Tv e cybersecurity

AssetProtection. Quello che la Tv non dice, il caso WannaCry occasione persa

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

L’informazione televisiva è attenta solo a fare audience attraverso l’annunciazione delle catastrofi, ma della possibilità di creare valore aggiunto, attraverso alcune pillole di formazione in ambito di sicurezza informatica, non gli importa proprio nulla.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Le questioni legate alla sicurezza (in particolare delle informazioni) non sono mai state i protagonisti ideali in televisione. Se guardiamo a ritroso nel tempo, forse c’è stato un solo episodio che ha destato in modo significativo l’interesse dei notiziari. Lo ricordate ILOVEYOU? Il virus che nel 2000, propagatosi in quasi tutto il mondo, provocò più di 50 milioni di infezioni causando danni stimati in circa 5,5 miliardi di dollari. I telegiornali ne parlarono per giorni. Poi silenzio radio.

C’è invece da notare che ultimamente l’informazione televisiva sta acquisendo coscienza circa la rilevanza del tema. Vuoi perché con l’avvento dei social network le questioni in ballo si sono amplificate e moltiplicate, vuoi perché la gente ha familiarizzato un po’ con internet, vuoi perché gli eventi sono sempre più (tristemente) sensazionali e/o straordinari, fatto è che, tra prime serate e dossier di approfondimento, se ne parla di più. E sull’ondata di questa nuova tendenza non poteva certo mancare all’appello la vicenda WannaCry.

L’11 maggio scorso ha avuto inizio un’epidemia informatica globale che ha travolto strutture pubbliche e private in tutto il mondo, interrotta da qualche giorno grazie alla manovra fortuita di un 22enne ricercatore britannico. I titoli dapprima si sono avventati sul complotto sovietico – ultimamente va così di moda scaricare le responsabilità sugli hacker russi – poi qualcuno ha cambiato direzione e s’è indirizzato verso la Corea del Nord. Giù a spiegare il meccanismo dei ransomware, dei dati presi in ostaggio e del riscatto in moneta virtuale.

Ma la sensazione è che tutti, ma proprio tutti, i telegiornali abbiano preferito un approccio sensazionalistico (come la TV comanda) piuttosto che uno utilitaristico. Tanto per cominciare non s’è proferita parola sul fatto che WannaCry è un virus mutante in quanto assemblaggio di due entità distinte: ransomware (che critta i dati) e worm (che si diffonde in perfetta autonomia).

Sarebbe stato utile dirlo ai telespettatori, tanto per compiere un minuscolo passetto in avanti, verso una forma di conoscenza basilare della materia. Strano che non si sia parlato tanto neanche del suo potenziale virulento, probabilmente imputabile all’impiego di una delle armi informatiche rubate alla CIA, e di conseguenza non sia riemerso lo scandalo CIA – WikiLeaks di qualche mese addietro.

Insomma, qui la questione è che, approfondimenti da nerd high tech a parte – per chi fosse interessato quest’articolo su Wired è assolutamente da leggere. L’informazione televisiva è attenta a fare audience attraverso l’annunciazione delle catastrofi, ma della possibilità di creare valore aggiunto, attraverso un po’ di spunti di riflessione e qualche pillolina di formazione, non gliene importa proprio niente.

E questo tipo d’approccio non è solamente sterile, ma in qualche modo anche diseducativo. Così facendo, infatti, la percezione delle responsabilità dell’accaduto viene completamente indirizzata verso ignoti, mentre tutte le organizzazioni colpite sono considerate vittime inermi.

Di quanto potrebbe cambiare questa percezione se invece approcciassimo il problema da un altro punto di vista? Di molto! Proviamo a concentrarci sul fatto che WannaCry per diffondersi sfrutta una vulnerabilità del sistema Windows scoperta e risolta già dal mese di Marzo da casa Microsoft. Proviamo a concentrarci su di uno dei 104 controlli obbligatori definiti nella UNI CEI ISO / IEC 27001:2014 che stabilisce i requisiti per un Sistema di Gestione per la Sicurezza delle Informazioni: A.12.6.1, Gestione delle vulnerabilità tecniche, nel quale è specificato in modo inequivocabile l’obbligo delle organizzazioni ad ottenere informazioni circa eventuali falle dei sistemi e valutarle tempestivamente.

Proviamo anche a concentrarci sul fatto che non è stata proferita parola circa i tempi di rimessa in moto dei servizi offesi, anche se la business continuity dovrebbe ormai essere parte integrante degli obiettivi strategici, specie per certe organizzazioni pubbliche.

Tutte considerazioni omesse, perché sembrerebbe da cattivoni scagliarsi sulle presunte vittime di questa pandemia invece che sui misteriosi attaccanti. Ed invece no. Sebbene sussistano ovviamente responsabilità penali gravi imputabili agli hacker, la vera responsabilità dei disagi provocati da WannaCry è di coloro che hanno subito l’attacco: perché non hanno aggiornato il sistema operativo, perché non hanno valutato i tempi e le operazioni di ripristino dei sistemi.

Ma di questo all’informazione televisiva poco importa. Peccato, sarebbe stato bello avere un’alleata come la TV nella difficile attività di sensibilizzazione alla sicurezza.