A una decina di giorni di distanza dal blackout di Microsoft, la comunità digitale e informatica internazionale è nel pieno dell’analisi retrospettiva o, come si dice in gergo, del post mortem dell’incidente occorso alla società di cyber security CrowdStrike, che ha fatto smettere di funzionare milioni di devices con sistema operativo Windows in tutto il mondo, bloccando l’operatività di intere aziende e una parte significativa della logistica mondiale.
In un articolo apparso la settimana scorsa sul Wall Street Journal, James Rundle e Belle Lin cercano di condensare in un solo scritto il tam tam di voci e opinioni che si inseguono da parte degli esperti del settore e degli addetti ai lavori.
Il sentiment che ne emerge è per certi versi stupefacente. Da un lato le osservazioni intercettate sono certamente tutte di per sé condivisibili. Ma dall’altro si evidenzia un’incredibile difficoltà a risalire dalle considerazioni tattiche alle conclusioni generali che, al contrario, si dovrebbero trarre dall’accaduto: guardano il dito invece della luna.
Indice degli argomenti
Cosa far per ridurre la concentrazione del rischio
Innanzitutto, chiariamo cosa è successo. CrowdStrike produce un software per la threat-detection, ovvero l’identificazione di minacce informatiche, che proprio come un antivirus viene installato sulle macchine per proteggerle. Il fornitore ha rilasciato un aggiornamento del codice che conteneva elementi difettosi. Questi elementi confliggevano con la procedura di avviamento del sistema operativo Windows, motivo per cui i computer non si avviavano più.
In un contesto di iper-consolidamento del mercato, per cui CrowdStrike ha tra i propri clienti 300 delle aziende nella Fortune 500, secondo il vicepresidente di Gartner, Neil MacDonald, «ci sono sempre problemi con la concentrazione dei rischi, quindi il fornitore ha la responsabilità di offrire un servizio resiliente». Questa affermazione non contiene nulla di falso, ma come minimo manca di ambizione. È come dire che all’aumentare del rischio bisogna stare più attenti.
In realtà, l’unica domanda strategica da porsi all’aumentare della concentrazione del rischio è: cosa possiamo fare per ridurla? Senza addentrarmi in questa sede in una disamina sulle dinamiche monopolistiche nel mercato Usa, in particolare in ambito tecnologico, esistono strategie tecnologiche per affrontare il problema.
Non è un caso se Microsoft, pur non essendo la causa del problema, abbia iniziato fin da subito a ragionare su come rendersi resiliente rispetto a questo tipo di evento. Nello specifico, si è tornati a proporre di estromettere i componenti provenienti dai vendors di security dal nucleo del sistema operativo.
Questa sì è una strategia: disaccoppiare componenti per diminuire la concentrazione del rischio.
Ma Andy Sharma, Ceo di Redwood Software, rincara la dose: «I Chief Information Security Officers devono valutare quali controlli manuali abbia senso aggiungere in modo da verificare gli aggiornamenti automatici».
Gli fa eco Chirag Mehta, analista di cyber security di Constellation Research, che sostiene che spegnere gli aggiornamenti automatici non sarebbe la soluzione, in quanto potrebbe aumentare i rischi di cyber attacchi.
Il tenore della conversazione assume tratti surreali: è come forare una gomma e cominciare a chiedersi se forse non sia meglio tornare al cavallo.
Il problema dei test automatici sul codice
È sempre più chiaro che gli aggiornamenti automatici, che servono proprio a rendere i sistemi più resilienti alle minacce informatiche, possono essi stessi e per loro natura contenere delle falle che trasformano un software buono in un cavallo di Troia che può danneggiare i sistemi stessi.
Se questo è il contesto, allora dobbiamo fare ragionamenti più strategici, alzare il livello della conversazione.
Un primo problema è che i test automatici sul codice nelle aziende sono spesso sistematicamente insufficienti. Si continua a produrre codice nuovo, ci si appoggia a librerie esterne, magari anche molto robuste, ma poi non si testa abbastanza. Perché? La risposta è che, probabilmente, vengono percepiti come un costo dal ritorno sull’investimento non percepibile, perché mitigano un rischio non percepito.
Se ammettiamo che questo è il tema centrale, allora ci stiamo dicendo che il problema è culturale. Serve formazione, evangelizzazione, comunicazione con il business. Altrimenti il rischio è concentrato e la sua percezione è suddivisa.
Significa che su quel dato pacchetto di aggiornamenti rischiano tutti tutto, ma in pochi ne sono consapevoli. Un rischio al quadrato.
Subordinatamente al fatto che il ritorno sull’investimento è ignorato perché non si conosce il rischio che si mitigherebbe, va considerato che introdurre test automatici ha in assoluto un costo elevato, perché è un’attività davvero molto onerosa.
Il ruolo dell’AI per contenere i costi
All’equazione sarebbe allora interessante aggiungere la questione di come contenere i costi. Un elemento che mi piacerebbe aggiungere al dibattito è per questo motivo come utilizzare l’AI per semplificare lo sviluppo di test automatici.
Come spesso accade, ci si concentra sempre sui posti di lavoro che si perderebbero qualora delegassimo all’AI determinate attività. E non si guarda mai abbastanza a quelle cose che sarebbero dannatamente necessarie, ma non si fanno, perché il percepito è che costino troppo, e con la AI potrebbero essere democratizzate e diffuse.
Come i test automatici in questo caso. Il dito, invece della luna.
Lezioni strategiche da trarre dal disastro CrowdStrike
Anche dal punto di vista delle mere pratiche tecnologiche, ci sono diverse lezioni strategiche che si possono trarre da quest’ultimo incidente, e leggendo l’articolo del Wsj viene il timore che cadano inascoltate.
Servono strategie per ridurre la concentrazione dei rischi informatici. Serve uno sforzo per innescare una rivoluzione culturale profonda e condividere la conoscenza dei rischi a tutti i livelli. Serve rendere più facile e accessibile l’adozione delle contromisure.
«Attraverso l’Intelligenza artificiale, l’Europa sta aprendo la strada per rendere le nuove tecnologie più sicure e affidabili e per affrontare i rischi derivanti dal loro uso improprio. Ora dobbiamo concentrare i nostri sforzi per diventare leader globali nell’innovazione dell’AI». L’ha detto Ursula von der Leyen nel suo discorso per la fiducia al Parlamento di Strasburgo, pochi giorni fa.
Non è ancora chiaro se le istituzioni europee si siano davvero armate di buona volontà per fare del nostro continente un modello di transizione digitale sostenibile e a portata di cittadino e imprese.
L’AI Act sembra andare in questa direzione.
Tuttavia, in quanto unico provvedimento della sua specie a livello mondiale, rischia ancora di essere un modello senza seguito.
Sarebbe, invece, bellissimo avere una politica globale consapevole di questi temi e in grado di indirizzarli con indicazioni, incentivi e facilitazioni.
È chiedere troppo?
