In caso di black-out le aziende corrono il pericolo di perdere in media 850mila e all'ora

di
Federico Ferrazza

Sicurezza informatica, questa sconosciuta. Ogni anno, infatti, in Italia le aziende spendono solo il 2 per cento di tutto il budget It per proteggere i propri dati elettronici. E nel resto del mondo? La situazione non è certo migliore. Almeno stando a un'indagine condotta dalla Veritas Software - azienda californiana che si occupa di sicurezza informatica - su 850 manager It di tutto il mondo (gli italiani erano 50). Lo studio evidenzia che solo l'11% dei consigli di amministrazione ha progettato un piano di "disaster recovery", ovvero una strategia di recupero funzioni e dati qualora, per esempio, questi vengano attaccati da un virus o danneggiati dalla mancanza di corrente elettrica.

I rischi. Eppure, i rischi sono elevati. In caso di black-out le aziende prese in considerazione (l'80% delle quali ha avuto almeno una volta nell'ultimo anno il sistema informatico fuori uso), corrono il pericolo di perdere in media circa 850 mila euro all'ora. Inoltre dall'indagine emerge che non solo le società snobbano il problema della sicurezza informatica ma che anche quando lo prendono in considerazione, agiscono male: il 57% lo aggiorna una volta all'anno, mentre il 6% mai. Tutti numeri che vanno aggiunti a quanto riporta l'istituto di ricerca Idc che sottolinea come nel mondo il 60 per cento delle informazioni aziendali non risiede in computer protetti.

Le reti aziendali. Un capitolo a parte meritano poi le reti aziendali il cui accesso é sempre più a rischio visto che per esempio in Europa, nel 2005 ci saranno 28,8 milioni di telelavoratori (nel 2000 erano 10 milioni). "Se a questo si aggiunge che nelle aziende il numero di computer portatili cresce sempre di più - spiega Lindsey Armstrong, vice presidente dell'area che comprende Africa, Medio Oriente ed Europa - il rischio di furto dei dati è elevatissimo". Un problema la cui mole potrebbe moltiplicarsi con l'arrivo degli smartphone, mix tra cellulari e palmari in grado di comportarsi come dei pc, accedendo anche alle reti aziendali. "Dietro i file di grandi dimensioni come un video-gioco o un filmato c'è il rischio di trovare spiacevoli sorprese - spiega Danilo Bruschi, presidente di Clusit, Associazione Italiana per la Sicurezza Informatica - e, visto che i nuovi telefonini lo consentono, non è difficile immaginare che entro 5-6 anni questi terminali subiranno attacchi molto pesanti".

Di fronte a tutti questi rischi, quindi, cosa bisogna fare? "Innanzitutto usare correttamente le soluzioni che già esistono - risponde Francesca Giudice, Souther Emea Manager di Symantec - i sistemi di protezione (antivirus, firewall e così via) sono inutili se non vengono aggiornati". Tutto questo, però, a volte può non bastare. Soprattutto se ci si trova di fronte a sempre più veloci (e violenti) virus di ultima generazione. Basti pensare che nel 2001 il virus Nimda ha infettato la Rete in due giorni, mentre Slammer e Blaster, tra gli ultimi, si sono diffusi in appena otto ore. Ecco perché c'è chi sta già valutando di affrontare il problema con la "forza" È il caso del Trusted Computing Group, un'alleanza di aziende hi-tech di cui fanno parte colossi del calibro di Hewlett-Packard, Ibm, Intel e Microsoft. L'obiettivo di questa coalizione è quello di difendere il computer non con il software, ma con l'hardware. "In poche parole - dice Bruschi - il progetto prevede un'architettura, la Trusted Computing, Platform (Tcp, disponibile sul mercato fra tre-cinque anni), con un dispositivo che controlla tutto quello che fa il processore" In questo modo se il computer sta per eseguire un'applicazione poco sicura, il chip di controllo impedisce l'operazione. Ma se da un lato la Tcp risolverebbe molti problemi dal punto di vista della sicurezza, dall'altra parte ne creerebbe diversi sotto il profilo della privacy. "Con questa tecnologia - continua Bruschi - le aziende, in teoria, possono controllare l'utente e decidere quale applicazione far eseguire al computer". Uno scenario, quindi, potrebbe essere quello di impedire a un pc di leggere un dvd pirata o semplicemente di installare un programma. Per questo all'interno della comunità scientifica si sta facendo strada l'idea di affidare la gestione dei chip di controllo ad aziende diverse da quelle che producono il computer".

In attesa della Tcp, comunque, ci sono diversi progetti che puntano più sull'organizzazione delle risorse già esistenti che sull'innovazione tecnologica. Uno di questi è il Sistema Pubblico di Connettività (Spc). "Questo progetto - spiega Maurizio Dècina, professore del Politecnico di Milano e membro del Gruppo di lavoro Spc organizzato dal ministero per l'Innovazione - se dovesse diventare realtà consentirebbe a ogni singola regione di ritagliare sulla "grande Internet" una Internet "qualificata", caratterizzata dalla presenza di diversi operatori". Quest'ultimi, in competizione tra loro e iscritti a un albo che ne certificherebbe l'affidabilità, garantirebbero la sicurezza e la qualità dei servizi erogati al cittadino dalla Pubblica amministrazione. "Ci sarebbe poi - continua Dècina che lo scorso 4 novembre ha presentato l'Spc al Forum Ict Security - un sistema di controllo centrale per verificare l'attività degli operatori che nel caso in cui non garantissero più un servizio sicuro e di qualità verrebbero subito esclusi dall'albo".

(Ndr: ripreso da "@lfa", inserto de il Sole 24 ore dell'11 dicembre 2003)