La ricerca e analisi delle vulnerabilità di un sistema di Ict è un’attività preventiva essenziale per l’identificazione dei rischi e la definizione delle opportune misure per scongiurarli. La recente scoperta di due vulnerabilità nell’infrastruttura Microsoft Azure è un esempio emblematico in tal senso
La dipendenza dell’economia e degli altri settori considerati essenziali per un paese (sanità, energia, trasporti, finanza) dalle information and communication techologies (ICT) è un dato realistico. E – se mai vi fosse bisogno sottolinearlo – il fenomeno dell’Internet of things (IOT) ha fugato ogni dubbio in merito, con la compenetrazione delle ICT anche nell’ambiente “non biologico”, degli oggetti, dei luoghi. L’attività, umana e non, si svolge in buona parte attraverso le ICT.
Va da sé pertanto che la sicurezza dei sistemi di ICT – e di tutto ciò che da questi dipende – è una condizione necessaria per il funzionamento di una società, anche in ragione della sua tendenziale globalizzazione. Condizione che, sul piano pratico, richiede l’adozione, da parte di aziende e pubbliche amministrazioni, di un vero e proprio modello organizzativo di cyber security i cui processi si dispiegano dall’individuazione ex ante delle vulnerabilità dei sistemi alla definizione e applicazione di idonee misure allo scopo di evitare – piuttosto che correggere – il concreto manifestarsi di minacce con esiti di blocco dell’erogazione dei servizi ovvero di violazione di dati personali che potrebbero produrre conseguenze non desiderabili per l’organizzazione e i suoi interlocutori (clienti, consulenti, fornitori).
La linea guida “prevenire è meglio che curare” sembra aver avuto buon esito per Microsoft che, dopo l’individuazione nella propria infrastruttura Azure di due vulnerabilità, ha adottato le opportune misure di aggiornamento (patch) di tutti i moduli per riportare dati e servizi a livelli di protezione adeguati. Tali vulnerabilità, scoperte dai ricercatori di Check Point – Società israeliana che opera nel settore della sicurezza informatica – hanno riguardato sia una soluzione software (software as a service) denominata Azure stack, progettata dall’azienda di Redmond per supportare, dal proprio data center, le imprese nella fornitura di servizi Azure, sia un “servizio di piattaforma” (platform as a service) denominato Azure App Service, che offre all’utente le funzionalità tipiche per la creazione di nuove applicazioni software. Secondo le dichiarazioni della Check Point il primo difetto di sicurezza (recante il codice CVE-2019-1234) avrebbe consentito a un utente non autorizzato di accedere da remoto alle informazioni presenti in qualsiasi macchina virtuale in esecuzione; il secondo punto debole (codice CVE-2019-1234) avrebbe permesso a un aggressore di assumere il controllo del server Azure e di compromettere le applicazioni, gli account e i dati.
La vicenda “Azure” ci racconta come l’attività di ricerca e analisi delle vulnerabilità di un sistema di ICT (vulnerability assessment) – nel caso di specie, l’infrastruttura cloud di Microsoft – sia indispensabile per l’identificazione delle minacce e l’adozione di misure tecnico-organizzative idonee a ridurne la probabilità di accadimento e, in definitiva, i rischi per l’immagine dell’organizzazione e per i diritti e le libertà delle persone fisiche.
Nella prospettiva di una società che dipende dalle ICT, il ricorso a investimenti in cyber security ‘riparatori’, occasionali, “non cognitivi” è un rischio che le organizzazioni, private e pubbliche, non possono più permettersi di correre, ma che devono, invece, programmare alla stregua di una strategia di mercato, anche ricorrendo a soluzioni di outsourcing informatico ovvero di collaborazione e condivisione (networking) che permettono, in particolare alle piccole imprese, di superare le barriere economiche che sovente fanno optare per l’assunzione di un rischio divenuto ormai troppo elevato.