Il ruolo del CERT-PA e delle istituzioni nella protezione delle infrastrutture critiche

Commentando un post di Yvette Agostini su Linkedin che rilanciava un comunicato (inutilmente) allarmistico del CERT-PA sulla questione Spectre e Meltdown, mi chiedevo retoricamente (e chiedevo a Yvette):

Capisco che la paura e’ uno strumento di marketing (l’acronimo FUD non e’ stato inventato mezz’ora fa) ma che siano le istituzioni ad utilizzarla e’ disarmante.
Perche’, piuttosto, AgID non ci dice come mai non si era accorta di spectre (e di tutte le vulnerabilita’ precedenti?

che rispondeva

eh, ma in questi casi la risposta di sole parole serve a poco.
A parte che mi pare che non sia AgID a doversi occupare di accorgersi delle minacce di natura informatica e questo certamente lo sai molto bene, Andrea

Non condivido la conclusione, di questa risposta innanzi tutto perchè un organismo che ha le parole “EMERGENCY” e “RESPONSE” dovrebbe fare un pochino di piu’ che “accorgersi” delle minacce.

Articolo meglio in termini piu’ generali.

Quando eravamo piccoli l’arroganza di aziende e istituzioni ci bollava come “pericolosi delinquenti sovversivi” perche’ parlavamo di telematica e non prendevamo per “oro colato” tutto quello che veniva proposto dalla politica e dal mercato.

Poi, “improvvisamente”, questi “pericolosi delinquenti sovversivi” sono stati “sdoganati” e sono stati ammessi “a corte” (sempre con qualche riserva, pero’. Un delinquente e’ sempre un delinquente, quindi hai visto mai. Però i soldi non puzzano e qualcuno da mandare al cliente e che ci capisca è indispensabile. Facciamo buon viso a cattivo gioco).

Il passo successivo, dopo che la comunità ha iniziato a rendere pubblici metodi e strumenti, e’ stato quello di appiccicarsi in bocca qualche parola (“exploit”, “zero day” ecc.) per sembrare esperti.

La fine del “viaggio” e’ stato il ritorno al passato.

Ci sono abbastanza (in)competenze in giro per consentire di occupare posizioni di alto livello in materia di sicurezza facendo finta di sapere. E a questo punto chi “sa” veramente e’ relegato – salve alcune eccezioni – al ruolo di subproletario della tastiera (vogliamo parlare di ciò che accade nel mondo della grande consulenza in security?)

Dunque, andiamo al pratico: che ruolo ha un CERT? Se deve fare solo da “agenzia stampa” che rimbalza notizie scoperte o pubblicate da altri, la sua attività si riduce a ben poca (e inutile) cosa. Se, invece, ha un’autonomo impegno in termini di ricerca e sviluppo e dunque contribuisce a scoprire, piuttosto che a subire le vulnerabilità, allora diventa una risorsa importante per la protezione delle infrastrutture critiche.

Morale: se non il CERT-PA, chi deve farla sul serio, la sicurezza?

Possibly Related Posts: