Paolo Perego Follow Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

La sicurezza ora è Cyber

Photo by on Unsplash

927 parole - Lo leggerai in 5 minuti

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione di un polo di eccellenza nel campo ICT Security. Gli obiettivi, molto interessanti: favorire startup che si occupano di security, creare occupazione, creare opportunità in un mercato, quello della sichiuriti, che purtroppo in Italia è tanto bistrattato quanto frammentato.

Tutto quanto bellissimo, ma perché parliamo di Cyber Security o, nella più indecente delle italianizzazioni, sicurezza cibernetica?

Ciberneticamente tuo

Sicurezza informatica. Tu parla di questo e si capisce che non stai parlando di controllo accessi, video sorveglianza o vigilanza privata. Vuoi fare l’internazionale? Parla di ICT Security.

Ma perché Cyber? Soprattutto, perché tradurre in cibernetica?

Non riuscirò mai ad afferrare a fondo, il motivo per il quale le persone che si occupano di sales, abbiano bisogno di dare un’arricchita al proprio deck di slide introducendo una buzzword nuova che descrive concetti vecchi. Non riuscirò mai neanche a capire perché poi tutti si affannino a cambiare la propria job description su LinkedIN non appena la nuova buzzword prende piede.

Mi hanno detto che si parla di cyber security, perché è la sicurezza che avviene nel cyber spazio. E io che pensavo ad Internet, che ingenuo. E’ una sicurezza quindi che avviene in un luogo etereo, fatto di misticismo dove appliance anti APT ci proteggono da tutti i mali e puoi essere felice che il fairuol sarà lì a difenderti.

In questo cyber spazio gira brutta gente, che ti mette il malware nel MacBook perché vuole sabotarti il pitch della startup che farai al venture capitalist o al tuo angel investor per il seed round di 300K con il quale farai la campagna di marketing social che ti permetterà di avere tanti like.

Che brutto posto questo cyber spazio.

Ma è cambiato qualcosa?

Io, per fortuna, non sono ritenuto un influencer nel campo della sicurezza applicativa, quindi posso dire le cose come stanno anche al costo di apparire un pelo impopolare.

Coniare la nuova buzzword e parlare di sicurezza cibernetica, come se fosse una cosa diversa dall’ICT Security, può a mio avviso sviare l’attenzione dell’incauto internauta su un punto fondamentale. Il cyber spazio non è qualcosa di etereo, il campo di battaglia qualsiasi cosa tu abbia collegata alla rete e che ti porti dietro: laptop, smartphone e in ultima analisi pure gli smartwatch.

Non c’è niente di cibernetico, è tutto dannatamente reale ed è tutto dannatamente simile a quello che succedeva vent’anni fa con in virus su floppy. Solo si è allargata e complicata la superfice d’attacco.

Se ad un certo punto, io venditore di fumo inizio a parlare che vendo servizi di cyber security, posso mettere il dubbio che si stia parlando di qualcosa di nuovo… di qualcosa di diverso. Invece sto parlando di:

protezione della postazione di lavoro
protezione dei propri device
protezione della propria identità e dei propri dati in rete

Se mi parlate di cibernetica, mi viene in mente la definizione del dizionario:

cybernetics |sʌɪbəˈnɛtɪks| the science of communications and automatic control systems in both machines and living things.

Al di là di tutto, w il cyber purché se ne parli

Ora, a me l’uso del prefisso cyber fa sorridere. Come ho detto non sono un influencer, anche perché ho il brutto vizio di non essere politicamente corretto e di dire pane al pane e vino al vino. E questa cosa, della sicurezza cibernetica è una trovata pubblicitaria.

Però. Però. Però.

Se alla fine, il parlare di cibernetica, fa più presa nelle persone e può aiutare ad una presa di coscienza nell’utilizzo dello strumento Internet, allora che si parli di cyber security tutta la vita.

Se ti dico cibernetica, tu la smetterai di pensare di vivere in un castello dorato perché hai un Mac? La smetterai di utilizzare i social network senza curarti delle impostazioni sulla privacy? Pretenderai che i tuoi fornitori sviluppino codice sicuro, configurando HTTPS disabilitando SSLv2, SSLv3 e TLS1.0? Scriverai codice sicuro, filtrerai l’input, farai il controllo dei certificati quando farai una connessione ssl? Testerai il tuo codice e la smetterai di rilasciare il venerdì? Farai tutto questo se il buzz salesman ti parla di sicurezza cibernetica? E allora ben venga la sicurezza cibernetica, avremo una nuova parola ma vivremo in un posto, Internet, più sicuro.

Off by one

I promotori del Cyber Parco citano i mercati USA e israeliano come fonti di ispirazioni per questo futuro polo di eccellenze anche nel campo imprenditoriale dell’ICT Security (benvenga cyber se piace a te, usala tu, a me fa talmente ridere che continuerò ad usare ICT Security e non aggiornare il mio LinkedIN mettendo una nuova competenza in cyber security).

Punto di attenzione. I mercati USA ed Israeliano sono guidati da esigenze militari. Un po’ come Internet, o meglio il protocollo TCP/IP è nato per garantire connettività in una rete geograficamente estesa in condizioni di guerra, anche le complesse tecnologie alla base di molti prodotti hanno trazione perché servono all’esercito.

Qui in Italia, purtroppo, questo stimolo manca. In realtà manca qualsiasi stimolo che non sia normativo. La nostra mentalità è purtroppo quella che in campo ICT si debba operare, in emergenza, solo per ottemperare a qualche normativa.

Se un giorno, per legge, il codice applicativo dovrà subire un penetration test ed una code review prima dell’online, né più né meno di quanto dice la PCI, allora forse vedremo fermento. Per il resto, purtroppo, dovremo divertirci solo con le nuove buzzword.

16 Jun 2015