Se mi aiuti ti denuncio

Viviamo in un’era radicata nella tecnologia, dove ogni nostro gesto è accompagnato dall’elettronica.
Il progressivo sviluppo tecnico ha istantaneamente centralizzato le attività attinenti all’informatica, attribuendo al programmatore una veste essenziale per la preservazione e l’elaborazione dei codici necessari alla nostra esposizione pubblica e alla tutela del loro funzionamento.
In questo quadro, le aziende estere s’interfacciano sempre più attivamente con gli esperti di sicurezza informatica al fine di garantire un servizio sicuro e, qualora siano segnalate delle falle nel sistema da parte dei penetration tester, come segno di riconoscenza, questi ultimi sono remunerati o quantomeno è inteso e valorizzato il loro servizio.

L’Italia, dal canto suo, non ha ancora superato la diffidenza e la convinzione dell’inaffidabilità di questi soggetti, le cui segnalazioni di vulnerabilità sono ritenute una minaccia piuttosto che un ragguagliamento da ethical hacker. Questo dissidio e questo persistente timore scaturiscono nelle aziende un atteggiamento difensivo, che le portano a ignorare e a sottovalutare i soggetti escludendoli dal servizio, oppure, nella peggiore delle ipotesi, procedendo per vie legali.

Questo avviene perché l’immagine del ricercatore è ostinatamente attribuita al criminale informatico, giacché le imprese sentono di non avere il pieno controllo e la completa discrezione della loro posizione.
Il pen-tester, riconoscendo e segnalando i dati sensibili nelle piattaforme aziendali, suscita un’intimidazione tale che l’ente antepone indisponibilità, estromissione e, quando il senso di avvisaglia lo intimorisce ulteriormente, un’aguzza ostilità al tentativo di esibire una disponibilità d’interfacciamento per la correzione delle falle trovate.

L’esperto di sicurezza informatica agisce secondo la sua formazione, concentrando il suo interesse per gli errori nel sistema. Egli vigila dapprima sui propri home banking e hosting come legittima attenzione alla sicurezza dei dati che gli appartengono. Secondo un fervore personale, è inoltre incline all’osservazione delle ambiguità delle altrui piattaforme, che lo conducono a una più attenta analisi prestandosi a dare consigli di natura professionale pur non avendo l’effettivo titolo di consulente. Questo genera un fraintendimento: le aziende vedono nella sua figura un soggiogatore piuttosto che un collaboratore e i due soggetti finiscono per ridurre la precaria compatibilità che avrebbe potuto germinare.

Per sanare (o quantomeno mitigare) questa lacerazione, questa scissione tra i due enti in questione, sarebbe fondamentale il corretto uso della parola: l’informatico dovrebbe esprimersi con maggiore parsimonia, senza mai avvalersi di un linguaggio ricattatorio né tantomeno intimidatorio, evitando di imporsi e di rendere noti i dati estrapolati come se il suo agire volontario dovesse essere ricambiato con un compenso. L’azienda, d’altra parte, dovrebbe distaccarsi dall’arcaico senso di accanimento, cercare un terreno comune, provare a manifestare una serena gratitudine quando meritata, e, secondo sua discrezione, assumere il ricercatore come proprio perito.

Sensibilizzare questa discordia è un processo molto difficoltoso che richiede tempo e buona volontà, attuabile dapprima con una complicità forzata, un tentativo di fiducia reciproca, così da intraprendere un rapporto trasparente che gioverebbe ad ambedue le parti.

“La parola hacking evoca alcuni stereotipi: vandalismo elettronico, spionaggio industriale e personaggi pittoreschi con capigliature variopinte e anelli nel naso. È molto diffuso il pregiudizio secondo cui l’hacker sarebbe un criminale. Benché vi siano senz’altro individui che utilizzano le tecniche di hacking per scopi illeciti, l’hacking è tutt’altra cosa e tende semmai ad assecondare il rispetto delle leggi anziché la loro violazione.”

Jon Erickson

5 min

Data

10 febbraio 2015