“Quand’é che hai iniziato ad occuparti di sicurezza?
Ho iniziato nel 1995, poco dopo l’uscita della 626″
Ieri sono stato a pranzo da Marco — un amico di lunga data– e fra un piatto di gnocchi e l’altro, abbiamo finito per parlare di Sicurezza.
Ultimamente –proprio grazie ai suoi spunti– penso spesso a come la parola “Sicurezza” rappresenti qualcosa di molto diverso nei nostri rispettivi mondi (cyber, il mio; fisico, il suo) ma, allo stesso tempo, è approcciabile in modo sostanzialmente identico.
La scorsa settimana, ad esempio, in un’altra occasione, gli avevo chiesto come lui approcciasse (tecnicamente) il grande tema del Risk-Assessment:
“Ma tu, per fare un risk-assessment ‘serio’, come fai? Che strumenti usi? …perché non mi pare che, a volerlo fare seriamente, la cosa sia banale“
Glielo chiedevo perché avevo da poco scoperto Monarc e me ne ero talmente innamorato da voler renderne banale la sua adozione. Monarc ha palesato in me quello che già da un po’ mi frullava per la testa: effettuare un risk-assessment in ambito cyber è una attività estremamente complessa, di fatto pressoché impossibile da condurre (seriamente) senza uno strumento specifico.
Marco, dal canto suo, evidenziava che la_persona / il_consulente, la sua passione, l’attenzione profusa nell’attività possono fare la differenza, e su questo aspetto –ovviamente– ci siamo trovati d’accordo.
(BTW: Marco utilizza strumenti diversi da Monarc, ma comunque specifici per il risk-assessment […e no; non utilizza un foglio XLS]).
In ogni caso, a dispetto della complessità, il risk-assessment resta un modo eccellente per mettere a fuoco la propria postura in ambito sicurezza.
Appena pronunciato il termine “risk-assessment” (io), lui è subito partito in quarta parlando di “rischi”, della necessità di identificarli e valutarli in termini di impatto, di prevenzione e di tutti quei concetti connessi che chi si occupa di sicurezza conosce bene. Era evidente fosse a suo agio…
Abbiamo ragionato sui numerosi video da lui condivisi sul suo profilo Linkedin, dove la terna “formazione/addestramento” + “risk-assessment” + “mitigazione” avrebbe quasi sempre salvato vite umane:
*CONTENT WARNING*
Il contenuto dei video seguenti È PARTICOLARMENTE VIOLENTO, ED INCLUDE SCENE DI MORTE!
Se siete facilmente impressionabili *NON VISIONATELI*
Parlavamo di questi: [elettricità 1] [elettricità 2] [Scala] [Fuoco] [cellulari][retromarcia][carichi sospesi]
In ogni singolo “incidente” che discutevamo, nessuno escluso, io vedevo chiaramente delle analogie rispetto agli incidenti “cyber” che sempre piu’ spesso vengono rilanciati dalla stampa generalista (…a volte –purtroppo– in modo anche superficiale o, addirittura, distorto).
Da parte mia –ad esempio– raccontavo a Marco del recente caso della ASL 1 Abruzzo [rif. 1, 2, 3], che circa un mese fa è caduta vittima di ransomware e, proprio a causa di una lunga serie di errori, si è ritrovata non soltanto vittima di una esfiltrazione di dati personali di carattere medico (e quindi, cd. “particolari” (ex “sensibili”), ossia degni dei più alti livelli di tutela), ma soprattutto si è vista annientare la quasi totalità del proprio sistema informativo… che è rimasto KO per oltre una settimana
Nella mia testa, un DOWN che si protrae per oltre una settimana è indice di un sacco di cose. E un flusso di 500GB di dati che passa inosservato sul bordo della propria rete… è indice di un altro sacco di cose.
La (mia) verità è che, in ASL, nessuno ha mai realmente testato un piano di disaster-recovery (ammesso che esista). Nessuno ha mai riflettuto sulle implicazioni (tecniche e temporali) di un ripristino integrale, from-scratch, dei servizi applicativi vitali per il funzionamento della ASL. Probabilmente nessuno ha neanche mai stilato un elenco di tali servizi…. E nessuno ha mai valutato attentamente le modalita’ di esecuzione dei backup, la loro disponibilità ed i conseguenti RTO e RPO.
E, in tutta franchezza, nessuno –lungo tutta la linea gerarchica che va dal Responsabile dei Sistemi Informativi su su al Direttore Generale e, piu’ su, al Presidente di Regione Abruzzo–, ripeto, nessuno si è mai preso la briga di definire un piano di comunicazione adeguato ad un incidente di tale portate, in una struttura di tale portata.
Mentre raccontavo questi aspetti, Marco annuiva spesso. Certamente i rischi sono diversi: mettere a contatto un’asta metallica con dei cavi di alta tensione è certamente diverso dal cadere vittima di ransomware. Tuttavia non potevo fare a meno di notare profonde analogie fra, ad esempio:
Marco: Mondo “reale” | Damiano: Mondo “cyber” |
Utilizzare un’asta metallica per pulire i vetri di una locomotiva elettrica, sui binari “attivi” | Utilizzare una infrastruttura di virtualizzazione e lasciare l’interfaccia di management accessibile da Internet |
Lasciare un pesante carico sospeso, penzoloni, sulla linea di transito di uomini e mezzi | Effettuare il backup dei dati e lasciarlo in un’area dello storage attigua a quella dei dati backuppati |
Manovrare un muletto “in retromarcia”, senza guardare | Cliccare su un allegato, ed eseguirlo, senza alcun tipo di verifica |
Usare il cellulare, in moto | Installare un server e lasciarlo raggiungibile da Internet senza alcuna precauzione |
e potrei continuare…
È alla luce di queste analogie che approfittavo della competenza di Marco per capire come si gestisse tutta questa complessità nel “suo” mondo (quello reale)… e soprattutto cercando io, poi, di capire cosa mancasse al mondo “cyber” per raggiungere gli stessi livelli qualitativi che si riscontrano in tema di “Sicurezza del Lavoro” (che, almeno nel nostro Paese, rappresenta un’eccellenza di cui essere fieri).
Le conclusioni che ho tratto da questo confronto, sono essenzialmente tre:
- “tempo“: la “Sicurezza sul lavoro” è un concetto diventato mainstream a fine anni 90. Ha quasi 30 anni. La “Sicurezza Cyber” non è ancora un concetto diventato mainstream (a mio parere, almeno). Ogni guidatore di Transpallet ha fatto un corso specifico per usarlo; quando lo usa, indossa scarpe antinfortunistiche; il Transpallet è sempre dotato di dispositivi di sicurezza volti ad evitare incidenti. Nel mondo cyber, tutto questo, manca;
- “metodologie di enforcement“: la “Sicurezza sul lavoro” è *VERY ENFORCED*, specialmente in settori a rischio non banale (complessi industriali; edilizia). La “Sicurezza Cyber” ha una tipologia di enforcement che… di fatto è quasi inesistente.
Quest’aspetto (l'”enforcement”), porta al corollario seguente; - “tipologia di responsabilita’“: ne abbiamo discusso approfonditamente con Marco, ed ho chiesto ripetuti chiarimenti. Ho capito che quando parliamo di “Sicurezza sul lavoro”, siamo in ambito di giustizia penale, con responsabilità che è sempre “personale”. In parole povere: l’incidente *DEVE* sempre essere ricondotto ad una persona fisica, ed il “default” punta verso il titolare aziendale. Non sono un giurista ma… tenderei a dire che in ambito cyber gli incidenti vengono trattati in sede “civile” (…non ho traccia di condanne relative ai casi eclatanti degli ultimi anni, a partire da quello di Regione Lazio).
Probabilmente i punti 2) e 3) sono una conseguenza di 1). Non ne sono sicuro… ma il fatto che fra 20 anni le cose possano cambiare (in ambito cyber) mi pare verosimile.
In termini concreti, è stato interessante ragionare sui vari obblighi previsti dalla normativa vigente. Ad esempio:
- Formazione: come tutti i lavoratori dipendenti sanno, una formazione di base in ambito “sicurezza (sul lavoro)” è obbligatoria. Al lavoratore viene anche somministrata una formazione specifica per l’ambito ICT, in quanto trattasi di attività lavorativa “a rischio basso” (secondo la normativa del lavoro….);
- Ruoli specifici: la normativa (del lavoro) prevede oltre al “lavoratore”, una pluralità di figure addizionali:
- Preposto: in una azienda meccanica, ad esempio, è colui che impartisce direttive ai lavoratori. In quanto tale, è soggetto a formazione specifica;
- RSPP: è una figura che deve essere nominata dal Datore di Lavoro, e che non può essere delegata. Supervisiona e indirizza l’intera filiera della sicurezza al fine di garantirne la compliance normativa;
- ASPP: è il braccio operativo dell’RSPP. Verifica che quanto regolamentato (dall’RSPP) venga effettivamente attuato
- Controlli: i controlli vengono svolti da tre organi distinti:
- ASL locale: attraverso un proprio ufficio ispettivo (ufficio Prevenzione), effettua verifiche direttamente nei cantieri edili o nei luoghi di lavoro in genere e, in caso di non aderenza alla normativa, commina sanzioni;
- Ispettorato Nazionale del Lavoro: è un’agenzia governativa con funzioni di vigilanza sul lavoro, previdenza sociale, assicurativa e per la salute e sicurezza negli ambienti di lavoro. Può comminare sanzioni;
- INAIL: può effettuare ispezioni e comminare sanzioni
A tutto questo si aggiungono altri aspetti legati, ad esempio, alla prevenzione degli incendi (ed alla relativa certificazione da parte degli organi preposti – i Vigili del Fuoco) o alla prevenzione di rischi specifici (agenti chimici; gas; etc.).
Confesso di non aver colto i dettagli che Marco mi snocciolava puntualmente. Ho però capito che nel mondo reale è (stato) tutto previsto, tutto analizzato e tutto regolamentato. Insomma: se rispetti le regole esistenti, la probabilità di incidente si abbassa di un fattore 100 e, in caso di incidente, la probabilità di un infortunio si abbassa di un ulteriore fattore 10.
Chiaramente, esattamente come in ambito “cyber”, anche nel mondo di Marco non è tutto oro quel che luccica. A (mia) domanda specifica, non ha avuto difficoltà a dire che anche nel suo settore il mondo è sostanzialmente diviso in due:
- da una parte, chi è realmente interessato a prevenire l’incidente e, quindi, è orientato ad un rispetto rigoroso della norma, in funzione di tale obiettivo;
- dall’altro, chi è interessato al rispetto della norma unicamente per evitare il quadro sanzionatorio.
A differenza del mondo cyber, però, nel mondo reale la categoria 2 è relativamente “piccola” e, soprattutto, un “incidente” fa spostare immediatamente l’imprenditore dalla categoria 2 alla 1. Tutte le aziende medio/grandi, comunque, sono in 1.
Un ultimo elemento che mi ha fatto riflettere, durante la chiacchierata, è stato quello dei “Near Miss“. Fra le varie chiamate che Marco riceve, spesso si tratta di imprenditori (o Responsabili della Sicurezza) che lo contattano subito dopo un “Near Miss”. È stato interessate sentire cosa possa essere scatenato da un mancato incidente (che quindi *NON* causa alcuna conseguenza) in termini formativi e di revisione di processi aziendali. L’analisi di un “Near Miss”, infatti, è fondamentale per mettere in campo azioni correttive e di miglioramento che, se ignorate, potrebbero portare ad un “infortunio”.
Uno dei suoi recenti ingaggi in ambito Near-Miss, riguardava un errore nell’uso di un transpallet elettrico: un neo addetto, per movimentarlo piu’ rapidamente in uno spazio ristretto, lo “tirava” con una singola mano. Ciò ha comportato l’avvicinamento del piede rispetto alla ruota centrale anteriore e, in occasione di una manovra particolare, la salita del (pesante) traspallet sul piede del lavoratore. La scarpa antinfortunistica ha evitato l’infortunio. Coinvolto nell’analisi dell’incidente, Marco ha fatto notare la formazione e, soprattutto, l’addestramento non adeguato (il transpallet prevede il caso in cui venga tirato, ma in quel caso è necessario effettuare una manovra preliminare –descritta nel manuale– che adatta il dispositivo di sicurezza e, soprattutto, riduce drasticamente la velocità di movimentazione). Il lavoratore cercava di giustificarsi (“Ma se faccio cosi’, ci metto mezz’ora in piu’ a caricare il camion!“) alché il Dirigente, presente, è intervenuto tranquillizzando il lavoratore e ribadendo che deve essere l’organizzazione aziendale ad “adattarsi” ai requisiti di sicurezza. Di fatto, se il caricamento del camion richiede più tempo per essere fatto cosi’ come previsto dalla normativa, evidentemente di tale tempistica occorrerrà tener conto nella pianificazione aziendale.
Un altro Near-Miss riguardava il sollevamento di un pesante carico tramite un carroponte. Il peso del carico e la presenza di spigoli metallici vivi ha causato il taglio/tranciamento delle fasce utilizzate per l’ancoraggio al carroponte, con il conseguente crollo del carico. Soltanto la rapidita’ degli operatori (che si sono istantaneamente allontanati a raggiera) ha evitato il peggio. Nell’analisi dell’incidente, di nuovo, è emersa una lacuna formativa/addestrativa (la “fascia” non va posta a contatto del carico: è necessario utilizzare angolari specifici frapposti fra fascia e carico) e, a valle di una rapida verifica, è stata riscontrata la presenza di numerose fasce “compromesse” che, qualora utilizzate in futuro, avrebbero potuto ulteriormente favorire l’insorgenza di tagli (e “crolli”).
Nel mio mondo, nel mondo “cyber”, i miei occhi vedono numerosi Near-Miss. Ma sono io a vederli. Non è l’imprenditore (o il Responsabile della Sicurezza) ad accorgersene. A differenza di Marco, quindi, a me non chiama nessuno per chiedere suggerimenti e aiuto.
Fra i più diffusi Near-Miss che riscontro, noto:
- infrastrutture di backup mai testate realmente o, peggio, assenti;
- nessuna segmentazione nell’infrastruttura di rete, specialmente rispetto alle “postazioni di lavoro” ed ai “server”;
- scarsa attenzione nell’interfacciamento ad Internet di risorse particolarmente critiche;
ma anche:
- scarsa attenzione rispetto al tema “formazione”
Detto in altri termini, quando i miei occhi vedono una infrastruttura di calcolo, un armadio rack, un armadietto con switch e/o router… insomma, quando mi capita di frequentare aziende (piccole o grandi) o anche enti pubblici (piccoli o grandi), i miei occhi vedono istantaneamente quello che Marco (ed i suoi colleghi) vedrebbero altrettanto istantaneamente visitando una fabbrica di tondini di ferro, in India, oppure un artigiano che realizza lampadari , oppure un piccolo laboratorio di produzione di forbici o ancora un artigiano del legno.
ATTENZIONE: non sto affatto criticando i lavoratori ripresi in questi video che, anzi, più che dignitosamente fanno il proprio lavoro, spesso con il sorriso sulla faccia e contenti di lavorare per assicurarsi una paga. Voglio solo rimarcare il fatto che per questi lavoratori (per loro, in primis!), il concetto di “sicurezza sul lavoro” è semplicemente inesistente. Non è proprio nella loro testa. E quasi certamente è assente anche nella testa dei loro datori di lavoro e, a monte, nel quadro normativo del Paese nel quale operano.
Ecco: quando vedo, sento e leggo di sicurezza informatica, spessissimo i miei occhi vedono scenari assimilabili a quelli mostrati da questi video…
In conclusione, sicuramente Marco non è un esperto di cybersecurity… e altrettanto sicuramente io non sono un esperto di Sicurezza del Lavoro. Ciononostante, mi sto sempre più convincendo che in ambito cyber, la preparazione, le competenze, l’esperienza e le capacità di valutazione ed analisi che un vero professionista di Sicurezza del Lavoro può apportare, vanno ben oltre la media di quello che normalmente riscontro nei cosiddetti “esperti” di cybersecurity. Il mio suggerimento, quindi, è: se vi state rendendo conto che in ambito cyber siete messi male e volete iniziare a mettere ordine, fate uno squillo a Marco e fatevi una chiacchierata lunga ed esaustiva sul “risk-assessment” (raccontato da lui…). Poi, il resto, piano piano, verrà da se…