In questi giorni convulsi in cui si tenta di contenere l’epidemia di coronavirus, tutti si sono trovati a dover fare i conti con lo smart working. Dal giorno alla notte molte aziende hanno “remotizzato” parte della forza lavoro, a partire dai consulenti (veri o finti che siano) fino ai dipendenti. Questo ha portato a dover analizzare problemi che sono stati nascosti sotto il tappeto fino a ieri e che d’un tratto si sono manifestati nella loro complessità, sia essa tecnologica oppure organizzativa.
Ricordando che l’una non può sopperire alle carenze dell’altra, vediamo cosa sta succedendo partendo dalle basi.
Indice degli argomenti
Tutti a casa, ma adesso come mi connetto?
L’idea di lavorare dal tinello di casa, col tempo scandito dalla pendola e il gatto sui piedi, assume diverse cose: avere una connessione ad Internet, un dispositivo con cui connettersi e, lato azienda, un concentratore VPN pronto ad accoglierci.
L’assunzione che tutti abbiano Internet a casa è assolutamente sbagliata. A differenza della vecchia linea POTS che non mancava mai, Internet può mancare perché non lo si utilizza diffusamente (tanto le vacanze le prenoto al lavoro), perché per WhatsApp è sufficiente il 3G sul telefonino o perché la nostra zona non è servita del tutto, oppure con servizi poco prestanti (ADSL da 1 Mbit e traballanti).
Oltretutto, stando tutti in casa, anche una linea che “normalmente se la cava” può rivelarsi al limite con diverse persone che la usino per fare videochiamate e usare applicazioni remote mentre i figli guardano i cartoni animati in streaming e giocano con la Playstation.
La scarsa sicurezza dei dispositivi personali
Il secondo fattore è quello del dispositivo: essendo passati dalla situazione in cui le case avevano i PC a quelle in cui ci sono i tablet, migliori per chi semplicemente fruisce e non produce contenuti, fa sì che il ricorso al BYOD (Bring Your Own Device, che in italiano si traduce con: “porta il tuo dispositivo” o con un più realistico “arrangiati con quel che trovi”) non stia portando a risultati ottimali.
Pur con la buona volontà dettata dalla contingenza, essere produttivi su un tablet da 100 euro non è facile: molte applicazioni, terminalizzate negli ultimi giorni e in qualche modo (la sola fruizione remota delle applicazioni richiederebbe una trattazione a parte), rimangono pensate per gli schermi moderni e restano inusabili.
I più fortunati hanno un laptop personale, problema che affronteremo tra poco. Qualcuno infine ha l’agognato laptop aziendale: merce rara oggi, dal momento che i distributori sono sforniti dei lotti numerosi che le aziende stanno richiedendo e che comunque richiederebbero parecchia attività di setup, secondo la preparazione dell’azienda, per essere resi operativi dallo staff IT sempre più ridotto che frequenta gli uffici.
Il problema delle VPN
C’è poi il lato VPN: è necessario che l’azienda abbia un concentratore VPN che sia in grado di reggere. Cosa significa reggere? Che la macchina sia dimensionata per gestire le centinaia, o migliaia, di utenze invece che i soliti 30 consulenti od operatori remoti. A sua volta ciò implica che l’hardware sia correttamente dimensionato ma anche che abbia un numero di licenze adeguato, ed in questo i vendor sono maestri nel complicare la situazione.
Infine, la connettività dell’azienda deve essere sufficiente a gestire tutto il traffico: in molti casi si può rimodulare il contratto con i fornitori, in altri è necessario un cambio di tecnologia che però, con personale telco ridotto e lavori fermi, diventa ancora più impraticabile del solito.
Quindi se i buchi nel formaggio si sono allineati (fibra in casa, laptop, VPN che sale al primo colpo e applicazioni disponibili da remoto) siamo a posto? No, non siamo a posto. Possiamo nel migliore dei casi provare a lavorare.
Gestire lo smart working, lato azienda
Ma cosa succede dal lato interno all’azienda in questi giorni di VPN per tutti? Succede che entra un traffico dati a dir poco anomalo. Lo è per questioni evidenti, visto che la VPN prima era utilizzata da una manciata di persone, ma anche per questioni legate all’operatività delle persone e alla tecnologia in uso. Provo a spiegarmi.
Una VPN non è un semplice “filo crittografato” che connette il mio PC all’azienda, ma un insieme di procedure operative e di sicurezza. In questi giorni di “fate alla svelta” entrambe stanno saltando.
Si comunicano le password per mail, si spediscono certificati digitali in allegato, si creano ACL che consentono a tutti di raggiungere tutte le sottoreti aziendali, si disabilitano le autenticazioni a due fattori, si installano sui terminali software di controllo remoto con configurazioni di sicurezza imbarazzanti. E si spengono gli allarmi degli IDS, si mettono gli IPS in “detect”, buon modo per dire che non sono spenti ma non servono granché. Per forza, in questo flusso anomalo per definizione tutto è strano e tutto fa suonare qualche campanella, c’è altro da fare che inseguire ogni segnalazione come già si fatica a fare negli scenari nominali.
Pur di dare dispositivi agli utenti remoti sono tornati dai magazzini vecchi portatili con Windows XP e il modem a 56 k integrato e l’antivirus scaduto nel 2008. Policy di sicurezza, password ecc. non pervenute. Fino a un mese fa discutevamo di quale MDM (Mobile Device Management) fosse più efficace per gestire i dispositivi mobili e remoti, oggi basta che respirino (pardon, che si accendano).
L’uso dei dispositivi di proprietà degli utenti rispecchia la stessa situazione: macchine spesso antiquate come software, senza ovviamente policy adeguate allo standard aziendale ma, soprattutto, con installato qualsiasi cosa: dal software per i torrent ai 100 programmi “free” che velocizzano il PC zippando la RAM e moltiplicando i processori per 4, alle 10 copie di Photoshop “mio cugino edition” scaricate dal sito di warez: in buona sostanza uno zoo di malware di ogni tipo che da oggi ha un tubo che li porta dritti verso la rete aziendale dove nella migliore delle ipotesi qualche patch sui server l’abbiamo messa, ma quelle macchine con Windows 2003 sono ancora lì.
Neanche parlare poi del problema di commistione tra dati personali e dati aziendali in uno stesso ambito, pur se a dire il vero non sempre il problema è approcciato correttamente anche in tempi normali.
Considerazioni finali
Ho la fortuna di non aver vissuto di persona nessuna guerra di quelle tradizionali, ma da anni mi muovo in quello che oggi è il “dominio cyber”; ciò che vedo è la creazione di condizioni che non promettono nulla di buono; con la scusa dei tempi eccezionali che richiedono soluzioni eccezionali stiamo abdicando a molte delle basi di sicurezza acquisite con molta fatica negli anni recenti e non ci sono dubbi che questo sia sbagliato.
Bisogna approcciare le regole, che devono restare, in maniera più elastica ma sempre all’interno di un percorso che deve avere dei limiti. Chi può permettersi di operare in questo modo? Solo quelli che hanno qualcosa che va oltre la “competenza” in ambito di sicurezza IT, ma quelli che hanno sviluppato una “cultura” in tal senso. Oggi che stiamo abbassando le difese tecnologiche restano solo quelle date dalla formazione e, in un certo senso, dalla sensibilità maturata di conseguenza dalle persone.
Quando affrontiamo i data breach vediamo aziende che dopo la violazione faticano a rialzarsi, ed alcune che non ce la fanno nemmeno. Per questo a mio modo di vedere scusare il lassismo sulla sicurezza con le condizioni emergenziali porterà a problemi nel breve e medio periodo che saranno estremamente difficili da gestire.
Da questa emergenza potremmo imparare un sacco di cose: gestione del lavoro da remoto in termini di tecnologia, verifica della produttività e procedure, come gestire la sicurezza in ambienti con controlli più laschi rispetto ad un ufficio presidiato, come formare lo staff di sicurezza per gestire questi nuovi pattern di utilizzo delle risorse IT. La mia impressione è che non avverrà nulla di tutto questo, anzi: i “buchi” creati in questi giorni di affanno diventeranno strutturali.
Sarò pessimista ma la lezione sarà stata subìta, dura e non imparata. E no, non andrà tutto bene.
