C’è una singolare coincidenza che unisce la sensazione di una “Apocalypse now” vissuta a partire dalla mattina del 19 luglio scorso da una larga parte della popolazione mondiale, mentre tutti i servizi essenziali smettevano di assicurare il normale funzionamento, e l’omonimo film interpretato da Marlon Brando: il cognome Kurtz del protagonista del film, che è anche quello del ceo della società Crowdstrike da cui ha avuto origine ciò che è stato definito come “The largest IT outage in history” .
La cronaca di ciò che è accaduto molti di voi la avranno probabilmente vissuta in diretta ed è stata comunque ampiamente descritta da tutti i media. Ma quale lezione ci lascia e qual è la soluzione alle criticità evidenziate?
Il caso Crowdstrike: i fatti
Alle 4 del mattino, ora locale di Austin, Texas, qualche tecnico della società Crowdstrike che commercializza Falcon, la piattaforma di cybersecurity con la maggiore quota di installazioni sui sistemi Windows, ha diffuso su questi ultimi un aggiornamento di un driver affetto da un bug. Questo aggiornamento ha fatto sì che nelle ore successive tutti i monitor dei computer coinvolti si siano tinti di blu a causa della comparsa del Blue Screen Of Death (BSOD), nome in codice nerd della finestra di errore che avverte l’utente che Windows è andato in crash irreparabile e non sarà possibile avviarlo senza un intervento tecnico.
Dalla piattaforma X nelle ore successive il ceo di Crowdstrike, Kurtz, si è affrettato a rassicurare tutto il mondo che l’evento non aveva un’origine dolosa ma era stato causato da un bug, risultato poi essere di natura piuttosto banale.
Today was not a security or cyber incident. Our customers remain fully protected.
We understand the gravity of the situation and are deeply sorry for the inconvenience and disruption. We are working with all impacted customers to ensure that systems are back up and they can…
— George Kurtz (@George_Kurtz) July 19, 2024
La stessa società Crowdstrike ha, a distanza di poco tempo, pubblicato sia la soluzione per risolvere il problema (anch’essa piuttosto semplice) sia una ampia e dettagliata spiegazione tecnica della genesi del bug ma, malgrado ciò, l’effetto causato è stato ugualmente dirompente per un duplice motivo: l’ampia diffusione del prodotto Crowdstrike, circostanza che ha determinato il blocco di una quota importante dei sistemi Windows mondiali, compresi quelli che erogano servizi di cloud computing, e la necessità di accedere fisicamente e manualmente al singolo computer per poter eliminare il bug, vincolo che ha reso enormemente più onerosa e lunga l’operazione di ripristino della normale operatività.
La conseguenza è stata che nelle ore immediatamente successive uno a uno, come birilli di un bowling, interi settori come trasporti, banche, borse e sanità hanno dichiarato di non poter erogare i normali servizi a causa del suddetto bug, gettando nello sgomento e nel caos i loro utenti che hanno dovuto, ad es. provare l’ebbrezza di fare un check in manuale per prendere un volo aereo.
https://twitter.com/akothari/status/1814202068531552666
Le reazioni
Anche se l’origine del problema è risultata essere benigna e ascrivibile a un processo di controllo qualità del sw “rivedibile“, nondimeno l’esito ha reso evidente anche ai non addetti ai lavori quanto i benefici di reti interoperabili, standardizzazione dei sistemi e delle piattaforme informatiche e diffusione del cloud abbiano, sì, portato enormi vantaggi in termini di maggiore efficienza e risparmio nelle voci IT di spesa corrente ma abbiano anche causato, come “effetto collaterale”, una intrinseca vulnerabilità dei servizi ICT da cui dipendono anche quelle infrastrutture critiche che si vorrebbero invece “resilienti“, vulnerabilità che potrebbe essere sfruttata anche per azioni malevoli, in particolare in un momento come quello attuale in cui le infrastrutture critiche rappresentano un obiettivo privilegiato di guerre ibride e tradizionali.
Mentre sulla suddetta diagnosi le voci degli analisti chiamati a commentare l’evento sono risultate praticamente unanimi, quando si è passati al paragrafo delle soluzioni da adottare le opinioni hanno cominciato abbastanza velocemente a divergere.
Apocalittici, Integrati e pragmatici
Una prima fazione, che potremmo definire degli “integrati“, considera l’evento la riprova della necessità di “serrare i bulloni” al sistema attuale, senza interventi e forzature che possano imporre assetti diversi. In sintesi, secondo questa visione, eventi come quello del 19 luglio potrebbero essere scongiurati sia aumentando ancora di più l’attenzione alla sicurezza informatica – migliorando in questo modo la risposta anche a eventi di tipo malevolo – sia adottando velocemente i meccanismi e i processi di controllo previsti dalle recenti normative internazionali quali, ad es., DORA e NIS2, che nascono proprio allo scopo di aumentare la resilienza dei servizi IT e delle infrastrutture che su di essi si basano.
In questa fazione ritroviamo molti di coloro che, a diverso titolo, sono parte attiva e protagonisti dell’ecosistema ICT.
Dall’altra parte incontriamo invece una corrente numericamente crescente di “apocalittici” ovvero di coloro che considerano quanto accaduto la naturale conseguenza di aver affidato interi settori informatici a oligopoli di fatto. Questa situazione è riscontrabile anche dai non addetti ai lavori se parliamo dei sistemi operativi dei PC degli utenti – con Windows che rappresenta lo standard de facto – ma non cambia di molto se spostiamo l’attenzione su altri settori IT.
In effetti, guardando per esempio ai servizi di cloud computing – i quali, a dispetto delle promesse di resilienza non sono rimasti immuni al problema generato da Crowdstrike – non si può non rimanere impressionati dal fatto che un ristrettissimo numero di soggetti detiene la maggioranza assoluta del mercato con Amazon AWS che fa la parte del leone con il 31% di quota di mercato, seguito da Azure di Microsoft con il 25% e da Google Cloud con l’11%. Al quarto posto troveremmo la cinese Alibaba con il 4% ma si tratta di una quota realizzata prevalentemente nei mercati asiatici.
La tesi di fondo è che la concentrazione di servizi nelle mani di pochi soggetti, ancorché leader tecnologici nei loro rispettivi settori, porti con sé rischi sistemici insostenibili e in grado di annullare i vantaggi derivanti dalla standardizzazione e dalla velocità di evoluzione.
Mentre non stupisce ritrovare in questa fazione sia i fautori del software libero e della decentralizzazione della sua produzione ed erogazione – il famoso Bazaar contrapposto alla Cattedrale – sia chi, anche per motivi ideologici, ha sempre considerato deleteria la presenza degli oligopoli in qualsiasi settore a prescindere da eventuali vantaggi, va rilevato che ora anche i vertici delle società quotate in borsa, che da quei servizi IT dipendono, cominciano sempre più a sollevare qualche sopracciglio di fronte a questa situazione.
Seguiti in maniera più discreta da chi si occupa di difesa e sicurezza nazionale, come Anne Neuberger, viceconsigliere USA per la Sicurezza Nazionale per la cybersecurity e le tecnologie emergenti, che parla di “risks of consolidation” e di pericolo che gli avversari geopolitici dell’Occidente stiano attentamente studiando il modo di fare leva delle debolezze mostrate, in particolare da quella parte di mondo occidentale che più massicciamente si è affidata a una ristretta cerchia di fornitori e provider.
Infine, va rilevata una terza posizione rappresentata da chi, oltre a rilevare i rischi derivanti da un eccesso di concentrazione, punta il dito anche sulle strutture europee di governo preposte alla gestione e regolamentazione dei servizi IT.
È questa, ad esempio, l’opinione di Andrea Monti, Professore e avvocato che si occupa di questi temi dai primordi della diffusione di Internet, il quale considera formale e poco efficace l’approccio che ha finora adottato l’Unione Europea, teso a caricare di responsabilità i fruitori e gli utilizzatori più che gli erogatori di servizi IT e i produttori di software.
Nella sua analisi il prof. Monti ha evidenziato il pericolo che la crescente mole di normativa e relativi adempimenti spinga i responsabili IT ma anche chi si occupa di Risk Management verso il trasferimento dei rischi e l’esecuzione dei controlli ai fornitori esterni, facendo risalire il problema a monte nella catena di fornitura e, di fatto, deresponsabilizzando le strutture interne.
Nella sua conclusione il prof. Monti invoca un approccio più sostanziale auspicando sia una semplificazione della normativa sia una diminuzione degli adempimenti a carico delle strutture IT, spingendo nel contempo i produttori di software a sottoporsi a review di strutture indipendenti che possano certificare la qualità e sicurezza del software nell’interesse della collettività.
L’antefatto
La discussione sulle dinamiche di mercato dei servizi ICT, che vede in molti settori la presenza di pochissimi operatori, tutti provenienti dagli Usa, che di fatto monopolizzano il mercato imponendo le loro scelte tattiche e strategiche, e dei rischi sistemici che questa situazione comporta, è tornato all’attenzione grazie a questo evento ma il tema della concentrazione dei servizi ICT attorno a pochi operatori tutti collegati agli USA era già stato discusso in precedenza.
Rimanendo al settore del cloud computing, sono trascorsi almeno dieci anni da quando sia in UE sia in Italia era stato aperto un confronto sul rischio – nel frattempo diventato una certezza – di sudditanza tecnologica della UE verso gli USA ma spesso le discussioni si sono concentrate su specifici aspetti come i rischi per la privacy, quelli di monopolio/oligopolio commerciale o quello di veder sfumare la maggior parte delle entrate fiscale grazie alla capacità dei grossi operatori IT di sfruttare la legislazione UE per sfilare gli utili realizzati in Europa dalla tassazione.
L’episodio del 19 luglio dovrebbe invece essere l’occasione per affrontare, una volta per tutte e in maniera sistemica il tema della concentrazione di tecnologie, mercati e conoscenze attorno a un ristretto numero di operatori, cercando una soluzione che sia attuabile ed indirizzi tutte le criticità finora emerse.
