Cavallini (Consip): "La fine di XP è un vero problema, ecco perché"

SICUREZZA

Nonostante si dica che i problemi della fine di XP siano un "al lupo! al lupo!", i problemi sono reali e le conseguenze poco comprese in particolare da PMI e cittadini. Ecco che cosa dovremmo fare e che cosa chiedere alle istituzioni

di Matteo Cavallini (CONSIP)

Lo scorso 8 aprile, come ormai noto ai più, è terminato il supporto di Microsoft al sistema operativo XP. Non ci saranno quindi più aggiornamenti mensili per XP e le vulnerabilità si accumuleranno, irrisolte, su tutti i PC che ancora si basano su questo sistema operativo.

Perchè questo fatto è importante? Come si riflette questa situazione nelle nostre case, nelle nostre imprese e nelle nostre pubbliche amministrazioni? Quali saranno le ripercussioni? Cosa avremmo dovuto fare e cosa possiamo ancora fare?

Queste domande aspettano delle risposte, meglio ancora se da fonti ufficiali e con prese di posizione formali e supportate da atti concreti. Proviamo quindi a fare qualche riflessione e a cercare di dare qualche risposta alle importanti domande che abbiamo anticipato.

Perché la fine di XP è un fatto importante?

La fine del supporto a XP riveste un carattere di primaria importanza perchè un PC che non è possibile aggiornare è una macchina inaffidabile e verosimilmente destinata a diventare vulnerabile nel breve volgere di qualche mese. Con le tipologie di malware che sono attualmente in circolazione, ciò si tradurrà in violazioni, furti di dati, perdite economiche, malfunzionamenti e aumento generalizzato degli attacchi basati su reti di computer infetti (botnet).A questo scenario si deve anche aggiungere che, nell’emergenza, si dovranno fare i conti con la riluttanza o l’impossibilità ad operare da parte degli operatori e dei fornitori esterni in quanto non esisteranno soluzioni certificate o applicabili.

Qual è la situazione nelle nostre case, nelle nostre imprese e nelle nostre pubbliche amministrazioni?

Una ricerca commissionata da Microsoft a IDC a cavallo tra 2013 e 2014 mostra la diffusione di XP in Italia. I dati che emergono sono sconfortanti: oltre il 30% delle PMI con meno di 500 dipendenti ha più della metà di PC con XP, mentre tra le Pubbliche Amministrazioni Locali oltre il 66% è nella condizione di avere oltre la metà di PC con XP. Nella case degli italiani la situazione è migliore ma resta circa un 20% di PC con Windows XP. Purtroppo, ad oggi, non sono state pubblicate rilevazioni ufficiali per quanto riguarda invece la situazione a livello di PA centrali e più in generale nei grandi enti statali.

Quali saranno le ripercussioni?

Presumibilmente, si verificheranno una serie crescente di incidenti legati alla diffusione di malware e a vari malfunzionamenti di applicazioni e sistemi.Detto così suona grave ma, per un non addetto ai lavori, può non risultare di immediata comprensione. Proviamo quindi a fare qualche esempio di scenario:

● I PC XP dei dipendenti pubblici collegati a banche dati di servizi pubblici (catasto, anagrafi, multe online, ecc.) saranno maggiormente vulnerabili a malware finalizzati al furto di credenziali, con conseguenti furti di dati di cittadini e con modifiche non autorizzate ai dati in esse contenuti;

● I PC XP di privati cittadini e aziende saranno maggiormente vulnerabili a malware finanziario con il conseguente aumento di  transazioni fraudolente e di trasferimenti illeciti di denaro;

● alcune applicazioni “mission critical” di privati e enti pubblici presenteranno malfunzionamenti sui quali non si potrà porre rimedio in quanto faranno uso di componenti riferibili a XP;

● in mancanza di un’analisi accurata delle applicazioni e del hardware utilizzato, potrebbe non essere possibile o consigliabile migrare verso sistemi operativi più recenti, ritardando di fatto le azioni di contenimento di eventuali problemi.

Cosa avremmo dovuto fare?

Tra le molte cose che si sarebbero dovute e potute fare c’era sicuramente la rilevazione dell’entità del problema almeno a livello della PA, con l’elaborazione di un piano di rientro che mostrasse chiaramente tempi, costi e linee generali di approccio.

Se poi questa attenzione al problema fosse stata oggetto di pubblici annunci avrebbe certamente innalzato la sensibilità anche a livello delle società private e dei cittadini, contribuendo in maniera sostanziale alla risoluzione della problematica a livello nazionale.

Infine, altre nazioni europee, prime tra tutte Regno Unito e Olanda, hanno stipulato degli accordi con Microsoft finalizzati al mantenimento del servizio di aggiornamento di XP per i computer governativi per almeno un altro anno. Questi accordi hanno costi variabili ma tutti nell’ordine dei milioni di euro. Certamente un impegno economico rilevante che però, evidentemente, è stato valutato come male minore rispetto alle conseguenze che si potrebbero avere ignorando il problema.

Cosa possiamo ancora fare?

E’ urgente che si prenda coscienza di questo problema e che si corra rapidamente ai ripari. Deve essere attribuita una responsabilità specifica per l’analisi e la risoluzione di questo problema a Iivello della PA.

Le strutture individuate dai recenti decreti in tema di sicurezza cibernetica (CERT nazionale, CERT-PA e NSC) dovrebbero poter avere un quadro esatto del rischio e promuovere e facilitare la migrazione. In particolare, è importante che il messaggio sull’importanza e le implicazioni arrivi la dove vi è meno sensibilità, ovvero nelle PMI e nelle famiglie. Le grandi aziende si sono già mosse e hanno un quadro esatto della situazione, nella PA la situazione è complessa e non completamente compresa, mentre nelle PMI e nelle famiglie non vi è consapevolezza sui rischi.

30 Aprile 2014

TAG: sicurezza, consip