Steve Grobman, Allison Cerra, The Second Economy. The Race for Trust, Treasure and Time in the Cybersecurity War, Apress, New York 2016
“According to the Center for Strategic and International Studies, a Washington think tank, the estimated global costs of cybercrime and economic espionage are nearly $450 billion, placing cybercrime in similar company with drug trafficking in terms of economic harm. Put another way, if cybercrime were a country, its GDP (gross domestic product) would rank in the top 30 of nations, exceeding the economies of Singapore, Hong Kong, and Austria, to name just a few.” Con questa constatazione, il cui intento è di darci fin da subito una scossa, gli autori aprono una riflessione impressionante sulla drammatica situazione odierna; in ogni capitolo vengono narrate le radici storiche di tutte le forme di criminalità e di spionaggio per spiegarci meglio come siamo arrivati, pian piano, ad oggi.
Il libro è stato pensato per il grande pubblico, specialmente per i dirigenti, affinché questi possano capire la complessità dell’ecosistema che hanno oggigiorno sotto la loro direzione e responsabilità. L’intenzione degli autori è anche di semplificare il modo di affrontare i tre elementi chiave di qualsiasi struttura: la fiducia, le finanze e soprattutto il fattore tempo, che è il peggior nemico di ogni vittima di reato informatico. Infatti, più un attacco di successo è breve e semplice, più diviene quasi impossibile da contrastare. Anche se un’azienda è ben difesa con tecnologie adeguate e personale idoneo e qualificato, può comunque essere soggetta ad attacchi in cui sono sfruttate le debolezze umane (ingegneria sociale, phishing, relazioni dubbie).
Il cinismo degli autori quasi ci obbliga a quell’onestà, che dovrebbero avere enti e aziende quando parlano di queste problematiche. Sottolineeremo in seguito alcune delle frasi-shock che evidenziano come il pragmatismo e la difesa proattiva di un’azienda non hanno nulla a che vedere né con le leggi, né con la morale.
Il primo assioma è riassunto in modo perfetto da una citazione del celebre giurista indiano B.R. Ambedkar: “History shows that where ethics and economics come in conflict, victory is always with economics”. In due parole, o un’azienda è vincente perché è all’avanguardia in termini di tecniche di difesa, cioè ha integrato nella sua équipe sia black hats che white hats senza dimenticare il crisis management response team e quindi chiudendo gli occhi su alcuni aspetti etici, oppure a vincere saranno gli attaccanti, che non conoscono né pietà né morale. Con ironia, gli autori sottolineano che, da sempre, nel settore privato, il “chiudere un occhio” su alcuni aspetti etici conta molto nella ricetta del successo sul mercato globale e quindi voler essere“etici”quando si parla di difesa di fronte ad un attacco criminale è ben più un discorso propagandistico che un fattore reale.
Il secondo assioma, un’evidenza per chi non è molto “politically correct” ma che corrisponde perfettamente alla realtà, è che al di fuori di alcuni casi, attribuire la colpa di un attacco contro un’azienda privata a uno Stato non rileva soltanto dell’assurdo, ma rivela anche una tecnica di comunicazione che non può che far perdere tempo e portare “l’intox” così avanti che molti, tecnici inclusi, inizieranno a credere che è questa la verità. Le morfologie degli attacchi e i modus operandi osservati durante gli ultimi anni dimostrano bene quanto l’attribuzione certa di un attacco ad un’azienda privata è diventata pressoché impossibile, anche nel caso dove è possibile risalire e identificare in modo generico un gruppo di “black hats” noto per avere legami con uno Stato, ma che a sua volta agisce anche e spesso per conto proprio (o in “pay per service”), in primis per meri interessi economici.
Una citazione tra molte, che ci fa ben capire in che mondo viviamo, è tratta da una riflessione del poeta e filosofo inglese Gilbert K. Chesterton, che viene qui a parlare direttamente alle nostre élites dei settori pubblici e privati: “It isn’t that they can’t see the solution. It is that they can’t see the problem.” Molti aspetti ci ricordano che viviamo in una realtà sfuggita a ogni controllo per colpa della frenesia dell’innovazione, portando giorno dopo giorno i manager ad una più ampia incomprensione del sistema. Un parallelo scelto dagli autori è stupefacente. L’insieme dei compiti svolti dalla NASA per riuscire a portare Neil Armstrong e la sua équipe sulla luna si riassume a un programma che conta 145.000 linee di codici. Oggi, il semplice sistema operativo di uno smartphone di tipo Android (senza aggiunta di software, app, ecc.), riposa su più di 12 milioni di linee di codici.