Che la sicurezza dei sistemi informativi sia una questione seria ne siamo tutti – noi addetti ai lavori – consapevoli. Eppure, ogni volta che indosso le gloriose vesti del “security evangelist”, incontro curiose perplessità sul tema. Tipicamente l’interlocutore ritiene che i propri sistemi non possano essere vittima di un attacco informatico perché in fondo la loro azienda non interessa il mondo del “credito” o delle assicurazioni e quindi “non c’è nulla da rubare”.
In molti è ancora radicata la credenza che gli attacchi informatici siano opera di qualche furfante che dalla propria tana opera nella notte allo scopo di rubare denaro per via telematica. La verità è abbastanza diversa. Oggi buona parte degli attacchi sono condotti da bot che in mesi di lavoro collezionano decine di server compromessi con i mezzi più banali (spesso con semplici brute force). Questa modalità di attacco nelle sue prime fasi ha come unico obbiettivo il guadagnarsi l’accesso a quanti più sistemi possibili a prescindere da cosa vi sia sui server. I server compromessi vengono spesso utilizzati per altri attacchi o come base per attacchi DDoS. Si può quindi essere vittime di un attacco informati senza necessariamente essere il bersaglio primario.
Provate a spiegare quanto da me scritto ad un qualsiasi membro di una PMI italiana. Al di la del comprendere o meno gli aspetti tecnici del tema è lampante una completa mancanza di interesse, come se il problema non esistesse. C’è addirittura il rischio che passiate per paranoici.
Chi ha tanti anni di servizio alle spalle sa che “l’attacker” è dietro l’angolo e questa consapevolezza ci spinge, dovrebbe spingerci, a fare le cose per bene: password robuste, policy di firewalling stringenti, attenzione al livello di patching, hardening dei sistemi, fino ad arrivare agli IDS ed IPS laddove la situazione lo richiede.
La sicurezza informatica è, in Italia, ancora percepita come un qualcosa in più, non sempre necessaria, qualcosa di trascurabile salvo situazioni particolari come l’essere una banca. La sensibilizzazione sul tema sta di fatto a noi, forse dobbiamo indossare la tunica del “security evangelist” più spesso.