Videoconferenze col buco ‘Zoom non è un’eccezione’
Angelo Consoli: ‘Invece di pensarci prima, si preferisce metterci una pezza dopo’
C’è un problema di sicurezza congenito ed endemico nel mondo dell’informatica. Non è di certo nuovo, ma la pandemia di coronavirus lo ha messo in evidenza in maniera chiara: molti sviluppatori di applicazioni e apparecchi elettronici non tengono sufficientemente in considerazione la sicurezza dei sistemi, la nostra privacy e l’affidabilità del prodotto. Semmai vi mettono una pezza dopo, una volta che il problema emerge in tutta la sua gravità.
Un caso recente diventato celebre è quello di Zoom, la piattaforma di videoconferenza che, in pieno lockdown, è stata adottata per le riunioni virtuali da un po’ tutti: dalle piccole aziende fino alle multinazionali e ai governi. Tranne poi risultare facilmente hackerabile e finire sui giornali a causa del suo essere un po’ troppo impicciona riguardo ai dati personali custoditi sul computer degli utenti. «Non è l’unico strumento per riunioni virtuali ad aver accusato grattacapi di questi tempi», fa notare Angelo Consoli, capo del Gruppo di sicurezza informatica della Supsi e membro di diversi gruppi di lavoro sulla cybersecurity a livello europeo.
Per fare in fretta e spendere meno
«Il problema – prosegue Consoli – è che ancora oggi chi sviluppa applicazioni e apparecchi spesso non considera la sicurezza come parte integrante del prodotto. Non applica, insomma, il cosiddetto “security-by-design”. E, peraltro, nemmeno la “privacy-by-design”. I progetti, insomma, partono senza che ci si prenda il tempo per valutare le eventuali vulnerabilità».
Si tratta fondamentalmente di una questione di tempistiche e costi, precisa Consoli. «Pensare da subito alla sicurezza e alla privacy significa dover investire risorse nel validare in modo più accurato ogni componente e ogni procedura. Ciò impone un numero maggiore di vincoli per gli sviluppatori e maggiori controlli. Di conseguenza i costi aumentano e i tempi si dilatano. Le aziende preferiscono quindi partire con quello che parrebbe essere il percorso più efficiente, e poi mettere eventualmente le pezze in un secondo tempo. Questo garantisce loro un migliore ‘time-to-market’ (il tempo, possibilmente più ristretto possibile, per mettere il prodotto sul mercato, ndr.)». Si mette, insomma, in primo piano la rapidità. Un approccio che «già da anni costituisce uno dei problemi più seri in questo ambito. Non di rado, come gruppo di sicurezza in Supsi, veniamo contattati per certificare l’affidabilità di soluzioni tecnologiche. A parte il fatto che non siamo un ente certificatore, quando svolgiamo le verifiche necessarie emergono spesso problemi (talvolta anche banali) che avrebbero potuto essere evitati se si fosse considerata la sicurezza dall’inizio del progetto».
Si corre quindi ai ripari, con il rischio di doverci mettere la faccia. Un po’ come è successo a Zoom che, di fronte alla clamorosa figuraccia internazionale, ha dovuto metterci una pezza in fretta e furia: l’azienda ha dovuto sospendere per 90 giorni lo sviluppo di nuove funzionalità per concentrare tutte le forze disponibili nel tappare le falle di sicurezza. Non è stata tuttavia l’unica azienda del ramo a doversi scontrare con problemi non indifferenti, fa notare Consoli: «La pandemia ha messo alle corde molte applicazioni di comunicazione a distanza. Zoom è diventato un caso noto, ma anche WebEx di Cisco è stato bucato al mese di maggio, Meet ha avuto problemi a fine aprile, Skype fatica tuttora a gestire grandi numeri di connessioni in contemporanea e Microsoft Teams ha palesato altre difficoltà».
Per finire, molti hanno comunque preferito Zoom alle altre soluzioni: «Zoom aveva il prodotto giusto, al momento giusto: rispetto alla concorrenza, il loro software era più immediato da usare. Non dimentichiamoci che queste soluzioni hanno dovuto essere attivate in pochissimi giorni ed essere utilizzate in contemporanea per incontri del management di multinazionali e per i corsi delle scuole elementari, per citare due casi abbastanza dissimili e che ovviamente utilizzano il sistema con aspettative funzionali e di sicurezza sensibilmente diverse. Le falle? I problemi sono almeno due: da una parte le funzionalità offerte all’utenza: anzitutto si stava chiedendo a un unico prodotto di soddisfare necessità di utenze estremamente diverse (da una parte la facilità di condividere e dall’altra la necessità di riservatezza, per citare un esempio). C’è poi la comodità d’uso che, secondo una teoria che ho coniato da diversi anni, è l’antitesi della sicurezza: tutto ciò che si vuole pratico e comodo comporta delle scelte di compromesso che diminuiscono il grado di protezione», sottolinea ridendo l’esperto. Un bel grattacapo, soprattutto per le piccole e medie imprese. «Per questo l’area di sicurezza e cybersecurity della Supsi è coinvolta in un progetto europeo, Redcybersg, che mira a fornire gli elementi per la gestione e la riduzione dei rischi informatici per le Pmi».
Governi presi in contropiede
perché non pronti?
Tra coloro che hanno optato per ‘l’insicuro’ Zoom ci sono anche amministrazioni pubbliche e governi. Cosa ci dice questo sul grado di analisi dei rischi da parte delle amministrazioni? «Torniamo all’inizio del lockdown: nel giro di una settimana tutti hanno dovuto decidere quali tecnologie utilizzare per il telelavoro. Chi non aveva già una sua strategia ha, anche in questo caso, scelto lo strumento più pratico – rileva Consoli –, magari anche facendosi guidare dalle scelte di altre realtà simili alla propria. Certo, la cosa più saggia per un’amministrazione sarebbe stato valutare la sicurezza degli strumenti da utilizzare, ma un’analisi di due mesi (tanto ci sarebbe probabilmente voluto) sarebbe stata improponibile. Restava quindi l’alternativa: attivare un sistema e tenerlo d’occhio».
Oggi è diverso: dopo l’emergenza, le videoconferenze restano comunque uno degli strumenti abituali di lavoro. «Non ci sarà più un secondo ‘effetto sorpresa Covid-19’: la pandemia è arrivata d’improvviso e ha creato rapidamente nuove, immediate esigenze. Ora sappiamo gestirle». Certo «molte persone hanno necessitato un po’ di tempo per prendere la mano con i nuovi strumenti e le modalità di interazione, ma il passo ormai è fatto».