Venerdì 19 luglio oltre 8,5 milioni di sistemi Microsoft hanno smesso di funzionare, bloccandosi sulla cosiddetta “Schermata Blu”. Questo ha causato la sospensione dei voli di molte linee aeree, l'arresto delle borse, l'inattività di treni e altre infrastrutture critiche e non.
Il software Falcon agent di Crowdstrike, che protegge i sistemi dalle minacce esterne e comunica in tempo reale con la sede centrale, aveva ricevuto un aggiornamento che impattava in modo critico i sistemi Windows, bloccandoli fino a quando un operatore umano non interveniva per rimuoverlo manualmente.
In sostanza, questo EDR (Endpoint Detection and Response), un antimalware avanzato che si carica nella memoria riservata del sistema) ha ricevuto un file di aggiornamento che andava in conflitto con Windows, impedendo l'avvio delle macchine. Questo ha portato all'iniziale errata attribuzione del problema a Microsoft. Per risolvere il problema, è necessario rimuovere manualmente il file incriminato su ogni singola macchina, avviandola in modalità provvisoria.
Considerata la scarsità di personale IT, il problema potrebbe persistere per settimane.
A parte i pesanti strascichi economico/legali della vicenda (Crowdstrike ha perso circa il 10% in borsa in una giornata) è possibile fare una serie di riflessioni.
Cybersecurity: La Chiave per un Sistema IT Resiliente e Sicuro
E’ emersa chiaramente e con urgenza la necessità di dedicare maggiori risorse e attenzione agli aspetti legati alla tecnologia dell'informazione e, più specificamente, alla cybersecurity. Le aziende e le pubbliche amministrazioni devono riconoscere l'importanza vitale di integrare nei propri organici figure professionali altamente qualificate, come gli ingegneri dell'informazione. Questi esperti, grazie alla loro formazione tecnica approfondita e alla loro capacità di interagire con sistemi complessi, sono indispensabili per garantire la sicurezza e l'efficienza delle infrastrutture IT. È fondamentale che queste risorse non solo siano inserite all'interno delle strutture esistenti, ma che vengano anche valorizzate attraverso ruoli di decisione e di gestione, permettendo loro di influenzare le strategie IT e di contribuire attivamente alla prevenzione di disastri informatici. La loro competenza deve essere riconosciuta come un asset strategico e non come un semplice costo operativo; solo così è possibile costruire un sistema informatico resiliente che possa fronteggiare efficacemente le sfide della modernità.
Infrastruttura IT Occidentale: Automazione e Sicurezza per Prevenire Catastrofi Digitali
L’infrastruttura informatica occidentale ha tempi di risposta sempre più bassi ed è sempre più automatizzata. Questo impone una cura maniacale da parte dei vendor di software, in particolar modo di quelli che interagiscono a basso livello col sistema operativo, per evitare incidenti come questo oppure manomissioni: Oltre all’errore umano, un dipendente infedele o un eventuale hacker non devono aver accesso alla catena di produzione del software come insegna anche il caso Solarwinds che ha evidenziato le fragilità della supply chain informatica.
I vendor devono perciò porre in atto strategie di verifica degli aggiornamenti estremamente rigorose ed estese, comprendenti test di regressione sulle più recenti e diffuse configurazioni di sistema operativo. Questo vale in particolar modo se il prodotto si interfaccia a basso livello col sistema operativo e può danneggiarne l’avvio in caso di malfunzionamento.
I test devono anche avere una durata temporale congrua nonostante la tendenza del mercato a contrarre il time to market e ad usare gli utenti finali come beta-tester.
Esternalizzazione IT e Sicurezza: La Necessità di un Approccio Integrato e Competente
Per contrarre i costi le aziende, che sono utenti finali, tendono ad esternalizzare sempre di più il supporto informatico senza però costruire un vero e proprio piano di business continuity/disaster recovery raccomandati dalle best practices internazionali (Iso 22301 e 27001) a meno di non esservi costrette da cogenti normativi come ad esempio la Direttiva NIS2.
Le aziende spesso vedono tutta la parte di sicurezza informatica e talvolta il management IT come un costo e non come supporto all’operatività quotidiana. Questo fa sì che la competenza su questioni fondamentali come la governance della gestione dell’infrastruttura IT non sia sempre affidata a personale del settore, ma genera dinamiche tra la parte economico/finanziaria sempre e solo interna e la gestione IT propriamente detta spesso esterna o, se interna, novella cenerentola sottodimensionata e sottopagata. Inoltre il panorama italiano, fatto di piccole e medie imprese, non aiuta perché le associazioni di categoria non si occupano sufficientemente di formazione IT.
Quindi una gestione delle patches centralizzata e schedulata su testbed non si fa quasi mai nonostante i prodotti per farla esistano e la loro utilità sia acclarata (Microsoft raccomanda il WSUS da sempre, per esempio). Senza parlare poi della gestione dei backup fuori linea ed i sistemi in alta affidabilità che sono costosi, ma in situazioni emergenziali si rivelano salvavita, se ben progettati da personale competente (ingegneri dell’informazione in primis).
Monopolio del Desktop: Vantaggi e Rischi di una Standardizzazione Estrema
La standardizzazione mondiale per i sistemi desktop ancor più che per server è in pratica su una sola piattaforma: 91% microsoft, 7% apple, 2% linux. Se la gestione di sistemi che possono essere omogenei è più semplice, purtroppo la piattaforma proprietaria e la non disponibilità dei sorgenti è di per sé una criticità dell’intero sistema. Infatti le reti russa e cinese sono state molto meno impattate perché meno complesse, meno interdipendenti, molto più monitorate e chiuse.
In occidente, invece, le singole aziende dovrebbero valutare con attenzione che soluzioni implementare per evitare fermi macchina dovuti a problemi che si espandono su macchine omogenee, segmentando le reti per evitare movimenti laterali non autorizzati interni od esterni. Inoltre mantenere un catalogo aggiornato della topologia dell’infrastruttura e di ogni singolo sistema in esso presente, oltre ad un sistema di autorizzazione e controllo accessi, in modo da poter avere contezza di chi fa cosa in ogni momento, sia esso un attore fisico od un software. Purtroppo per i motivi enunciati al punto precedente si fa raramente e quando lo si fa si pensa che il software o l’hardware pagati a caro prezzo siano sufficienti sottostimando il capitale umano non fungibile che deve gestirli e manutenerli.
Informatica e AI Richiedono Personale Qualificato per Evitare il Caos Tecnologico
Gli ultimi due punti evidenziano la criticità più surreale del sistema: l’informatica è sempre più diffusa, sempre più complessa e sempre più vista come un qualcosa che funziona da sé. Purtroppo non è così. Inoltre, l’avvento dell’AI aumenterà ancora di più la complessità del sistema. Sarà sempre necessario un numero minimo di personale adeguatamente formato, con esperienza e retribuito in modo congruo per operare fisicamente sulle macchine. Passare al cloud? Bisogna saperlo fare in modo efficiente, sapendo che i costi raramente sono inferiori alle soluzioni on premise e che si aggiunge un ulteriore strato di complessità. Quindi sarebbe opportuno, invece di esternalizzare l’informatica tout court, iniziare ad incrementare il personale interno con competenze IT ed inserire ingegneri dell’informazione nei Consigli di amministrazione e come dirigenti della P.A.
Un ulteriore problema in quest’ottica sono i contratti di servizio esterno: chi servire prima tra due ditte che hanno lo stesso tipo di contratto in caso di società di supporto IT, e a chi allocare le risorse più competenti se un incidente informatico colpisce entrambi i clienti e vengono saturate le risorse umane disponibili?
Il futuro che abbiamo all’orizzonte, tra intelligenza artificiale, Internet of Things, tempi di risposta delle reti sempre minori, cloud, elettrificazione estesa, ecc., può essere una sfida interessante o una catastrofe, a seconda delle competenze che la società riuscirà a formare nei propri cittadini e a come si struttureranno i servizi offerti verso l’interno e l’esterno, sperando di evitare una snaturalizzazione eccessiva e di costruire anche un adeguato livello di cybersecurity per non porre il fianco ad utenti malevoli oltre che ai prevedibili errori che si manifesteranno.
Lorenzo Ivaldi
Delegato C3i Ordine ingegneri di Alessandria