Non si è trattato di un attacco. Eppure, la scala globale del disastro ha fatto immaginare nei primi momenti qualcosa di molto vicino a un’azione terroristica di stampo inedito. Perché qualcosa del genere, fino ad oggi, non era mai avvenuta. Non si era mai registrata una catastrofe cyber di questa portata.
Effetto domino
I fatti sono ormai noti: un bug nell’aggiornamento della suite Falcon di CrowdStrike, uno degli strumenti di cybersecurity più utilizzati al mondo, ha generato un effetto domino disastroso, bloccando in tutto il mondo migliaia di server, con ripercussioni pesanti sul traffico aereo, sulle comunicazioni, sui trasporti in generale. In Italia si è subito attivata la Polizia postale, in particolare il Cnaipic, per monitorare la situazione delle nostre infrastrutture critiche.
Nello scenario globale, il nostro Paese è stato in larga parte risparmiato dalla Pearl Harbour digitale. Questo perché l’anti-malware di CrowdStrike da noi non è così diffuso (e questa, come vedremo, non è necessariamente una buona notizia). A distanza di più di 24 ore dal disastro – le cui ripercussioni è presto per valutare – abbiamo parlato di cosa è successo – e di cosa accadrà – con Michael Clemente, esperto di cybersecurity e Ceo di Clio Security.
Non è finita qui
“Quello che è successo è sotto gli occhi di tutti, ma quello che può ancora succedere non lo sappiamo, perché al momento non sappiamo se tutte le diverse versioni dei sistemi operativi Windows siano a rischio. Per ora sappiamo solo che alcune centinaia di migliaia di dispositivi sono stati colpiti. L’impatto è stato così devastante perché i sistemi operativi, di fronte a questo bug, sono andati in modalità blue screen, una modalità di protezione che impedisce l’interazione dell’utente. Per ripristinare la situazione, serviva riavviare il dispositivo con una procedura che escludesse l’Update dell’antivirus e che ci ha riportati agli anni Cinquanta”.
Responsabilità umana?
In uno scenario simile viene da farsi una domanda: di chi è la responsabilità di quanto accaduto? Quali teste cadranno?
“Premesso che CrowdStrike ha ammesso la propria responsabilità – ci dice Clemente – quello che può essere successo è che si è trattato di un incidente di processo: prima di arrivare al problema tecnologico, a monte ragionevolmente è saltato qualcosa. CrowdStrike è un’azienda con una capitalizzazione di 86 miliardi di dollari, circa 5 mila dipendenti, di cui più della metà collegati allo sviluppo e al mantenimento del software. Avranno almeno un centinaio di addetti alla parte di test, di qualità e di compliance. Si può ragionevolmente pensare che qualcosa, all’interno di uno di quei team, dev’essere andato storto nella fase di test. Questi test o erano incompleti o è sfuggito qualcosa e quando è uscito l’Update non era stato verificato. L’alternativa – che sarebbe assurda – è che abbiano diffuso l’Update consapevoli che qualcosa non andasse. Ma, lo ripeto e lo sottolineo, è un’ipotesi del tutto irragionevole”.
Quindi la responsabilità è umana?
“Non so dire quanta parte del processo sia automatizzata. Gran parte dei test vengono svolti dai tool, alcuni sono svolti dall’Intelligenza artificiale, l’uomo controlla l’esecuzione. Quindi potrebbe essere un errore umano, ma anche l’errore di un sistema automatizzato”.
Italia salva per arretratezza digitale
Una tua valutazione su quanto accaduto? Perché in Italia ci siamo “salvati”?
“Sicuramente questa cosa è grave. Il paradosso è che il più grave incidente di sicurezza sia partito da un’azienda di cybersecurity. E non una qualunque, ma l’azienda più diffusa, più forte, più credibile. In Italia gli effetti sono stati pochi perché questo è un prodotto top di gamma. Ha un costo, per ogni singola licenza, molto elevato, soprattutto rispetto ai prodotti di fascia medio-bassa. Le aziende italiane, notoriamente, non hanno un budget dedicato alla cybersecurity che consenta di accedere a questo prodotto. I disservizi in Italia hanno interessato quasi esclusivamente colossi infrastrutturali, mentre le realtà più piccole sono rimaste sostanzialmente indenni”.
La nostra fortuna, in pratica, è dipesa dal fatto che la cybersecurity da noi non è di casa. Eppure lo dovrà diventare. E anche molto presto. A ottobre ci dovremo adeguare alla normativa europea NIS2. Da quel momento, la cybersecurity non sarà più una scelta, ma un obbligo e, per chi non si adegua, le sanzioni sono pesantissime.
“La NIS2 – ci spiega Michael Clemente – parla proprio di questi scenari e di come si dovrebbe riuscire a tutelare l’operatività dei sistemi. La prova generale, se così la vogliamo intendere, è andata male. Il sistema è caduto “.
Una lezione importante
E lo scenario che si prospetta – secondo il Ceo di Clio Security – non è roseo: “Oggi è stato CrowdStrike, domani potrebbe accadere qualcosa del genere con un fornitore di un servizio Cloud. Questi sono i primi segnali che ci arrivano. Il mercato del Cloud è in mano a tre società: Amazon, Google e Microsoft. Se una cosa del genere accadesse, quali sarebbero gli impatti? Siamo sicuri di voler continuare su questa strada? Quello che si vede è un predominio del software, che poi è un predominio americano; le alternative sono sempre meno. Quando si fa un investimento, il consiglio è di non mettere tutte le uova nello stesso paniere. Ecco, nella cybersecurity stiamo facendo proprio questo”.
In conclusione, quanto accaduto ha dimostrato in modo lampante che le aziende non sono pronte a uno scenario del genere. E non solo in Italia. Di fronte a un apocalisse cyber del genere, si è bloccato tutto. E, per una volta (che non necessariamente sarà l’ultima), il mondo oltre lo schermo è sconfinato nel mondo reale, con tutte le conseguenze del caso.
Abbonati e diventa uno di noi
Se l'articolo che hai appena letto ti è piaciuto, domandati: se non l'avessi letto qui, avrei potuto leggerlo altrove? Se pensi che valga la pena di incoraggiarci e sostenerci, fallo ora.
