Sicurezza IT, Italia, a che punto siamo?
Riflessione un po’ caustica sullo stato della sicurezza (ovviamente IT) nel nostro bel paese: pizza, mandolino, ARP spoofing.
Mi sono ripromesso molti mesi fa di riflettere su un articolo di Wired del mese di Marzo ’15 (e arrivi solo adesso?) che parlava di “Cyber Insicurezza”, la sapiente mano che lo ha prodotto è quella di Carola Frediani che apprezzo e ringrazio per il contributo che sta dando alla divulgazione di certi temi in questo paesotto chiamato Italia; dove la privacy è una legge e non un diritto e dove la sicurezza IT viene cassata con frasi del tipo “ma da noi non è MAI successo niente” relegata a mero costo (commodity direbbe qualcuno).
Perché caustico?
Ho la pretesa di capirci qualcosa (volano parole grosse) e di aver visto molto con gli occhi di questa faccia da percepire l’immane scollamento che c’è tra la percezione della sicurezza IT in azienda (NB: quando parlo di sicurezza mi riferirò esclusivamente al mondo dell’informatica) e l’effettivo livello di presidio e controllo posto a tutela degli asset aziendali (materiali ed immateriali).
E quindi?
Quindi eviterò di dire “non si sta facendo abbastanza” o “si può fare di più” come molti vendor fanno semplicemente per aumentare il livello di awareness così che ti possa rifilare quel “prodotto miracoloso” o quella “consulenza strategica”.
Io ho proprio la personale percezione che non si stia facendo un bel niente e che l’efficacia di quello poco che si sta facendo è talmente bassa da dare un falso senso di sicurezza che è assolutamente forviante e controproducente.
Ma andiamo per gradi (ripercorro i punti trattati nell’articolo).
Questione di SOC, ma forse è un MSSP
“Abbiamo un SoC esterno che copre le nostre esigenze in termini di monitoraggio e presidio”… disse l’IT manager mentre un amministrativo si beccava un ransomware aprendo l’allegato della mail “Fattura DHL”.
Che la sicurezza non sia un prodotto ma un processo è stato detto fino allo sfinimento, ed è quel genere di frase che un consulente IT (middle top management) usa per staccarti qualche giornata o più di gap analysis, security planning o di compliance assessment.
I SoC sono visti come il primo bastione, spesso ed erroneamente considerato quello più importante, in tema di presidi tecnici, ma faccio un distinguo.
Quello che molti chiamano SoC spesso è classificabile come poco di più di un MSSP (Managed security service Provider).
Vi spiego la differenza in due passaggi. Se un SoC, ben strutturato e con personale qualificato è come una squadriglia di frecce tricolori
Un MSSP è poco più di un ISP con qualche struttura di monitoraggio e presidio in termini di allarmistica, ed è una cosa simile a questa:
Comunque per tornare a noi, il fatto di dare i servizi di security in outsourcing è funzionale principalmente tre tematiche:
- l’incapacità di gestirlo internamente (mancanza di knowhow)
- la mancanza di risorse (tema oramai sclerotizzato a tutti i livelli)
- lo scarico di responsabilità sulle spalle di un terzo (adeguatamente coperto da assicurazione sui rischi industriali)
Sui primi due soprassiedo visto che sono la benzina che tengono in vita molte delle aziende di consulenza più blasonate, che in realtà fanno poco più che body rental (ma ci torniamo).
L’ultimo punto è la questione che veramente mi disarma (da uomo e da consulente).
Capisco che i temi di compliance siano, nella maggior parte dei casi di chi ha un’esigenza di questo tipo (banche, assicurazioni, PA illuminata… stop), il vero motivo per cui si legano i temi di business ai temi di rischio IT e, quasi di conseguenza, spuntano parole come three line of defence e security.
Allora com’è possibile che non si abbia la benché minima cognizione del tipo di partita che stiamo giocando?
Qualche stratega della guerra dice, oramai senza rischio d’essere smentito, che il “cyber” è uno dei piani su cui si combatte una guerra dopo (o forse prima di) terra, mare ed aria.
Sento, nelle conferenze markettare o di socialmedia qualcosa, che non esistono clienti tradizionali e clienti digitali ma solo clienti e puttanate (scusate) new age sulla comunicazione integrata, sulla multi canalità su quello che volete.
Come mai dunque, nella difesa di asset immateriali (come potrebbe essere il denaro) lo scopo è solo quello di essere compliant con la normativa, “altrimenti ci sanzionano”?
Come mai la security è una commodity?
Quindi, in quanto commodity, “mi prendo un SoC” (che non è altro che un MSSP e magari fornito dal mio stesso carrier di connettività) che almeno mi permette di coprire, con il minimo dei costi, i rischi legati a quel tipo di minacce tecniche “tanto poi c’è l’assicurazione”.
Personalmente non ho mai visto un outsourcer che gestisce la security rispondere ad un attacco ben strutturato:
- se parliamo di DDoS si è pressoché passivi nella maggior parte dei casi fatto salvo qualche cambio di rotta per “lavare” il traffico;
- se parliamo di SQL Injection o di sole Injection, magari il ragazzino che sta utilizzando sqlninja lo blocchi ma appena questo aggiunge qualche parametro per trasformare le chiamate da “clear” in blind, addio;
- se parliamo di insider threat, se uno da dentro “si fa beccare” stava poco più che giocando con Kali perché da dentro non c’è SoC che tenga nella maggior parte dei casi (e i motivi di quest’affermazione potrebbero essere spunto per un nuovo scritto).
“Però sono compliant alla normativa e nessuno può sanzionarmi in caso di data leakage”, perché posso dimostrare che ho fatto quanto nelle mie possibilità per mitigare l’accaduto ex ante ed ex post, tema ben diverso dall’aver fatto tutto per coprire il risk appetite dell’azienda.
NB: In uno scenario di cyber warfare la compliance IT te la mangi la mattina inzuppata nei biscotti.
Questione spionaggio, IXP e infrastrutture critiche
Nell’articolo si parla poi degli IXP (internet exchange point).
Per chi non lo sapesse sono i nodi centrali per cui passa la maggior parte del traffico Internet nazionale.
Sono il single point of failure di internet? No o almeno non del tutto.
Sono il single point of failure della privacy? Assolutamente si, o per essere più didascali lo sono i transit provider disattenti e/o conniventi.
Se devo trovare un punto solo dove andare a pescare tutte le comunicazione di una fetta di popolazione andrei proprio in questi luoghi.
Posti dove la sicurezza è presa sul serio, nella maggior parte dei casi, ma posti dove si narrano di router collegati e funzionanti, abbandonati sotto il pavimento flottante, collegati ai rack delle tante aziende, e a linee esterne sconosciute, che lì arrivano e che da lì ripartono per collegarsi verso il mondo (nell'articolo si allude all’NSA ma perché la Germania e l’Inghilterra non fanno altrettanto?).
Da qui estenderei il discorso ad un mondo a me meno noto — ma non del tutto sconosciuto — come quello delle infrastrutture “critiche” (es. gasdotti, acquedotti, dighe, centrali e cabine elettriche, SCADA in generale) e a tutti quelli che sono infrastruttura critica e non lo sanno.
Dalle “cabine” delle telco accessibili con badge di fornitori terzi mai disattivati alle sale di pompaggio e filtraggio dell’acqua accessibili scavalcando una rete di un metro, senza sicurezza perimetrale, senza allarmi e senza videocamere.
Sistemi di monitoraggio di queste infrastrutture abbandonati sopra un tavolinetto di legno accanto a PLC Siemens con le password attaccate sui post-it o scritte sotto i tappetini del mouse.
Sistemi talmente vecchi che dire fuori produzione è un eufemismo, senza patch per nuove vulnerabilità e senza nemmeno quelle vecchie, la cui unica fortuna è, nella maggior parte dei casi, quella di essere sconnessi dalla rete internet e se lo sono, essa risulta talmente lenta e traballante da non permettere nemmeno la propagazione di malware più moderni che pesano comunque svariati MB e che non riescono a diffondersi a 56Kb/s.
Chi le gestisce queste infrastrutture critiche? Consorzi o multiutility.
In quest’ultimo caso trattandosi di società gestite da PA o partecipate da, con i temi che corrono e con i bilanci tagliati — vai di luoghi comuni — c’è poco da sperare in un miglioramento e non voglio menzionare la mala gestione, azz no l’ho fatto.
Anche qui, si produce carta su carta per essere compliant con la norma, “così il dirigente ha le spalle coperte” ma di concreto, innovativo, utile o usabile nulla da rilevare.
Questione mercato
E se pur avendo la percezione del fatto che qualcosa non va e volessi migliorare?
Qui la nota dolente. Il mercato della sicurezza in Italia è particolarmente parcellizzato e diviso principalmente in tre categorie di player:
- Grandi compagnie di consulenza
- System integrator di settore
- Boutique specializzate
Le Grandi compagnie di consulenza si occupano principalmente del mercato delle grandi aziende i cui manager (middle e top) hanno necessità si supporto per mettere in pratica (o addirittura stilare) i piani di sicurezza delle rispettive compagnie.
Cosa fanno nella realtà queste società? Entropia.
Se da un lato la riduzione dei budget e la riduzione delle fee fa si che questa fascia di mercato venga aggredita dalle compagnie “più piccole” il contrattacco che mettono in campo questi player sposta il gioco sul terreno del body rental — appannaggio dei system integrator — ossia: pur di mantenere un piede dentro le aziende con cui collaborano abbassano i ricavi vendendo persone a supporto dei progetti di sicurezza.
In questo contesto, cominciano a fare capolino figure come il PMO, cioè la baby sitter che la società di consulenza presta alla compagnia per portare a termine i progetti che man mano si vanno formando.
Poco importa se la manodopera in questione non è specializzata, anche alle aziende fa comodo disporre di manovalanza, a caro prezzo, che permettano di smuovere le sclerotizzate strutture organizzative in cui sono costretti ad operare i manager aziendali.
Poco importa se spesso le attività di progettazione e di indirizzo strategico della sicurezza viene lasciata in balia della società di consulenza che dispone di un canale privilegiato per vendere la propria visione del mondo IT, con il solo scopo di aggiungere progetti a progetti.
Cosa importa al manager IT aziendale? Poco o nulla anzi, si sente molto coperto dal supporto, spesso internazionale, che compagnie di questo tipo offrono; a quel punto il manager si limita a coordinare e veicolare nei canali aziendali la propria necessità di budget e se le cose vanno male c’è lo “scarico a terra” della frase: “è stato il consulente a suggerirmelo”.
Quindi ci troviamo in una situazione dove le grandi aziende si affidano ai grandi e blasonati gruppi consulenziali per disporre di manodopera non specializzata, pagata cara, che ha il solo scopo di erodere budget e produrre carta (a titolo non esaustivo: processi, procedure, piani) con la finalità di giustificare la spesa e di essere compliant con la norma o lo standard di turno. Di rimando la società di consulenza fornisce alla struttura aziendale un ridotto apporto innovativo, spesso lasciato allo slancio dei singoli consulenti, che non giustifica quasi mai l’investimento. Inoltre tali società di consulenza riescono a dare supporto laddove per un qualche motivo si renda conto al manager aziendale del suo operato.
Situazione Win Win tra manager e società di consulenza, apporto innovativo ridotto, competenze al minimo, grandi budget erosi per produrre poco o nulla, morale si produce in azienda la sensazione per cui la sicurezza non serve a niente, costa e ci fa perdere business.
I System integrator si occupano principalmente del mercato delle aziende high e mid range e sono storicamente più vicini alle operation IT della compagnia di turno.
Il loro scopo dovrebbe essere quello, tipicamente, di far funzionare le cose o di tramutare in pratica quanto progettato e pianificato dal middle top management del cliente (supportato dalle società di consulenza).
Qui il concetto di supporto strategico sparisce nella quasi totalità dei casi lasciando spazio al body rental selvaggio. Il pricing è l’unico dio/vettore decisionale e lo scopo, come per il caso precedente, è sempre quello di drenare budget (creare valore proprio non è un concetto che è passato a nessuno minimamente per la testa fino a qui) e produrre qualcosa che sia quanto più vicino e confrontabile con le richieste che vengono dall’alto.
Gli specialisti qui ci sono e cominciano ad essere più presenti in aree verticali (spesso di prodotto) ma sono comunque una quota ridotta delle risorse messe in campo sui grossi clienti o sui grossi progetti di lungo respiro.
Le attività operative vengono pianificate ma cambiano mostruosamente al variare delle idee della grande società di consulenza, in un butterfly effect degno della filmografia hollywoodiana: cambi una slide e muore un progetto.
Dal canto loro per riuscire a sbarcare il lunario mantenendo delle marginalità degne di questo nome prendono manodopera non specializzata pompata al giusto livello affinché riesca a sostenere una conversazione mediamente tecnica con il manager aziendale di turno, tanto spesso a quei tavoli quasi nessuno ne capisce granché e sapere un epsilon — piccolo a piacere — in più degli altri equivale ad essere un guru.
L’apporto dei system integrator è importante in termini di capacità di delivery visto il sedimentato di infrastruttura che spesso — anzi sempre — si trova all'interno delle aziende in cui operano, per farla breve, spesso il risultato lo portano a casa ma a scapito ovviamente della qualità. Se vi è mai capitato di subire o fare un assessment di sicurezza sui sistemi sviluppati da un terzo sapete di cosa sto parlando, anche se, ad onor del vero, anche fossero fatti sui sistemi sviluppati internamente non ci sarebbe grossa differenza, tuttavia in quest’ultimo caso “un colpevole” lo si trova.
Situazione Win Win tra responsabili di struttura e società di consulenza che comunque portano a casa un risultato per giustificare la spesa, apporto innovativo circoscritto al prodotto/servizio, competenze al minimo, grandi budget allocati e sprecati, morale, si produce in azienda la sensazione tipica de la sicurezza costa troppo e ci fa perdere di competitività.
Le Boutique lavorano in maniera verticale su di una soluzione tecnologica e/o di processo. Spesso legati a qualche fuoriuscito dalle società sopra elencate che hanno una competenza tagliatissima su di un ambito.
Il loro mandato è quello di fare il MacGyver della situazione, una figura spesso esterna al contesto che, in una situazione di difficoltà salva tutti con una garza e un po’ di nastro adesivo — pezze insomma.
Lo scopo è supportare i primi due tipi di soggetti (società di consulenza e system integrator) nel raggiungere l’obiettivo.
Nel primo caso sono le verticalità a cui alludevo (quando non presenti internamente). Lupi solitari utilizzati one shot per rinforzare il team di consulenza e per fornire, in molti casi, il vero valore aggiunto all’interno di una commessa.
Nel secondo caso sono le persone a cui viene sub-appaltata una parte delle attività, magari solo una PoC (proof o concept) che poi viene smembrata e riprodotta in maniera industriale.
Competenze elevate e budget ridotti (l’esatto opposto di quanto visto fin ora), vengono catapultati su di una carrozza in corsa nella speranza di riprendere le redini della situazione qualche volta ci riescono, molto spesso si schiantano con tutto il carico contro un muro o volano giù da un dirupo.
Spesso hanno poca dimestichezza degli ambienti in cui vengono adoperati e quasi mai hanno la possibilità di fare attività client facing, anche perché è difficile parlare il managerialese e se non pradroneggiato potrebbe tramutarsi in un boomerang.
Situazione Win Win tra loro e l’utilizzatore finale delle loro attività, qualora si riesca a raggiungere l’obiettivo. In tutti gli altri casi sono lo scarico a terra del manager dell’azienda di consulenza o del system integrator che hanno la necessità di giustificare il mancato raggiungimento delle marginalità o, nei casi peggiori, la perdita del cliente.
Poco budget, grandi aspettative e alto rischio fanno si che l’attività sia di per se poco remunerativa. I veramente bravi riescono ad emergere e magari farsi acquisire da qualche pesce più grande (per noi sclerotizzarsi nelle posizioni sopra espresse), gli altri, se non muoiono, migrano da cliente a cliente sopravvivendo, producendo la sensazione in azienda del ma i consulenti non sono buoni a niente e non riescono mai a raggiungere un obiettivo spesso fomentata dagli stessi lupi solitari — magari guru riconosciuti “dal mercato” — di cui sopra che vedono il cliente solo come una mucca da mungere che pensano solo alla continuation (ma accade anche per gli altri due casi, la continuation è più importante del lavoro attuale).
Conclusioni?
Poche e sconsolate.
Da una lato vedo un sistema paese ultra normativo che non è nemmeno in grado di far rispettare quanto da esso legiferato.
Agenzie, organi, istituti di controllo sono inefficaci, burocratizzati (quando non politicizzati) e privi di ogni potere sanzionatorio e di verifica effettiva, senza parlare delle competenze effettive che servirebbero per fare queste attività.
Dall'altro vedo un mercato dominato dall'incompetenza che ha il solo obiettivo di servire il cliente, non per i fini per cui viene coinvolto su di un determinato progetto, ma per soddisfare la propria fame di marginalità e fungendo da parafulmine per il manager di turno, creando zero valore e incapaci di generare strumenti in grado di evitare che frasi come:
“ma da noi non è MAI successo niente”
non vengano più pronunciate, bontà nostra.
