Uno degli epiteti che gli esperti di sicurezza si sentono più dire è paranoico.

Paranoico perché “Che vuoi che succeda…

• … tanto abbiamo i firewall
• … tanto abbiamo l’antivirus
• … tanto non siamo imporanti
• … tanto abbiamo fatto un corso ai dipendenti
• … tanto abbiamo le guardie armate all’ingresso

Ecco, le guardie armate, mettiamole un attimo da parte.

Un bravo esperto di sicurezza, informatica e non, ma ormai è quasi la stessa cosa, non è quasi mai paranoico (in qualche caso sì, ma facendo questo lavoro è facile sviluppare turbe psichiche… 🙂 ), ma è fondamentalmente consapevole che quello che fa non basta.

Non basta il firewall, non basta l’antivirus, non basta formare i dipendenti, non basta fare una cosa di poco conto.

La sicurezza, informatica e non, dipende da due cardini fondamentali:

1. Chi difende deve proteggere un perimetro sconfinato.

2. Chi attacca deve solo trovare un punto vulnerabile in quel perimetro.

Questa asimmetria nelle attività, nelle risorse e nelle analisi, è quella che fa scaturire una consapevolezza che sfocia in un’apparente paranoia.

La consapevolezza è però un fondamentale antidoto al rischio più grande che si può correre occupandosi di sicurezza: avere una falsa sensazione che tutto vada bene.

Falsa perché si crede, sbagliando, che avendo identificato una specifica soluzione si abbia la chiave di tutti i problemi. Che si sia messo in sicurezza tutto. Che si possa dormire tranquilli perché appunto c’è l’antivirus, c’è il firewall, ci sono le mura di cinta alte tre metri.

Poi si scopre che l’antivirus non vede il malware, che il firewall apre necessariamente delle porte su applicazioni vulnerabili, e che il muro di cinta ha una botola sotto dove passa una persona.

E abbiamo perso. Trovato il punto vulnerabile presa la bandiera.

Le guardie armate sono, riprendendo il discorso, una fantastica falsa sensazione di sicurezza. E recentemente ne abbiamo avuto una prova esemplare, nella nazione dove il safety first e la homeland security sono dogmi  che nemmeno un Testo Sacro vale di più.

Il tutto è riassunto, magnificamente, in un tweet di David Burge

La notizia da cui è partito tutto è questa, ripresa anche da Bruce Scheier:

Fondamentalmente alla TSA, la enorme macchina della sicurezza dei trasporti statunitense, costruita sulle ceneri dell’11/9 al grido di “mai più” hanno fatto un penetration test. Nel quasi senso più letterale del termine.

E non è andato bene.

According to officials briefed on the results of a recent Homeland Security Inspector General’s report, TSA agents failed 67 out of 70 tests, with Red Team members repeatedly able to get potential weapons through checkpoints.

Il 95% dei tentativi di passare oltre le barriere di sicurezza con armi e esplosivi è andato a buon fine. 67 potenziali terroristi su 70 avrebbero colpito aerei in partenza da un aeroporto a stelle e strisce.

Nonostante il body scanner, nonostante i controlli manuali (pat down) al limite della molestia sessuale, nonostante appunto 8 miliardi di dollari di budget annui.

Eppure in questi anni sulla TSA e sui suoi inflessibili controlli si è costruito un mito di falsa sicurezza che continuava a durare, anzi che veniva preso come esempio di chi aveva capito dove intervenire. Anzi si rispondeva in questo modo a chi diceva che i metodi usati dalla TSA fossero eccessivi.

Non vorrete mica far entrare i terroristi?

Invece è servito solo a far credere che tutto andasse bene, che le guardie armate tenessero i cattivi furori.

Come dice correttamente Schneier, la sicurezza aeroportuale non deve prendere tutte le armi o tutte le possibili attrezzature per dirottare un aereo. Non ci riuscirà mai perché il 100% in sicurezza non esiste. Deve però funzionare da deterrente adeguato in modo da scoraggiare chi volesse tentare di fare qualcosa.

E questo vale per qualsiasi contromisura di sicurezza: bilanciare la minaccia e le risorse attuate per difendersi dal rischio che si corre.

Ma dubitando sempre, e continuando sempre a pensare di essere molto vulnerabili e sempre potenzialmente colpibili. Perché il 95% non è un deterrente, è un colabrodo.