Il millenium bug? Una tempesta solare? Una guerra nucleare? Gli hacker russi? Niente di tutto ciò. Ad aver messo in ginocchio le infrastrutture informatiche di mezzo mondo è stato semplicemente un errore nel codice. Una ditta che produce software di cybersicurezza, la CrowdStrike, ha rilasciato un aggiornamento del proprio programma CrowdStrike Falcon alle 7:30 (ora italiana) del 19 luglio 2024. Questo aggiornamento, installato automaticamente su molti server e PC aziendali che eseguono i sistemi operativi Windows, provoca un errore all'accensione e manda in crash il sistema rendendolo quindi inutilizzabile. Il risultato? Aerei a terra, interventi chirurgici annullati, banche che non possono operare, canali televisivi che non possono trasmettere, treni in ritardo (ok, quest'ultima non sembra una novità) e chi più ne ha più ne metta. Proviamo dunque ad analizzare l'incidente nella maniera più semplice possibile, non me ne vogliano i più esperti.
Quella che a prima vista può apparire una situazione molto sfortunata è in realtà la conseguenza di alcuni problemi intrinseci ai sistemi impiegati. Nel 2024, infatti, sono ancora parecchie le aziende che ricorrono a Windows, sistema operativo di casa Microsoft, per i propri computer, che si tratti di server o di PC messi a disposizione dei dipendenti. L’enorme diffusione di questo sistema fa sì che sia costantemente analizzato alla ricerca di falle di sicurezza da parte di malintenzionati che sperano di poterle sfruttare per le più svariate ragioni: dal rubare dei dati al causare un disservizio. È per questo motivo che questi sistemi hanno continuamente bisogno di essere integrati da programmi aggiuntivi (tipo antivirus) per raggiungere quel livello di sicurezza che, specialmente in ambito aziendale, è ritenuto necessario. Allo stesso tempo succede che i tecnici addetti alla manutenzione del "parco macchine" spesso e volentieri si trovino a dover operare, anche a distanza, su centinaia se non migliaia di computer, il cui funzionamento deve essere quanto più possibile automatizzato per garantirsi una certa indipendenza dall'intervento umano. Si tende quindi a installare massicciamente programmi che possano rendere più "robusto" il computer rispetto ad attacchi informatici ma che, allo stesso tempo, rendano semplice monitorare il lavoro di tutte queste macchine. Questi programmi ovviamente hanno accesso a un livello “profondo” del sistema al fine di controllarlo in maniera accurata, ma proprio per questo toccano componenti software molto delicate. Se combiniamo quindi una forte automazione a un software che opera in un contesto fragilissimo, otteniamo la miscela esplosiva che rende un semplice errore capace di bloccare tutto su tantissime macchine.
Questi incidenti sono molto più frequenti di quel che si crede. Non è passato tanto tempo da quando provarono a inserire un accesso nascosto in una delle più usate librerie di decompressione, xz. Tanto per capire la portata dei potenziali danni: questa libreria è impiegata in maniera automatica su tantissimi server Linux e pure sui computer Apple. Ma non si salvano nemmeno le big tech che offrono, per esempio, servizi di archiviazione sui loro server: a maggio 2024 Google è riuscita a far sparire nel nulla i dati di un fondo pensione da 135 miliardi di dollari (anche se, a onor di cronaca, va detto che riuscirono a recuperare tutto nel giro di due settimane). Purtroppo la triste verità è che tutta l'informatica si regge su una manciata, risicatissima, di punti sensibili (librerie o servizi) che possono facilmente mettere in ginocchio il mondo.
Per render chiaro il concetto ai non addetti ai lavori: è impensabile reinventare la ruota ogni giorno. Quindi, durante lo sviluppo di un programma, si finisce quasi sempre per riutilizzare dei pezzi di codice già scritti da altri. Del resto pure i computer che usate ogni giorno a casa vostra o nel vostro ufficio eseguono dei programmi che non avete scritto voi da zero, ma che trovate preinstallati o che scaricate da internet. Ecco, funziona più o meno allo stesso modo. Dunque, qualora si sia acquisito questo minimo di consapevolezza in materia, è impossibile lasciarsi rasserenare sulla sicurezza e sulla robustezza dei sistemi informatici dagli epigoni della digitalizzazione.
Se già non bastassero i problemi intrinseci esposti finora, c’è poi un altro problemino, questa volta legato al paradigma economico su cui si è sviluppato quest’ambito industriale. Un problemino che, fra le altre cose, contribuisce a renderci meno consapevoli del dovuto dei rischi che corriamo: il business delle consulenze. Si dà il caso infatti che i "pesci grossi", dagli enti pubblici alle aziende di grosso calibro, affidano la gestione e lo sviluppo delle proprie infrastrutture informatiche a ditte che se ne occupano di mestiere. Diventa così molto semplice, per le più smaliziate fra queste, offrire ai propri clienti la falsa sicurezza che il nuovo programma che sono chiamate a sviluppare per rimpiazzare o gestire un determinato processo sia “assolutamente infallibile”. Questo, insieme alla retorica della digitalizzazione a tutti i costi, sta portando a rimpiazzare processi che hanno sempre funzionato alla grande con inutili controparti informatiche. Un esempio banale: capita sempre più spesso che nei ristoranti ci si trovi davanti a una app per ordinare al tavolo al posto del classico menù. La beffa è che non solo non si risparmia tempo ma si introducono anche tutti i rischi che ha un’infrastruttura, come abbiamo visto, fragilissima. Finché fallisce l'applicativo per ordinare la pizza, però, non muore nessuno. Se invece fallisce il gestionale per la pianificazione degli interventi chirurgici magari qualcuno ci muore davvero.
E non è finita qui. Alcune di queste ditte che si occupano di “digitalizzazione dei processi” non operano dall'Italia, con programmatori italiani, ma dall'estero. Ora, al di là della terribile qualità del codice prodotto da una persona che passa le giornate in condizioni di semi-schiavitù a lavorare per un tozzo di pane, è un rischio concreto che questo tipo di ditte possa commettere una disattenzione e, per esempio, lasciare scoperti dati sensibili. O addirittura agire in maniera malevola: nascondendo gli errori, impedendo la manutenzione da parti di terzi dei programmi o semplicemente inserendo accessi che permettano ad attori stranieri malintenzionati di ricattare l’azienda o l’istituzione italiana di turno .
Anche alla luce di quanto accaduto il 19 luglio è più urgente che mai mettere delle regole chiare per questo delicato passaggio al digitale. Occorre stabilire che le ditte che vi partecipano impieghino lavoratori operanti dai confini nazionali; che il codice prodotto sia sempre rilasciato al fine di permettere un controllo preventivo su eventuali vulnerabilità e per la manutenzione; che le infrastrutture che ospitano i server siano in Italia e gestite da un'azienda pubblica. E tutto ciò, ovviamente, non basta: serve innanzitutto un'accurata analisi sia della fattibilità sia della sensatezza di questo fatidico passaggio in ogni singolo contesto. Specialmente per quanto riguarda il campo dei servizi pubblici, ogni ragionamento deve tener conto del presupposto che rimarrà sempre indispensabile lasciare a disposizione dei cittadini un accesso "offline", che non richieda un pc o una connessione a internet, specie nel caso dei servizi più delicati o irrinunciabili.
Come già fatto notare tempo fa, l'informatica è un mezzo per migliorare le nostre vite, non lo scopo delle nostre vite. Anche in questo frangente (anzi, sopratutto in questo frangente) servirebbe una classe politica e imprenditoriale lungimirante, preparata, con uno scopo ben chiaro che non sia quello di predisporre prima e papparsi poi l’ennesimo “bonus digitalizzazione”. Serve una visione organica di questo settore che sappia contemperare lo sviluppo industriale con il benessere sociale. Allo stato attuale formiamo ogni anno migliaia di giovani più che qualificati in questo campo ma li sviliamo: chiediamo loro titoli di studio incredibili per poi pagarli una miseria. È assurdo assistere alla fuga all'estero di queste figure essenziali e ritrovarsi poi a doverle rimpiazzare con le soluzioni a buon mercato summenzionate, che non fanno altro che esporci a pericoli tremendi. Abbiamo tutto l’ingegno e tutto il talento necessario per fare di questo settore un volano eccezionale per la crescita del nostro Paese: non possiamo lasciare che la solita miopia finisca per mandare, ancora una volta, tutto alle ortiche.
