Eric Diehl, specialista francese trai i più noti crittografi al mondo, ci offre un vero capolavoro di interdisciplinarità e di buon senso. Per chi è già solito al suo stile, fluido e diretto, che ritroviamo in ogni “news” pubblicata sul suo blog (https://eric-diehl.com), è un vero piacere poter leggere un volume intero scritto di suo pugno. Destinato a diventare un’opera di riferimento tanto per i ricercatori, quanto per le istituzioni specializzate, il testo è strutturato attorno a dieci “leggi” introdotte e illustrate da esempi reali, per poi mettere a disposizione del lettore le diverse possibilità che gli sono offerte per risolvere le problematiche legate ad ognuna di esse, che riproduciamo qui per una migliore comprensione:
Law 1: Attackers Will Always Find Their Way Law 2: Know the Assets to Protect Law 3: No Security Through Obscurity
Law 4: Trust No One Law 5: Si Vis Pacem, Para Bellum Law 6: Security Is no Stronger Than Its Weakest Link Law 7: You are the Weakest Link Law 8: If You Watch the Internet, the Internet Is Watching You Law 9: Quis Custodiet Ipsos Custodes? Law 10: Security Is Not a Product, Security Is a Process In questo libro, dove ogni “legge” meriterebbe una recensione individuale, abbiamo scelto di evidenziare tre elementi fondamentali. Il primo è che un sistema si giudica a partire dal suo anello più debole, cioè il fattore umano, e non da quello più performante – come potrebbe essere un firewall di ultima generazione. Il secondo, all’epoca delle nuove leggi sulla privacy, è che per quanto qualificati e professionisti siano i “guardiani del sistema” (Custodes), devono anch’essi essere sottomessi a una verifica e a un controllo costante da una parte terza, sia per evitare possibili abusi, sia per osservare un’eventuale perdita di performance dello specialista anno dopo anno. Diehl ha scelto per la fine l’argomento più importante, che potrebbe sembrare una banalità ma che purtroppo è tristemente presente e che ha conseguenze catastrofiche nella realtà proprio perché non viene compreso: la sicurezza non è, e non sarà mai, un “prodotto” ma un insieme di tecnologie e di uomini educati alla sicurezza in continua evoluzione per non essere sorpassati rapidamente dalle nuove soluzioni elaborate dai criminali che migliorano le loro tecniche di attacco giorno dopo giorno.