Commentando un post di Yvette Agostini su Linkedin che rilanciava un comunicato (inutilmente) allarmistico del CERT-PA sulla questione Spectre e Meltdown, mi chiedevo retoricamente (e chiedevo a Yvette):
Capisco che la paura e’ uno strumento di marketing (l’acronimo FUD non e’ stato inventato mezz’ora fa) ma che siano le istituzioni ad utilizzarla e’ disarmante.
Perche’, piuttosto, AgID non ci dice come mai non si era accorta di spectre (e di tutte le vulnerabilita’ precedenti?
che rispondeva
eh, ma in questi casi la risposta di sole parole serve a poco.
A parte che mi pare che non sia AgID a doversi occupare di accorgersi delle minacce di natura informatica e questo certamente lo sai molto bene, Andrea
Non condivido la conclusione, di questa risposta innanzi tutto perchè un organismo che ha le parole “EMERGENCY” e “RESPONSE” dovrebbe fare un pochino di piu’ che “accorgersi” delle minacce.
Articolo meglio in termini piu’ generali.
Quando eravamo piccoli l’arroganza di aziende e istituzioni ci bollava come “pericolosi delinquenti sovversivi” perche’ parlavamo di telematica e non prendevamo per “oro colato” tutto quello che veniva proposto dalla politica e dal mercato.
Poi, “improvvisamente”, questi “pericolosi delinquenti sovversivi” sono stati “sdoganati” e sono stati ammessi “a corte” (sempre con qualche riserva, pero’. Un delinquente e’ sempre un delinquente, quindi hai visto mai. Però i soldi non puzzano e qualcuno da mandare al cliente e che ci capisca è indispensabile. Facciamo buon viso a cattivo gioco).
Il passo successivo, dopo che la comunità ha iniziato a rendere pubblici metodi e strumenti, e’ stato quello di appiccicarsi in bocca qualche parola (“exploit”, “zero day” ecc.) per sembrare esperti.
La fine del “viaggio” e’ stato il ritorno al passato.
Ci sono abbastanza (in)competenze in giro per consentire di occupare posizioni di alto livello in materia di sicurezza facendo finta di sapere. E a questo punto chi “sa” veramente e’ relegato – salve alcune eccezioni – al ruolo di subproletario della tastiera (vogliamo parlare di ciò che accade nel mondo della grande consulenza in security?)
Dunque, andiamo al pratico: che ruolo ha un CERT? Se deve fare solo da “agenzia stampa” che rimbalza notizie scoperte o pubblicate da altri, la sua attività si riduce a ben poca (e inutile) cosa. Se, invece, ha un’autonomo impegno in termini di ricerca e sviluppo e dunque contribuisce a scoprire, piuttosto che a subire le vulnerabilità, allora diventa una risorsa importante per la protezione delle infrastrutture critiche.
Morale: se non il CERT-PA, chi deve farla sul serio, la sicurezza?
Possibly Related Posts:
- Qual è il significato geopolitico del sistema operativo Huawei Harmony OS Next
- TeamLab Planets: da Tokyo la fuga verso i mondi della mente
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?