Quale migliore opera di Security Awareness della divulgazione di documenti secretati su ogni giornale, televisione e sito di news? Quale migliore dimostrazione dell'insicurezza di quella di un mito dell'opinione pubblica come il Dipartimento della Difesa degli Stati Uniti d'America, ormai protagonista delle discussioni nei social network, nei forum e nel bar sotto casa?
C'è quindi da chiedersi come mai è stato possibile aggregare ben 1.6 GB di documenti dal database di SIPRNet, la rete del Dipartimento della Difesa statunitense.
Quello che si può supporre è che i controlli siano un poco laschi, per varie ragioni, tra cui quella di permettere un accesso ai documenti più accessibile (sono supposizioni, naturalmente).
Vediamo allora qualche numero:
- 251.297: è il numero totale dei documenti in corso di divulgazione da Wikileaks;
- 133.887 i documenti non classificati o per solo uso "ufficiale";
- 101.748 sono i documenti confidenziali;
- 15.662 sono i documenti classificati come "segreti".
E' lecito a questo punto porsi alcune domande:
- davvero i documenti segreti erano gestiti in un database insiema a tutti gli altri?
- qual è il livello di protezione richiesto per i vari livelli di questi documenti?
- esiste un controllo dell'accesso in base al ruolo (RBAC - role base access control)?
- perchè i documenti non sono stati crittografati?
Anche in questo caso si tratta di un concorso di colpe: se il controllo dell'accesso ai documenti o la loro classificazione fosse stata più efficace, forse questa fuga di informazioni non avrebbe avuto luogo. Esistono procedure e strumenti per mettere in opera una classificazione delle informazioni veramente efficace nonché un controllo accessi efficiente.
Per illustrarvi come potrebbe aver avuto luogo la fuga di informazioni, vi faccio un paragone: un'ipotetica agenzia di una banca ha un sistema di sicurezza tale per cui, quando dei rapinatori riescono ad accedere all'interno degli uffici, vengono bloccate tutte le porte di accesso. Ad eccezione di una, perché è sfuggita in sede di analisi, o perché il cavo elettrico è staccato, o perché, ancora, erano finiti i soldi in fase di realizzazione, e l'ufficio dei Servizi Generali ha detto:"Ma sì, è una porta sola, e pure nascosta. Figurati se la useranno mai." I rapinatori, che hanno un basista all'interno della banca, lo sapevano e scappano da lì.
Le frodi e le fughe di informazioni avvengono anche (se non soprattutto) in questo modo: per disattenzione o incuria di chi deve controllare.
E quindi, dove sta la colpa?