Il diluvio
Una serie di racconti legati al tema della sicurezza delle informazioni.
Il rumore della pioggia torrenziale copriva tutto il resto. Aveva incominciato a piovere durante la notte e non accennava a terminare. Erano quasi le dieci di mattina ma il cielo era talmente scuro da non far passare la luce.
Nella penombra della casa, priva di elettricità, Enzo camminava avanti e indietro nervosamente. Suo figlio Andrea e la moglie Chiara continuavano ad armeggiare con i cellulari, sperando in un ritorno del segnale.
“Fossi in voi non sprecherei così la batteria. E’ chiaro che deve essersi danneggiata l’antenna di Borgorotto, quella che copre questa zona.”
“Adesso ci credi che il clima sta cambiando? Quando hai mai visto piovere così?” gli rispose Andrea.
“Voi ecologisti siete sempre fissati con le vostre teorie! Cose del genere sono sempre capitate in un modo o nell’altro…”
“E’ la totale assenza di pioggia per mesi come te la spieghi? Anche quella è normale?”
Enzo fece un gesto, come per dire che ne aveva abbastanza di questi discorsi. Da quando Andrea era diventato un attivista contro il cambiamento climatico, i dibattiti tra padre e figlio erano divenuti interminabili. Per Enzo erano solo ragazzini che ancora non capivano nulla del mondo oppure gente che, non volendo lavorare, doveva trovare un modo per farsi finanziare da qualcuno.
Molto spesso faceva notare al figlio che lui, alla sua età, già pensava a trovare un modo per guadagnare.
******
I genitori di Enzo gestivano l’unico bar del paese di Trebettole, sperduto nella Bassa Padana, che era divenuto ritrovo di un po’ tutti quelli che passavano per la zona. Forse erano stati i discorsi strampalati di quella varia umanità ad accendere in lui il fiuto per gli affari, per i quali fin da ragazzo ebbe modo di dimostrare un certo talento.
Molti suoi coetanei si erano appassionati alla raccolta di figurine di calciatori; Enzo aveva capito subito che certe figurine erano più abbondanti e facili da trovare, mentre altre erano molto più scarse. Queste ultime costituivano il principale scoglio nel completare la raccolta, dato che non le si riusciva mai ad avere tutte. Essendogli stata regalata dai genitori una nuova bicicletta, decise di venderla e, col denaro ricavato, comprare tantissime buste di figurine. In tal modo riuscì a trovarne diverse rare. Col tempo queste divennero sempre più ricercate ed Enzo riuscì a venderle a dei collezionisti, facendoci un certo guadagno. Infine, dopo un paio di anni, vendette gli interi album completi, che erano ormai arrivati a prezzi decisamente più alti. Col ricavato riuscì a comperarsi il suo primo motorino.
Quella era stata la prima volta in cui aveva capito che, se si voleva guadagnare, non bisognava legarsi troppo strettamente alle cose ma si doveva essere disposti a disfarsene per un prezzo adeguato. Valeva tanto per la bicicletta che per le figurine e tutto il resto. Da lì era cominciata la carriera di Enzo Facchetti.
******
Dopo ore di tempesta, la pioggia diminuì di intensità. Enzo aprì la finestra per controllare la situazione; I Facchetti erano bloccati nella loro abitazione, una villetta su due piani, circondata completamente dall’acqua. I fiumi della zona erano usciti dagli argini e la pianura era diventata un lago esteso a perdita d’occhio. Anche le case vicine erano nella stessa situazione, con gli abitanti che ora stavano tutti affacciandosi alle finestre, rendendosi conto del disastro.
Dal cielo arrivò improvvisamente un rombo di motori e tutti alzarono lo sguardo: erano quattro elicotteri dei Vigili del Fuoco, venuti per salvarli.
Seguendo le indicazioni dei soccorritori, salirono sul tetto della casa per essere imbragati e recuperati dagli elicotteri tramite il verricello. Dopo diversi minuti di volo sulla pianura allagata, atterrarono al paese di Sesterano, dove l’argine aveva retto la piena ed era stato allestito un campo per radunare gli sfollati dei vari paesi allagati. Qui i Facchetti incontrarono diversa gente di loro conoscenza, tutti visibilmente scossi per il pericolo appena scampato.
******
Negli anni in cui impazzavano i Commodore e gli altri home computer, Enzo Facchetti era diventato lo spacciatore di videogiochi pirata della zona. Comprava quelli originali e li registrava (molti erano ancora su nastro magnetico) per rivederli a prezzi popolari; all’epoca le leggi anticontraffazione erano decisamente carenti…
Però questa esperienza lo spinse, qualche tempo dopo, a dedicarsi seriamente al settore informatico: lasciò perdere i videogiochi pirata e decise di imparare a programmare per realizzare i suoi propri software.
Venuto a sapere di un bando per la fornitura di software gestionale all’amministrazione provinciale, Enzo vi partecipò con la sua creazione: UfficioPiù. Si trattava di un programma che offriva delle funzioni avanzate e un’interfaccia più intuitiva rispetto ai sistemi gestionali proposti da altri. UfficioPiù lasciò tutti impressionati e vinse il concorso.
Si era agli inizi degli anni ‘90 e la tecnologia informatica progrediva rapidamente. Nei computer degli uffici, collegati assieme in reti locali, giravano sempre più dati e, contemporaneamente, divennero sempre più frequenti gli attacchi tramite virus e malware. Enzo teneva d’occhio il fenomeno, conscio che per poter vendere il suo software doveva garantire la massima sicurezza. Questo lo spinse a programmare una versione avanzata di UfficioPiù, dotata di maggiori difese nei confronti dei programmi malevoli più frequenti.
Fu una buona idea, poiché dopo qualche anno vi fu un susseguirsi di scandali a livello nazionale relativi a casi di corruzione nella pubblica amministrazione. Nei sistemi gestionali erano ovviamente inseriti anche i dati relativi alle retribuzioni di amministratori e funzionari. Per chi volesse fare un tentativo di corruzione, tali dati stavano a indicare il potenziale “prezzo” da pagare per avere dalla loro parte qualcuno. Anche se gli scandali colpirono un po’ dappertutto, le amministrazioni che avevano adottato il software di Enzo ne vennero toccate solo marginalmente, e lui era convinto che la cosa non fosse da imputare a una maggiore onestà degli amministratori locali ma al fatto che potenziali corruttori avevano avuto poche occasioni per tentarli. Se fu per questo motivo o per altro non è dato saperlo, ma fatto è che sempre più enti locali volevano utilizzare UfficioPiù (ormai arrivato alla terza versione) per la gestione dei loro dipendenti.
Il buon successo raggiunto negli affari coronò anche le soddisfazioni nella vita privata di Enzo: nel 1991 sposò Chiara, che aveva conosciuto due anni prima, e l’anno successivo nacque suo figlio Andrea.
******
A Sesterano la rete telefonica era stata ripristinata. A Chiara arrivarono diverse telefonate dai parenti, per sapere se stessero bene. Andrea si era messo a chattare con i suoi amici freneticamente. Anche Enzo decise di riaccendere il cellulare, che aveva tenuto spento per risparmiare la batteria. Appena connesso alla rete, fu sommerso da centinaia di messaggi e avvisi di chiamate ricevute. Alcuni erano da parte di amici e parenti, altri, molto più numerosi, da parte dei suoi collaboratori. Enzo allora cominciò a preoccuparsi, essendogli venuto un terribile presentimento…
******
Con UfficioPiù gli affari andavano sempre meglio: dopo le amministrazioni locali furono le aziende private a volerlo adottare, ed Enzo iniziò ad avere difficoltà a gestire le cose da solo. Per questo decise di trovare dei collaboratori che lo affiancassero nello sviluppo e nella programmazione del software, che richiedeva sempre continui aggiornamenti per stare al passo con i programmi malevoli. Con la diffusione di internet questi ultimi avevano una facilità di accesso ancora maggiore. I sistemi per la protezione dei dati utilizzati dalla Facchetti Software diventarono quindi sempre più sofisticati, garantendo una maggiore affidabilità nel riconoscimento dell’utente.
Nel frattempo, Andrea era cresciuto e aveva iniziato le scuole superiori. Qui diventò molto sensibile verso i temi della tutela ambientale e della lotta al cambiamento climatico. Si inserì in un gruppo di coetanei con le stesse idee e partecipò a varie manifestazioni, attività nelle quali metteva grande impegno. Purtroppo, non altrettanto avveniva nello studio; infatti il suo rendimento scolastico iniziò a calare. Questa cosa non faceva piacere al padre, che non mancava mai di rimproverarlo e di ridicolizzare il suo impegno ambientalista, facendo notare al figlio che alla sua età luì già si ingegnava per guadagnare qualcosa. Enzo inoltre era poco interessato ai temi del cambiamento climatico, evento sul quale nutriva dubbi di speculazioni da parte di aziende che si facevano paladine dell'ambiente solo per lucrarci sopra.
Dopo diverse versioni del suo software, Enzo si era reso contro che gran parte dell’efficacia delle sue contromisure verso i programmi malevoli dipendevano esclusivamente dall’esecuzione puntuale degli aggiornamenti da parte dei suoi clienti. Purtroppo, alcuni di questi tardavano nell’installare i pacchetti ed erano capitati casi in cui gli attacchi informatici avevano avuto successo. Come sempre, in queste situazioni, le vittime imputavano al programma UfficioPiù di non essere abbastanza sicuro, senza considerare la loro cattiva gestione.
Per risolvere il problema senza perdere la fiducia dei clienti, Enzo decise di realizzare una nuova versione del programma, che si sarebbe trovato su di un server collegato in rete, al quale gli utenti avrebbero potuto accedere pagando una quota mensile. In questo modo sarebbe stata la Facchetti Software ad occuparsi degli aggiornamenti, permettendo ai clienti di usufruire sempre del software più aggiornato possibile.
Ospitare un server così importante rese quindi necessaria la ristrutturazione degli ambienti, l’installazione di gruppi di continuità, sistemi di aerazione ecc. In questo Enzo non badò a spese, anzi fu maniacale. Quello che ne uscì fuori fu un locale talmente sicuro da essere soprannominato il “bunker atomico”, ubicato nel seminterrato dell’azienda.
In tal modo però la responsabilità della ditta nei confronti dei clienti era pressoché totale, e un singolo errore sarebbe stato imperdonabile. Certo, i singoli utenti potevano contribuire alla propria tutela facendo dei backup, ma questo sarebbe avvenuto a loro discrezione. Se prima Enzo criticava l’utilizzo errato del suo software da parte dei clienti e riponeva nei suoi metodi una cieca fiducia, ora il peso della responsabilità arrivò a farlo dubitare di sé stesso. Aveva paura che una singola falla nel sistema avrebbe potuto rovinare tutto. Per questo decise di fare numerosi backup dei dati contenuti nel server a intervalli regolari. I dati venivano salvati in unità esterne ospitate anch’esse nel sicurissimo bunker.
I timori legati alla sua attività professionale però continuavano a tormentarlo, spingendolo ad avere veri e propri attacchi di paranoia. Un giorno, per esempio, si accorse che una parete del bunker si era un po’ annerita, a causa dell’umidità. Questo lo portò a diffidare del sistema di aerazione e, nonostante tutti gli indicatori fornissero valori entro la soglia di sicurezza per la conservazione ottimale delle apparecchiature, decise di lasciare aperta la finestra a ribalta del seminterrato. La temperatura esterna era ancora ottimale; era il mese di ottobre di un anno caldo e poco piovoso, la gente non aveva ancora iniziato a indossare i cappotti e suo figlio continuava a ripetere che era tutta colpa del cambiamento climatico. Questo accadde proprio il giorno prima del diluvio.
******
Quando riuscì a contattare i suoi collaboratori, i suoi timori divennero realtà: i clienti avevano segnalato in massa l’impossibilità di accedere ad UfficioPiù. Era evidente che doveva essere successo qualcosa al server. Per quanto ne sapeva Enzo, la frazione di Viganello, dove era ubicata la sede della Facchetti Software, era stata risparmiata dalle peggiori conseguenze dell’alluvione. Tuttavia, era necessario andare a controllare. Probabilmente si sarebbero dovuti pagare i danni per il malfunzionamento, ma per fortuna la ditta era assicurata. Trovandosi privo di mezzi di trasporto, si fece venire a prendere in auto da un suo collaboratore, per fare un sopralluogo.
Quando arrivarono, tirarono un sospiro di sollievo: l’edificio sembrava in buono stato. Anche i locali seminterrati, ermeticamente chiusi, non avevano subito che qualche infiltrazione minore.
L’unico problema era la sala server: quando venne aperta la pesante porta tagliafuoco, una valanga d’acqua si riverso addosso a tutti. La sala si era allagata praticamente fino al soffitto, sommergendo il server e le unità di backup.
Solo allora Enzo si ricordò della finestra a ribalta lasciata aperta il giorno prima, e si maledisse. La colpa era sua se il locale non era chiuso ermeticamente come avrebbe dovuto, e la perdita dei dati era stata totale e irrecuperabile. Tutto quello che aveva realizzato in una vita era stato distrutto in un solo giorno di diluvio…
Questa storia di fantasia coglie alcuni aspetti relativi alla sicurezza delle informazioni. Il protagonista della storia, Enzo, è estremamente attento alle minacce portate dal malware in continua evoluzione; cerca quindi di avere il controllo assoluto sul proprio software per evitare che una gestione poco accorta da parte dei clienti rovini la reputazione al suo prodotto. Tuttavia, non considera i problemi correlati alle altre minacce, in questo caso le catastrofi naturali. Un’alluvione improvviso allaga la sala server e, cosa più grave, all’interno della stessa si trovavano anche le unità di backup.
Una gestione più accorta avrebbe portato a conservare queste ultime in un altro luogo sicuro. In tal modo, se è pur sempre possibile che alcuni asset vengano colpiti da eventi imprevedibili, è molto più difficile che la perdita di questi vada a compromettere tutta l'attività.
La linea guida UNI CEI EN ISO/IEC 27002 contiene le best practice di applicazione dei controlli dell'Allegato A dello standard ISO/IEC 27001 Sicurezza delle informazioni, cybersecurity e protezione della privacy - Sistemi di gestione per la sicurezza delle informazioni.
Il racconto di Enzo nasconde una morale che ci aiuta a ragionare all'applicazione di un Sistema di Gestione per la Sicurezza delle Informazioni.
Partiamo dall'analisi del rischio, la base da cui un'organizzazione dovrebbe partire per affrontare e prevenire i rischi che impattano sulla riservatezza, integrità e disponibilità delle informazioni. L'analisi dovrebbe portarci a un'approfondita identificazione delle minacce, tra le quali dovremo valutare il rischio di calamità naturali come allagamenti, terremoti e incendi. Il lettore avrà sicuramente già individuato nel racconto il primo collegamento al mondo della compliance.
Tra tutti gli altri riferimenti ai controlli previsti dalla normativa che potremmo individuare nel racconto, la cui scoperta lasciamo ai più attenti, decidiamo di citarne due:
1) Controllo 7.1 Perimetro di sicurezza fisica - le organizzazioni dovrebbero definire i perimetri di sicurezza per proteggere le aree che contengono le informazioni e gli altri asset relativi.
2) Controllo 5.30 Prontezza dell’ICT per la continuità operativa - le organizzazioni dovrebbero pianificare, attuare, mantenere e testare i sistemi informativi in modo da garantire la disponibilità delle informazioni in caso di interruzioni.
La sala server della Facchetti Software, nonostante l'impegno di Enzo, purtroppo non è stata progettata in conformità allo Standard ISO 27001. Non solo per la resilienza alle calamità naturali, nel nostro caso il diluvio, ma anche per non aver previsto un sistema di Disaster Recovery delocalizzato, il quale avrebbe garantito la continuità operativa dell'azienda anche in caso di distruzione del data center principale. In merito alla Continuità Operativa esiste uno specifico standard ISO integrabile alla ISO 27001 che prende il nome di Sicurezza e resilienza - Sistemi di gestione per la continuità operativa UNI EN ISO 22301.
Non ultimo ricordiamo che nel mese di febbraio ISO ha approvato una risoluzione per rispondere alla necessità di considerare l'effetto dei Cambiamenti climatici sulla capacità di raggiungere i risultati attesi dal sistema di gestione.
Note tecniche al Sistema di Gestione per la Sicurezza delle Informazioni a cura di Edoardo Ferri