Le fragilità dell’IT: come difendersi dagli incidenti del genere “CrowdStrike”

“The blue screen of death” apparsa sui computer Windows di milioni di aziende per via di un bug nell’aggiornamento di una funzionalità della piattaforma di sicurezza CrowdStrike Falcon Sensor a fine luglio, ha gettato nel panico gli utenti IT di mezzo mondo. Ma non solo: per i CIO, l’episodio – un tilt causato da un difetto nelle procedure di test precedenti al rilascio, come chiarito dalla stessa società della cybersicurezza CrowdStrike ha rappresentato l’ennesimo monito su quante fragilità si nascondano nei sistemi informatici. La prima debolezza è, sicuramente, la dipendenza da pochissimi fornitori software, che può finire col bloccare milioni di aziende più o meno essenziali per il funzionamento delle nostre economie, come compagnie aeree, banche, ospedali, operatori telefonici, della logistica e del commercio. Ma non solo.

“Noi per fortuna non siamo stati impattati, perché abbiamo sistemi diversi da CrowdStrike, ma l’episodio ha dato da pensare a tutti: ci si rende conto di come sia fragile tutta l’infrastruttura IT, nonostante i milioni spesi in sicurezza”, afferma Sonia Belli, IT Director di Qubica AMF, uno dei maggiori produttori mondiali di piste da bowling. “Se oggi ci togliessero Internet non faremmo più nulla, visto che tutto è in cloud e tutto è interconnesso. I contingency plan ci sono, ma spesso non vengono aggiornati o testati in modo da garantire una vera resilienza”.

Da questo punto di vista, aiuterà sicuramente il Cyber Resilience Act [in inglese] europeo (approvato già dal Parlamento dell’UE e in attesa di via libera del Consiglio): per i prodotti più critici l’immissione sul mercato comporterà verifiche a priori, documentate e di terza parte, per dare maggiori garanzie sia dal punto di vista della progettazione che dei processi di realizzazione e test. Inoltre, nel caso di un incidente come questo, sarà molto più semplice, per le autorità di controllo designate, indagare sull’accaduto e, eventualmente, richiedere azioni di miglioramento o ritirare il prodotto dal mercato. Il Cyber Resilience Act (che si prevede entri in vigore entro la fine dell’anno e in applicazione nel 2027) è un complemento al quadro normativo della Direttiva NIS2.

L’IT è fragile: troppa dipendenza da pochi vendor

La stessa Microsoft si è chiesta come intervenire per ridurre la concentrazione del rischio: pur non essendo la causa del problema, anche la società di Redmond ha bisogno di rendersi resiliente rispetto a operatori che accedono al kernel del suo sistema operativo, per esempio disaccoppiando le componenti. Una strategia che può essere valida, in generale, per tutti i sistemi IT.

“Le aziende rischiano di essere dipendenti da un numero troppo basso di fornitori sempre più grandi e di essere guidate da questi nei contratti e nei livelli di servizio”, osserva Stefano Epifani, Presidente di Fondazione per la Sostenibilità Digitale, la prima fondazione riconosciuta di ricerca in Italia dedicata ad approfondire i temi della sostenibilità digitale.

Molti CIO riconoscono il rischio della dipendenza. Anzi, la dipendenza dai “soliti vendor” è tale che molti si sentono “sotto ricatto” e chiedono di lasciare i loro commenti anonimi per non urtare la sensibilità di fornitori da cui non possono sottrarsi perché “non esiste vera alternativa”, dai grandi sistemi operativi al cloud alle maggiori piattaforme gestionali. Nella PA il problema è ancora più sentito: i CIO sono legati alla piattaforma di acquisti di Consip che, di fatto, aggrega le offerte dei grandi vendor. Proporre un fornitore alternativo, non presente sulla piattaforma, diventa più difficile, anche quando il CIO, a ragion veduta, lo ritiene valido.

Con i fornitori servono le soft skill

“Ci sono, a mio avviso, due elementi di contesto a cui porre attenzione, dai quali ne derivano altri più specifici”, commenta Cecilia Colasanti, CIO di Istat, l’Istituto italiano di statistica. “Il primo concerne la nostra dipendenza, di fatto strutturale, dall’uso di strumenti digitali. Il secondo, legato in modo inscindibile al primo, riguarda la velocità a cui siamo ormai abituati dall’uso dei mezzi digitali. Con la stessa rapidità con la quale si propaga una notizia, si può propagare un errore o qualsiasi altro processo che, una volta partito, non controlliamo più. La recente vicenda CrowdStrike, ma non solo, lo dimostra. Consapevoli di questi aspetti, è sicuramente importante, per la mia esperienza, che il CIO ponga attenzione, tra gli altri, almeno agli aspetti di sicurezza e affidabilità degli strumenti digitali che utilizziamo, all’applicabilità effettiva delle norme che, quantomeno in Europa, hanno l’ambizione di regolare gli effetti dell’uso di tali mezzi, ai loro costi e alla dipendenza da chi, questi dispositivi e questi servizi li fornisce, ovvero il cosiddetto vendor lock-in”.

Per Colasanti, mentre l’impegno a mantenere sicuri i sistemi o ad applicare correttamente le norme richiede, principalmente, una competenza tecnica di settore, mitigare gli effetti del vendor lock-in necessita anche di una “visione strategica” e di una capacità di negoziazione, ovvero di soft skill.

“Avere più alternative possibili e bilanciare la bontà delle soluzioni scelte con clausole contrattuali che abilitino la portabilità dei software e dei dati su diverse piattaforme sono senz’altro elementi su cui far leva”, sottolinea la CIO. “Certamente non è semplice, tenendo conto che, spesso, le proposte dei vendor di cui più temiamo il lock-in sono le migliori e che la portabilità non è facile da abilitare”.

“Affrontare la solidità informatica nel design, tenendo in considerazione aspetti legati all’indipendenza da vendor o fornitori tecnologici, è oggi un tema critico dell’IT”, osserva Rosario Pingaro, CEO e CIO di Convergenze, operatore di telecomunicazioni del Sud Italia (fornisce servizi internet e telefonia per privati e imprese, ma anche energia verde e gas naturale). Secondo Pingaro, è consigliabile affidarsi all’open source quanto più possibile, “poiché è più resiliente a problemi sistemici”.

Oltre la vicenda CrowdStrike: le trappole del cloud

Una grande fragilità potenziale è nei servizi in cloud, perché possono deresponsabilizzare l’IT rispetto alla gestione delle infrastrutture, secondo Epifani.

“Il CIO non deve mai dimenticare che, anche se usa un fornitore esterno, ciò non lo esime dall’avere all’interno figure che sappiano come gestire sia il cloud che il cloud provider”, evidenzia l’esperto. “Può succedere che un intero sistema vada in tilt per l’aggiornamento di un singolo componente, che, per quanto in cloud, andrebbe sempre testato in ambiente protetto, non delegando alla speranza che il cloud provider abbia pensato a tutto”.

Non che ai CIO sfuggano le “trappole” del cloud. Infatti, qualcuno comincia a pensare al cosiddetto de-cloud o cloud exit.

“Il cloud richiede tante skill”, osserva Alan Girard, IT & Cybersecurity manager di Nital, azienda che importa, rappresenta e commercializza in Italia circa un centinaio di brand di tecnologia di consumo, tra cui Nikon, iRobot, DJI, Sonos, Polaroid, Ezviz. “All’inizio il cloud ha conquistato facilmente i CIO con la promessa di risolvere tanti problemi delegando, ma col tempo si è visto che non è così”.

La difficoltà, secondo Girard, sta sia nelle competenze specifiche che la gestione della “nuvola” richiede, sia nei costi: si paga il provider e, al tempo stesso, si spende sull’IT legacy, che non è mai del tutto eliminabile.

Quanto possiamo demandare all’AI?

Proprio la carenza di competenze è una delle fragilità dell’IT e acuisce gli effetti della dipendenza da pochi grandi fornitori. Infatti, è più facile trovare esperti nei sistemi dei grandi della tecnologia che di tecnologie alternative. Per esempio, è più difficile reperire professionisti che sappiano lavorare con Linux e l’open source in genere.

“I talenti non si trovano, e quei pochi che ci sono sono ambiti”, afferma Belli. “Forse si dovrebbe investire di più sulle scuole professionali e formare gli studenti in base alle esigenze del mercato: il sistema dell’istruzione non riesce a tenere il passo dei cambiamenti tecnologici. Per le aziende è una sfida riuscire a creare e trattenere le risorse migliori”.

Ma ci sono fragilità ancora maggiori, secondo Belli. “In via generale, metterei al primo posto la sostenibilità ambientale e, a seguire, la sicurezza informatica a tutto campo, in termini di sistemi, networking e formazione interna degli utenti”, afferma la manager. “Il caso CrowdStrike da questo punto di vista è un invito a non demandare troppe procedure all’AI se si vuole garantire la cyber resilienza”, prosegue Belli. “Dovrebbe esserci una chiara governance nei rilasci e nei test per garantire Zero Errori. Ciò fa riflettere sul fatto che le verifiche sono sempre più automatizzate con l’AI perché ritenute di basso valore aggiunto, ma forse non dovrebbe essere così. L’AI è una tecnologia che dobbiamo imparare a usare al meglio, governandola”.

Il debito tecnologico e la cyber resilienza

Per Colasanti esiste anche una questione di debito tecnologico.

“Tante aziende continuano a gestire e manutenere progetti basati su linguaggi datati, dai quali è difficile cambiare, perché hanno, spesso, un alto impatto sui clienti; tuttavia ciò impedisce anche di innovare”, avverte la CIO. Ma, ancora più pesante, è la debolezza generata dalla complessità dell’IT: “È un costo organizzativo e di gestione: ci sono tanti layer software che vanno gestiti e integrati tra loro con competenze tecniche altamente specialistiche”, nota Colasanti.

La questione si intreccia, dunque, con quella delle competenze e del ricambio generazionale nelle imprese pubbliche e private: le nuove specializzazioni dell’IT esigono attività di reskilling e upskilling e l’introduzione di nuove leve.

Il debito tecnologico, a sua volta, è un rischio per la cybersicurezza, osserva Raffaele Todisco, ex CIO del gruppo alimentare La Doria e oggi consulente IT.

“Un problema dell’IT è che molte imprese presentano ancora soluzioni obsolete dell’infrastruttura tecnologica, il che le espone a maggiori rischi cyber”, evidenzia Todisco.“In aggiunta, gli ambienti produttivi registrano anche una scarsa integrazione delle componenti hardware e software, che, oltre ad aumentare i rischi di attacchi, contribuisce a ritardare l’innovazione digitale in tema di Smart Manufacturing. Quindi, non c’è alternativa: i sistemi IT obsoleti, pur se ancora funzionanti, devono essere sostituiti attraverso un investimento irrinunciabile, sistematico e ricorrente, e occorre che le aziende siano più concrete nell’avviare progetti esaustivi in ambito produttivo”. 

La complessità dell’IT e la “ridondanza totale”

Per questo, secondo Todisco, un compito fondamentale del CIO è convincere il CEO che occorre un budget adeguato per l’innovazione digitale, partendo dall’infrastruttura tecnologica.

“Il CIO deve gestire una complessità crescente e deve garantire la continuità del servizio e la protezione dei dati”, dichiara il manager. “Il disastro informatico può essere anche legato a un cattivo aggiornamento dei sistemi, come accaduto con Crowdstrike, e possiamo solo immaginare le conseguenze se il blocco fosse durato giorni anziché ore. Sono evenienze a cui bisogna pensare prima. I CEO tendono ancora a non rendersi conto che l’IT è diventato pervasivo, e che, per evitare incidenti e garantire continuità, servono progettualità e investimenti mirati, non dando per scontato che i sistemi siano sempre disponibili, senza fermi e senza problemi. A mio avviso, il problema maggiore è rappresentato dalla tendenza a minimizzare la complessità crescente dell’insieme delle componenti ICT. Questa è la madre dei rischi IT”.

La complessità è esacerbata non solo da un’inefficiente stratificazione di sistemi vecchi e nuovi, ma anche dalla necessità di applicare una logica estesa di “ridondanza”, ovvero, sottolinea Todisco, “non solo backup dei dati e duplicazioni per la business continuity, ma anche più fornitori per lo stesso prodotto o servizio, in modo da evitare il black-out totale”.

“Il CIO deve pretendere un’organizzazione interna per pianificare e controllare la governance e l’evoluzione dei sistemi. Non essendo più possibile gestire dall’interno, occorre coordinare la complessità selezionando accuratamente e continuamente i partner esterni, adottando la logica dei backup anche per i fornitori”, afferma Todisco.

In Convergenze, che appartiene al settore delle telecomunicazioni, Pingaro ritiene utile affidarsi a soluzioni standardizzate di software defined-network, che siano vendor-agnostic al fine di rendere l’infrastruttura solida, e richiedere percorsi di rete differenziati, oltre che forniti da provider diversi, e privi di elementi condivisi per collegare i vari elementi, in modo da riuscire a dominare eventuali fault geografici con una completa diversificazione e ridondanza.

Anche per Epifani vale la logica della duplicazione; per esempio, più che un solo cloud provider, meglio il multicloud, che è più complesso da gestire per l’IT, perché occorre rendere interoperabili architetture diverse, ma è più resiliente, poiché protegge dal rischio di un fornitore che si blocca. “E occorre ridondanza su applicazioni e sistemi: anche nella cybersicurezza, non limitarsi allo stack tecnologico del vendor, ma guardare oltre, aggiungendo prodotti alternativi che facciano da back-up”, sottolinea il Presidente di Fondazione per la Sostenibilità Digitale.

Le “fragilità” più o meno nascoste dell’IT richiedono, in definitiva, un CIO brillante che non spenga mai la sua attenzione: “Il nodo è negli skill e nei costi”, afferma Epifani. “Il CIO deve saper spiegare al CEO che la tecnologia è complessa e non è una commodity, ma ha bisogno di grandi competenze, ovvero di persone che la controllano”.



Source link