Hai un estintore a casa?
Io sì, in un posto ben visibile e accessibile. Non è costato molto, solo qualche decina di euro, ma per me è uno dei migliori investimenti possibili. Soprattutto se non dovrò mai usarlo. E se invece dovesse servire, quei soldi saranno stati ben spesi.
Questo esempio racconta la mia idea di sicurezza, che in italiano non distingue tra safety e security, ma, mi rendo conto che è un approccio poco diffuso.
Ogni volta che si parla di sicurezza informatica, per esempio, qualcuno prova a chiedere il discorso con un : “Tanto io non ho nulla da nascondere!”
Ma i fatti di cronaca recente ci dicono che questa visione è, nel migliore dei casi, miope. Anzi, è uno dei punti più deboli della sicurezza.
Molte piccole organizzazioni e un numero ancor maggiore di persone, non percepiscono il loro ruolo e quindi l’impatto che possono avere su un sistema complesso: questo è il punto cruciale su cui si basa il concetto di supply chain attack.
Questa fragilità “periferica” di un sistema complesso si traduce in un rischio molto grande perché gli attacchi alla supply chain possono colpire chiunque, con conseguenze devastanti.
Negli scorsi giorni abbiamo avuto un esempio eclatante: abbiamo assistito a un attacco condotto attraverso la modifica hardware di un lotto di cercapersone che sono stati trasformati in dispositivi esplosivi, con migliaia di vittime e la paura diffusa che altri oggetti potessero diventare bombe. Non si è trattato di un tipico attacco hacker, ma rientra comunque nella definizione di attacco alla supply chain.
Si trattata certamente di un esempio estremo, messo in atto da entità che hanno risorse enormi e non alla portata di chiunque ma è comunque utile per capire come sia possibile aggirare misure di sicurezza anche imponenti semplicemente “entrando dalla porta di servizio”.
Questa modalità di attacco valica, letteralmente, il concetto di perimetro. Questo richiede un cambio di paradigma.
Da tempo le aziende di antivirus, ad esempio, hanno compreso che per limitare i vettori di infezione dovevano offrire strumenti gratuiti agli utenti domestici raramente disponibili a spendere soldi per questo motivo. Allo stesso modo molte azienda informatiche hanno compreso che password forti e univoche sono un’utopia e hanno iniziato, grazie anche all’evoluzione tecnologica, ad adottare soluzioni passwordless che siano sicure ma poco impattanti per chi le usa.
Ma c’è una verità che non possiamo ignorare: per quanto la tecnologia possa progredire, le persone restano il punto più debole di ogni sistema.
Quindi, ti chiedo: tu hai un estintore a casa?
Original LinkedIn Post: https://www.linkedin.com/posts/almagio_hai-un-estintore-a-casa-io-s%C3%AC-in-un-posto-activity-7244609125572087810-QmkT