La sicurezza informatica o cibernetica (e non solo quella) non passa per le certificazioni, ma passa per la testa. Infatti "La sicurezza passa per la testa" è il titolo di uno dei tanti corsi organizzati dal Consorzio Garr a Torino il 3 giugno 2019 nell'ambito della conferenza "Connecting the future" del 4 giugno 2019 al Politecnico di Torino e tenuto da Simona Venuti.
Secondo Wikipedia cosa è una certificazione? Certificazione è il processo che, attraverso diverse operazioni di valutazione e accertamento svolte da soggetti terzi qualificati e autorizzati, conferisce (in caso di esito positivo) il certificato (la certificazione è dunque un'attività, non un documento).
Le certificazioni informatiche, a mio parere, sono la tomba della sicurezza, perché l'attività di certificazione richiede sempre operazioni volte a garantire la conformità di un prodotto o servizio alle norme e ai parametri stabilite dalla legge e quindi tendono a ingabbiare il prodotto all'interno di normative e specifiche. Se le certificazioni hanno un senso per quanto riguarda la sicurezza di un prodotto materiale, come un attrezzo o un dispositivo, la stessa cosa non si può dire per quanto riguarda un prodotto immateriale come un software o un firmware. Per garantire la sicurezza di un software, di un firmware, la sicurezza di una rete, di un server, bisogna imparare a ragionare con la propria testa e pensare fuori dagli schemi, tutto l'opposto delle certificazioni e degli standard, dove il software viene ingabbiato in formule e procedure standard che sono la manna dei criminali informatici.
Ragionare in termini di certificazioni non ha alcun senso, perché la sicurezza cibernetica dipende da una miriade di parametri spesso fuori dal nostro controllo: protocolli di comunicazione, sistemi operativi, compilatori, database management system, algoritmi crittografici, possono sempre essere affetti da vulnerabilità, bachi, errori, ancora sconosciuti. E quindi cosa certifichi?
Basti pensare al decreto legge che stabilisce il Perimetro di Sicurezza Nazionale Cibernetica dove, tra i vari punti, in un articolo su Agenda Digitale si legge: "Viene confermato un ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nella assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica."
Va bene, buon per loro. A me, tuttavia, pare una grossa presa in giro, perché dare delle garanzie di sicurezza e assenza di vulnerabilità su prodotti hardware e software è, a mio avviso, praticamente impossibile. Anzi, si rischia di dare ad un operatore del settore un senso di sicurezza fasullo e che non esiste. Si tratta di uno strato burocratico che può servire a parare il culo agli operatori del settore cibernetico e ai responsabili di reti che, adottando prodotti certificati e quindi ritenuti ingenuamente "sicuri" li salvano da possibili responsabilità e conseguenze penali se poi questi prodotti, al lato pratico, si rivelano vulnerabili. Un giudice non ti può condannare se ti sei attenuto alla legge ed hai adottato un dispositivo certificato sebbene affetto da vulnerabilità che hanno compromesso la sicurezza della rete nazionale.
Nessuna certificazione può garantire la sicurezza di un software. Tuttavia è importante ragionare e pensare fuori dagli schemi, cioè pensare con la propria testa facendo una propria e accurata analisi dei rischi. Siccome l'attività di certificazione porta a fidarsi della certificazione, a delegare la sicurezza ai prodotti certificati, a pensare con la testa dei certificatori che seguono schemi standard preconfezionati, è facile cadere nella trappola di un falso senso di sicurezza.
Penso quindi che le certificazioni e gli enti di certificazione sia meglio lasciarli perdere (almeno in ambito software) e preferire valutare la competenza tecnica dei responsabili di un sistema cibernetico per adottare criteri e metodologie originali che sappiano mettere a punto sistemi di backup, regole precise, processi di costante aggiornamento del software, documentazione e formazione.
Comments