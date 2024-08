“The blue screen of death” apparsa sui computer Windows di milioni di aziende per via di un bug nell’aggiornamento di una funzionalità della piattaforma di sicurezza CrowdStrike Falcon Sensor a fine luglio, ha gettato nel panico gli utenti IT di mezzo mondo. Ma non solo: per i CIO, l’episodio – un tilt causato da un difetto nelle procedure di test precedenti al rilascio, come chiarito dalla stessa società della cybersicurezza CrowdStrike – ha rappresentato l’ennesimo monito su quante fragilità si nascondano nei sistemi informatici. La prima debolezza è, sicuramente, la dipendenza da pochissimi fornitori software, che può finire col bloccare milioni di aziende più o meno essenziali per il funzionamento delle nostre economie, come compagnie aeree, banche, ospedali, operatori telefonici, della logistica e del commercio. Ma non solo.

“Noi per fortuna non siamo stati impattati, perché abbiamo sistemi diversi da CrowdStrike, ma l’episodio ha dato da pensare a tutti: ci si rende conto di come sia fragile tutta l’infrastruttura IT, nonostante i milioni spesi in sicurezza”, afferma Sonia Belli, IT Director di Qubica AMF, uno dei maggiori produttori mondiali di piste da bowling. “Se oggi ci togliessero Internet non faremmo più nulla, visto che tutto è in cloud e tutto è interconnesso. I contingency plan ci sono, ma spesso non vengono aggiornati o testati in modo da garantire una vera resilienza”.

Da questo punto di vista, aiuterà sicuramente il Cyber Resilience Act [in inglese] europeo (approvato già dal Parlamento dell’UE e in attesa di via libera del Consiglio): per i prodotti più critici l’immissione sul mercato comporterà verifiche a priori, documentate e di terza parte, per dare maggiori garanzie sia dal punto di vista della progettazione che dei processi di realizzazione e test. Inoltre, nel caso di un incidente come questo, sarà molto più semplice, per le autorità di controllo designate, indagare sull’accaduto e, eventualmente, richiedere azioni di miglioramento o ritirare il prodotto dal mercato. Il Cyber Resilience Act (che si prevede entri in vigore entro la fine dell’anno e in applicazione nel 2027) è un complemento al quadro normativo della Direttiva NIS2.