Nel giugno del 2005, a seguito della crescita del fenomeno del phishing, ho scritto un articolo per far comprendere che per rispondere efficacemente occorre che la banca si faccia carico non più soltanto della sicurezza interna ma si prenda a cuore anche la sicurezza dei propri clienti. Il mio titolo iniziale "La via Migliore" è stato cambiato in "Siamo tutti in gioco"
Azienda Banca - Giugno 2005
________________________________________________________________________
Siamo tutti in gioco
Oggi il problema della sicurezza è così complesso da coinvolgere non solo l'organizzazione della banca ma anche tutti gli utenti finali. Per risolverlo non bastano le soluzioni tecnologiche, ma è altrettanto fondamentale una capillare crescita della sicurezza a tutti i livelli.
Di Gigi Tagliapietra – Presidente del CLUSIT – Associazione Italiana per la Sicurezza Informatica
Non è facile parlare di sicurezza al mondo bancario perché molto si è già detto e si rischia quanto meno di scivolare nel banale.
Eppure ci sono novità all’orizzonte che impongono non solo di parlarne ancora ma di incoraggiare le banche a svolgere un ruolo di protagonismo nella crescita complessiva della sicurezza informatica nel nostro paese.
Una responsabilità insostenibile
La crescente diffusione della rete, l’aumento vertiginoso della velocità delle connessioni consentono di sviluppare servizi sempre più diretti e innovativi che hanno cambiato profondamente il modo di operare di tutti gli operatori finanziari.
Una delle conseguenze più significative del cambiamento in atto è che l’erogazione dei servizi non dipende più da una sola entità. Se in passato la banca aveva il pieno controllo della propria infrastruttura e ne governava i processi, le modalità di funzionamento e le regole di utilizzo, oggi l’operatività di molte attività cruciali dipende dalla disponibilità e dal corretto funzionamento di elementi che sono al di fuori del suo controllo diretto.
La possibilità di effettuare un pagamento o di ordinare un investimento non dipende infatti solamente dal buon funzionamento dell’applicazione specifica ma anche, ad esempio, dalla disponibilità della connessione che il cliente ha scelto di utilizzare e dalla infrastruttura complessiva della rete che ne trasporta la transazione, dalla privatezza che può essere mantenuta lungo questo percorso virtuale.
D’altra parte è stata proprio la genericità e l’ubiquità della fruizione che hanno reso particolarmente vantaggiosi e competitivi i nuovi modelli di business: ma come garantire la sicurezza di un insieme in cui nessuno ha il controllo dell’intero sistema? Come accettare la responsabilità ultima della validità di una transazione quando elementi fondamentali del processo sono per definizione “insicuri”?
Siamo tutti in gioco
Il “cambio di paradigma”, come solitamente viene definito il cambiamento in cui siamo coinvolti, comporta uno spostamento molto rilevante dei livelli di criticità e del concetto stesso di controllo, dal centro alla periferia, dal fornitore al fruitore, dall’host alla stazione dell’operatore o del cliente finale.
Più ancora, dato che la capacità elaborativa che viene messa a disposizione dell’utente e la complessità del sistema non cresce in modo compatibile con la capacità di comprendere questa complessità, la sicurezza del sistema dipende in modo grave dal suo anello più debole.
Ma questa che sembra una battaglia persa, può vedere un vero capovolgimento di fronte se accettiamo il principio che oggi vediamo come minaccia: “Non siamo soli”.
“Non siamo soli” significa che così come noi dipendiamo da “pezzi” gestiti da altri, è vero anche che altri dipendono dal noi (se il “sistema bancario” fosse paralizzato chi pagherebbe le fatture, le bollette, gli stipendi?) e quindi esiste un interesse comune alla protezione. Siamo un sistema “ecologico” in cui la nostra sopravvivenza, ma anche la nostra grande forza dipende dalla capacità di costruire rapporti positivi con gli altri.
La battaglia contro il Phishing
Come in un’ alleanza militare, dobbiamo considerare qualsiasi minaccia rivolta a qualunque soggetto della nostra catena ecologica come una minaccia reale a noi stessi e fare quanto in nostro potere per difendere l’insieme.
Prendiamo il caso del Phishing, la pratica per cui, carpendo la buona fede di un utente ne vengono catturate informazioni confidenziali. Inizialmente qualcuno, anche nel mondo bancario, aveva sostenuto “Non è un nostro problema, gli utenti sono i soli responsabili delle loro login e password!”. Ora ci si rende conto che il fenomeno è molto grave perché mina alla base la fiducia stessa degli utenti nel sistema e genera costi spaventosi e contenziosi insostenibili. Possiamo fermare il fenomeno da soli? Possiamo dire che “non è un nostro problema”? No. Ma proprio perché gli utenti sono in prima linea è a loro che dobbiamo dare tutto il nostro aiuto. Informando, formando, spiegando, utilizzando anche soluzioni tecniche ma soprattutto fornendo gli elementi utili non solo ora ma anche costruendo con gli utenti una “alleanza” di lungo termine che possa essere la base per difenderci dalle minacce di cui ancora non abbiamo oggi consapevolezza.
La via migliore
A questo ragionamento qualcuno ha obiettato che “le banche però non sono il Ministero dell’istruzione!” e mi pare una considerazione ovvia ma le banche vivono di sicurezza, di confidenzialità e di fiducia, Se la minaccia che abbiamo di fronte è possibile perdita di fiducia che gli utilizzatori ripongono nelle infrastrutture della rete, allora dobbiamo profondere un grande sforzo nella “alfabetizzazione” diffusa alla sicurezza.
Ci vogliono certamente i firewall, gli IDS, i token e le VPN ma anche una capillare crescita della cultura della sicurezza senza la quale non esiste tecnologia in grado di proteggerci.
Quando ero alle elementari, ahimé molti anni fa, ricordo che ogni mese ci veniva distribuito un giornalino pubblicato da una Cassa di Risparmio che si chiamava “La via Migliore” e che spiegava ai bambini il valore del risparmio, sapendo che quel messaggio diffuso dal basso avrebbe costituito una base fortissima alla costruzione di un paese che ha poi conosciuto uno sviluppo straordinario.
In questa prospettiva il CLUSIT, che è oggi in Italia la più importante associazione nel mondo della sicurezza informatica, sta facendo del proprio meglio, con i corsi, i seminari, le pubblicazioni di elevato contenuto, con le certificazioni e le iniziative di sostegno alla condivisione delle informazioni. E’ questa la nostra “Via Migliore”.
Gigi Tagliapietra 2005 - Questa opera è concessa sotto la licenza "Attribuzione non commerciale- 2.0"
Per i dettagli vedi al sito www.creativecommons.it
Ultimi commenti