Chiunque sia stato in un aeroporto negli ultimi dieci anni, avrà sentito un annuncio simile a questo:
Vi ricordiamo che, per la vostra sicurezza, è consentito portare a bordo solo un bagaglio a mano.
Questa frase è una smaccata menzogna, ma una menzogna da cui dobbiamo imparare. Limitare il numero di bagagli a mano non aumenta la sicurezza, ma consente alle compagnie aree di impedire uno sfruttamento incontrollato di una risorsa limitata (lo spazio a bordo) e di ridurre il peso trasportato gratuitamente. Prova ne sia che l'obbligo di portare a bordo solo un bagaglio a mano è sempre esistito e che solo recentemente il divieto è stato rafforzato con l'associazione a criteri di sicurezza. In altri termini, le compagnie aeree utilizzano la sicurezza per garantire il rispetto di regole che nulla hanno a che vedere con la sicurezza. L'approccio degli informatici a questo tipo di problemi è molto meno creativo.
In ogni executive summary, in ogni white paper, in ogni incontro con un potenziale cliente, chi vende sicurezza segue immancabilmente lo stesso schema:
- elenca i rischi dell'informatica moderna;
- rincara la dose, dicendo che le cose andranno sempre peggio;
(fin qui è stato onesto, ma poi..) - afferma che il suo prodotto - sia esso un firewall, un anti-virus o una consulenza - può garantire la sicurezza dei dati e dei sistemi on-line.
Giustamente preoccupato da questa visione apocalittica del futuro, il cliente acquista il prodotto o il servizio e ritiene per cià di essere al sicuro (ha il diritto di farlo: ha pagato), fino a che - una settimana, un mese o un anno dopo - il suo sistema viene "bucato" da un pirata informatico.
Quando cià avviene, il cliente scopre, nella maniera più dolorosa possibile, che un sistema "non banale" (per utilizzare una definizione di Bjarne Stroustrup) non potrà mai dirsi sicuro
Potrà essere più o meno protetto
Per riprendere l'esempio aeronautico, mentre è relativamente facile garantire la sicurezza di un piccolo aereo da turismo, è estremamente complesso assicurare un livello minimo di protezione a un volo di linea.
Inoltre, i sistemi di sicurezza sono come le vaccinazioni
A causa di questi malintesi di fondo, c'è sempre più gente che pensa (e dice e scrive) che la sicurezza informatica ha perso la sua battaglia
Impugniamo un coltello per la lama e ci lamentiamo delle ferite, mentre dovremmo piuttosto imparare dai nostri omologhi aeronautici e cominciare a sfruttare la sicurezza come uno strumento per evidenziare le carenze delle strutture rispetto delle regole
Le verifiche di sicurezza garantire la sicurezza del sistema
Contrariamente all'efficacia della sicurezza per la sicurezza, che come abbiamo visto, decresce all'aumentare del bisogno, questi benefici collaterali della sicurezza
