che ha portato alla chiusura del Playstation Network, Sony ha licenziato 200 persone proprio in quella divisione (circa 1/3 del totale).... personalmente non credo alle coincidenze.

Carlo R. • Quando si fanno gli incubi a volte vuol dire che la sera prima si è mangiato pesante, e forse anche in questo caso si sta facendo un errore simile.

Sono d'accordo con Mauro nel dire che è ora di cambiare approccio nei confronti dell'utente, e lo ripeto da un po' di tempo. Nel nostro creare approcci più granulari, cloud più 'nuvolosi', permessi più attenti etc.. non stiamo facendo altro che aumentare la robustezza dell'acciaio di alcuni anelli della nostra catena di protezione dimenticandoci che uno dei nostri anelli, l'utente, non è di acciao ma di fil di ferro.

L'utente non si accontenta della nostra condiscendenza nel dire, 'non è importante capire perché non devi farlo, smetti di farlo e basta', e fino a quando non avrà una risposta decente da parte nostra continuerà a violare norme o ad assumere comportamenti pericolosi spesso inconsapevolmente.

la tecnologia e le soluzioni corrono veloci come avete giustamente notato, ed a volte è bene ricordare che c'è un utenza che non riesce a stare al passo con tutto. Questo non vuol dire che dobbiamo far rallentare le implementazioni, ma vuol dire che dobbiamo far recuperare il terreno perduto agli utenti, e credetemi, la cosa è fattibilissima.

Da alcuni anni svilluppo ed erogo corsi di Information Security Awareness (ISA) per gli utenti, ed i risultati sono sorprendenti e i motivi sono semplici. Oggi la stragrande maggioranza degli utenti possiede e utilizza strumenti informatici anche a casa, e se non lo fanno loro lo fanno i loro figli. Spesso sono frustrati dalla loro incapacità di stare tecnologicamente al passo con i loro stessi figli, e non desiderano altro che capirci qualcosa, avvicinarsi al mondo tecnologico che gli inizia a sfuggire. Alcuni provano a padroneggiare due granelli di tecnologia, ma quando scavi un po' in profondità scopri che seguono un comportamento tecnologico di un qualche tipo solo perché 'lo ha detto la televisione' o'l'ho letto su internet'. Fare dei corsi di ISA agli utenti a mio avviso non solo non è impossibile, ma è anche molto gratificante e può risultare anche semplice se si seguono alcune regole di base. Ad esempio:
a). Non usare il technichese durante le lezioni. la loro lingua è l'italiano, dobbiamo usare quello.
b). Movimentare le aule, rendendo divertente l'apprendimento. Tutti apprendono se si divertono.
c) Pensate all'utilizzo 'privato' che loro possono fare delle nozioni che gli trasmettete. Se le possono usare a casa saranno molto più interessati e ricorderanno meglio ciiò che diciamo.
d) Non trattate gli utenti con condiscendenza, loro sono esperti nel LORO lavoro e noi nel nostro.
e) Non li inzeppate di dati, a loro non servono i dati, servono le nozioni.

...e così via, ce ne sarebbero altre ma non vorrei uscire troppo dal tema.

In sintesi, se gli utenti accedono ai social media dai device mobili, e quindi aprono nuove potenziali vulnerabilità, siamo noi a dover pensare un rimedio efficacie, e nomrmalmente se escludiamo l'eduzazione degli utenti il problema lo risolviamo solo in parte.

A fool with a tool, is still a fool.

My 2€/c

Carlo

Mauro C. • @ Andrea Z.M.: anch'io ogni volta devo faticare per superare la tristezza che mi viene dal panorama generale della sicurezza informatica. Purtroppo temo che sia un dato di fatto dal quale partire, perché non mi aspetto che le risorse disponibili aumentino in modo significativo, perlomeno non senza una diligente applicazione ed un considerevole sforzo di ciascuno.

Infine no, non credo che la lealtà vera di una persona possa essere comprata. Le valutazioni economiche sono generalmente a prescindere. Un livello adeguato di retribuzione è condizione necessaria, ma non sufficiente; così come è necessario che non vi siano comportamenti ricattatori o di ripicca da parte dei dipendenti, il cui licenziamento potrebbe anche essere ampiamente giustificato.
All'azienda cinica ci credo (l'ho vista), a quella autolesionista un po' meno.

@ Carlo: Bravo! Concordo pienamente, e colgo l'occasione per ribadire (l'ho già detto e scritto molte volte, ma non basta mai) che il training dovrebbe essere il primo punto della sicurezza, non l'ultimo.

A mio parere il tassello più importante della sicurezza sostenibile è un "buy-in" completo da parte dell'utente - che è poi la persona di cui stiamo cercando di fare gli interessi, dobbiamo "solo" farglielo capire - e solo dopo può venire il resto.

Rimane indispensabile, naturalmente, che noi "esperti" di sicurezza facciamo bene il nostro lavoro - ovvero figurarci quali sono le nuove minacce, o le nuove possibilità con vecchie minacce su nuove vulnerabilità, ed agire di conseguenza.

Aggiungo: a fool with a tool is still a fool, but more dangerous.

Andrea Z. • Totalmente d'accordo sull'awareness, proprio per questo un anno fa abbiamo iniziato a pubblicare guide in merito alla sicurezza dei social media (scaricate diverse migliaia di volte) e personalmente ho già tenuto diversi seminari sull'argomento...

In fondo anche la creazione di questo gruppo va nella direzione di aumentare l'awareness, volutamente infatti non è dedicato solo ad esperti di ICT Security (anzi!)....

Le nostre forze però sono limitate, per cui mi domando: senza un supporto da parte della scuola, della PA e delle aziende, come facciamo a raggiungere un numero ragionevole di utenti finali e spiegargli come stanno le cose?

Faccio un esempio: in italia ci sono 15 milioni di utenti FB, che significa (in base a dati di fine 2010) che *solo tramite quel vettore* almeno 7 milioni di computer sono stati esposti a malware di qualche tipo negli ultimi 12 mesi.... Questo è un dato disastroso, sotto ogni punto di vista.

Di fronte a numeri del genere, a volte penso che, data la potenziale gravità della situazione, oltre all'awareness (la carota) occorrerebbe anche qualche tipo di onere (il proverbiale bastone).

In quest'ottica, secondo voi basterebbe introdurre il concetto di RC anche per l'uso di un computer in rete, per cambiare in meglio le cose?

Stimolate dalle campagne di prevenzione E toccate nel portafoglio, le persone hanno imparato a mettere le cinture e pretendono automobili con ABS, airbag e buoni risultati nei crash test: perchè non dovrebbero imparare anche a maneggiare con attenzione e con la minima competenza necessaria anche un PC o uno smartphone?

Non è richiesto che sappiano smontare una frizione o guidare come Alonso, ma tra questo e non sapere nemmeno cos'hanno in mano ce ne passa. No?

Carlo R. • Come facciamo a raggiungere un numero ragionevole di utenti ?

Uno ala volta, se serve.

Credo che ognuno di noi può metterci del suo. Io sto tenendo seminari per le università, per le associazioni, per le aziende, e coinvolgo le aziende facendo sponsorizzare i miei interventi.

Non mi interessa che scarichino le mie dispense perché gliele voglio leggere io, e voglio dar loro l'opportunità di farmi domande a cui dare risposte. Il concetto di responsabilità civile (immagino Andrea intendesse questo con RC) dovrebbe essere già bello chiaro vista la quntità di norme che responsabilizza gli utenti, a partire dal codice penale per finire con il D.Lgs. 231, ma ancora evidentemente non basta.

Personalmente sto cercando di prendere per mano le singole aziende e convincerle a realizzare i loro programmi di Information Security Awareness e farli diventare un processo aziendle, non un certificato da appendere alla parete.

L'utente va guardato negli occhi, non indottrinato, altrimenti temo che non faremo nemmeno un passo avanti, e lo dimostra la qualità della guida nelle nostre città, tutti con la cintura (e nemmeno questo è vero) ma poi la gente muore investita sulle strisce pedonali.

My 2 €/cents.

Carlo

Andrea R. • Quanta verità nelle vostre parole ...
Il problema però rimane sempre lo stesso: chi paga il conto.
Bello l'esempio delle cinture di sicurezza e dell'assicurazione in auto.
C'è un però: per le cinture di sicurezza e per l'assicurazione ci si è messo di mezzo lo stato che ha fatto quattro conti ed ha visto quanto doveva 'scucire' in sanità e previdenza sociale per gli incidenti senza protezioni (fisiche od economiche).
Alche lo stato, saggiamente, ha detto: 1) il costo lo sostenete direttamente voi utenti; 2) il costo del rischio viene ridotto perché sarete voi stessi a cercare di ridurlo, evitando multe e bonus/MALUS.

Per la sicurezza delle informazioni, così come per un buon comportamento in Rete (sia a casa che sul lavoro), manca ancora questo salto di qualità: qualcuno che ci faccia quattro conti in tasca, e ci faccia sapere quanto costano ogni anno alla comunità ed alle aziende i comportamenti scorretti.
Dopodiché saranno quelli che oggi sostengono i costi derivanti dai danni (soprattutto lo stato e le aziende) a muoversi nelle direzioni più opportune.

Faccio un paragone con le cinture di sicurezza: non hai l'antivirus, e/o non è aggiornato a meno di X giorni fa? Una bella multa.
E tu, cara azienda, DEVI dotarti, per legge, di una polizza 'RC' per la sicurezza delle informazioni.
Con il meccanismo del bonus/malus, sarai tu a cercare di farti ridurre il premio dalla tua compagnia dimostrando di aver 1) rispettato la legge (la 196/2003 qualcosa dovrebbe ancora contare) e 2) di aver adottato le misure adeguate (commercialmente, e non solo legalmente) per prevenire incidenti.

Semplice, no?

In questo modo la formazione/informazione, l'adottare reali misure di sicurezza, etc. divengono un modo per risparmiare.

Il problema è che in generale, e certamente qui da noi, si tende a nascondere la polvere sotto al tappeto, ed a preoccuparsi degli incidenti solo quando ormai è troppo tardi.
Senza una storia documentata degli incidenti e dei relativi danni, è difficile fare 'il conto della serva' per capire quanto costa il problema.
Le assicurazioni stesse sono ai primi passi nel definire delle metriche per stabilire i premi per le polizze assicurative.
Sono ancora legate alle inferriate alle finestre, più che alle misure informatiche di prevenzione ed all'informazione del personale.

Mauro C. • L'idea di usare le assicurazioni come "cavallo di Troia" per inserire la sicurezza delle informazioni nelle imprese e nelle PA mi piace molto, e da tempo la utilizzo nei miei interventi pubblici e privati - anche se ahimè con scarsi effetti concreti.

Ne abbiamo discusso parecchio anche nel Gruppo di Lavoro sul ROSI (Return On Security Investment http://rosi.clusit.it/ ) ed anche in quella sede ci siamo trovati concordi sull'effetto virtuoso che può avere una corretta valutazione del rischio - visto che le aziende già oggi non è infrequente che si assicurino contro i danni (propri o verso terzi) alle informazioni.

Una cultura diffusa di quanto effettivamente possa costare un "security breach" tarda a venire perché in tutto il mondo, se non obbligati dalla legge (come p.e. nel Regno Unito) siamo tutti estremamente riluttanti a divulgare eventi che ci possono mettere in cattiva luce.

Per fortuna Clusit conta tra i suoi soci il bravissimo Riccardo Scalici, che di mestiere si occupa di assicurazioni, e che ha raccolto e documentato - naturalmente omettendo i dettagli identificativi - numerosi casi realmente accaduti di incidenti informatici di cui ha avuto esperienza diretta, tipicamente perché ha dovuto occuparsi della pratica di risarcimento.

E' interessante notare che il risarcimento a volte è stato pagato e a volte no, ma in qualche caso l'impatto è stato così devastante che l'organizzazione non si è più ripresa, indipendentemente dal risarcimento.

Trovate il documento di Scalici liberamente scaricabile dal sito del Clusit:
http://www.clusit.it/docs/rscalici_11-01-24.pdf

Andrea R. • finché nei contratti di licenza (vedi Sony) esisteranno clausole ove la società fa accettare uno scarico completo di responsabilità in caso di data breach, sarà sempre necessario andare a discutere in tribunale (rigorosamente internazionale) sia sulla validità della clausola sia sull'entità del danno.
Quanta gente non verrà mai a sapere cosa è accaduto, e quanta non potrà permettersi una causa?

Una bella inversione dell'onere della prova potrebbe fare al caso nostro: la società è colpevole e deve risarcire, a meno di dimostrare oltre ogni ragionevole dubbio di aver fatto quanto ragionevolmente possibile per prevenire l'incidente.

Andrea Z. • amen!

Andrea Z. • in fondo la nostra 231 non dice proprio questo? il problema è che in questo campo sono praticamente tutte multinazionali straniere...

Andrea R. • la 231 lo dice per le aziende di diritto italiano.
con la Sony.jp la cosa non è così semplice.
Per quanto ci riguarda, sempre di una causa internazionale si parla.
Ed anche una class action che dovesse muoversi contro il diritto giapponese, non la vedo tanto economica ...