Roma – All?interno della divisione che segue i grandi clienti, Microsoft Italia ha di recente creato un team che si occupa di sicurezza e della messa in atto delle iniziative definite in seno allo Strategic Technology Protection Program (STPP). Marco Agnoli è il coordinatore di questo gruppo ed il responsabile delle attività di sicurezza di Microsoft Italia. A lui abbiamo posto alcune domande sullo STTP e su altri temi inerenti la sicurezza.
Punto Informatico: Perché Microsoft ha sentito soltanto oggi l?esigenza di varare un programma su vasta scala come lo STTP?
Marco Agnoli: Noi avevamo già una serie di iniziative sulla sicurezza ben prima che il programma STTP venisse varato. Penso, ad esempio, ai security bulletin, che offrono la possibilità di ottenere direttamente via e-mail tutti gli aggiornamenti di sicurezza e le notizie sulle vulnerabilità; ai vari servizi di consulenza ed a quelli offerti dalla divisione per il supporto tecnico; ai vari tool di sicurezza; a tutta la documentazione, ecc.. Tutte iniziative che erano già in essere ma che, probabilmente, non siamo stati in grado di presentare in modo uniforme e razionale come invece stiamo facendo oggi grazie allo STTP.
Questa iniziativa ha, da un lato, raggruppato e messo un po? in ordine tutte le attività sulla sicurezza che Microsoft portava avanti già da tempo; dall?altro lato, ha proposto una serie di innovazioni ? fra cui i nuovi servizi associati a Windows Update; le patch e i service pack cumulativi; i Security Tool Kit , ecc. ? nate per dare nuova linfa e nuova vitalità all?iniziativa sulla sicurezza.
Sicuramente quello che è successo di recente ? anche al di là degli attacchi informatici ? ha fatto sì che il tema della sicurezza sia divenuto ancor più centrale ed il mondo aziendale abbia cominciato a pensare alla sicurezza non più come ad un costo ma come ad un investimento. Microsoft, che è un?azienda con un ruolo di piena rilevanza nel mercato del software, si è sentita in dovere di razionalizzare le proprie energie, metterle insieme, presentarle in modo adeguato e completare l?attività che già andava svolgendo con tutta una serie di servizi.
PI: Il recente intensificarsi della proliferazione di worm come Code Red e Nimda ha in qualche modo condizionato la presa di posizione di Microsoft nei confronti della sicurezza? Lo STTP ne è una conseguenza?
MA: Ovviamente no. Come dicevo prima, Microsoft è andata incontro a quel trend che, soprattutto dopo gli accadimenti di settembre, ha visto le tematiche di sicurezza guadagnare sempre più priorità nell?agenda dei responsabili dei sistemi informativi aziendali.
Microsoft, che ha un ruolo importante nel mondo del software, si è sentita in dovere di rispondere adeguatamente al sorgere di nuove esigenze da parte del mondo aziendale.
Non vorrei che si pensasse che l?iniziativa STTP sia stata conseguenza dell?arrivo dei worm. Questi non sono stati che la conferma di una carenza di cultura inerente la sicurezza nel mondo dell?IT, carenza a cui Microsoft sta cercando di porre rimedio varando una serie di iniziative che possano mettere in evidenza come il problema sicurezza sia di grande rilevanza nel mondo delle aziende così come nella vita di tutti i giorni. Come ha detto Brian Valentine, vice presidente della divisione Windows, se Microsoft non facesse tutto questo evidentemente non sarebbe un buon leader.
PI: Microsoft non ha sentito in qualche modo l?esigenza di riabilitare la propria immagine sul lato della sicurezza?
MA: Direi proprio di no. Riferendomi ancora ai worm, bisogna tenere conto del fatto che quando questi hanno colpito, le patch che avrebbero potuto fermarli erano già a disposizione da tempo. Chi voleva proteggersi da questi virus aveva già tutti gli strumenti per farlo. Quindi, a mio avviso, per Microsoft non è questione di riabilitare la propria immagine, ma semmai volontà di diffondere, attraverso queste nuove iniziative, una cultura della sicurezza che, probabilmente, non è così radicata nelle persone che rivestono ruoli di responsabilità all?interno dei reparti IT aziendali. In una buona parte delle grandi aziende non esiste neppure un responsabile della sicurezza, o se esiste è una persona che oltre ad occuparsi della sicurezza si preoccupa tipicamente anche di altre attività legate all?IT. In merito ad un problema così grave come quello della sicurezza le competenze dovrebbero invece essere molto forti e la cultura molto approfondita: Microsoft si sta proprio occupando di diffondere questa conoscenza, questa competenza.
A mio avviso le cose più importanti incluse ad esempio nei Security Tool Kit distribuiti da Microsoft non sono tanto i tool di sicurezza, ma quella raccolta di documenti e di best practice che raccolgono suggerimenti su come migliorare le politiche di sicurezza e le migliori esperienze che le aziende vogliono mettere a disposizione di tutti. Sono questi documenti e queste esperienze, a mio avviso, il grande valore di quel Tool Kit.
Noi, anche attraverso corsi e seminari, stiamo tentando di convincere le aziende che la sicurezza non è un dazio che deve essere pagato al fornitore di antivirus o di sistemi operativi, ma un investimento essenziale per tenere il sistema IT in perfetta efficienza e funzionalità. In Italia non è ancora molto diffusa questa mentalità e molto spesso la sicurezza viene considerata solo quando si subisce un danno rilevante ed è ormai troppo tardi per porvi rimedio.
A tal proposito mi ha particolarmente colpito un?indagine divulgata dal Computer Security Institute dell?FBI, e denominata ? Computer Crime and Security Survery 2001 ?, che quantifica in circa 2 milioni di dollari per azienda il danno subito dagli ultimi attacchi, decisamente più di quanto questi soggetti possano aver mai speso in sicurezza.
PI: Quali iniziative state varando qui in Italia in seno allo STTP?
MA: Per prima cosa abbiamo già attivato il supporto tecnico gratuito per chi è stato colpito da un virus e necessita di assistenza: in questo caso i nostri clienti si potranno infatti avvalere del numero telefonico 02-70398398 (opzione 1, assistenza tecnica). A breve, accedendo all? home page di Microsoft Italia dedicata alla sicurezza, sarà poi possibile riempire un modulo per farsi recapitare gratuitamente il CD del Security Tool Kit. Al momento stiamo valutando la possibilità di sgravare i clienti anche dalle spese di trasporto.
Accanto a questo, stiamo facendo partire un?attività di formazione accessibile attraverso i centri Microsoft che già tenevano corsi sulla sicurezza. Ancora una volta stiamo cercando di mettere insieme iniziative che in larga parte già esistevano ma in modo frammentato.
Dall?altra parte offriremo dei servizi in modo che le aziende possano far riferimento ai partner Microsoft che hanno competenza sulle tematiche di sicurezza. Un?azienda, a partire da oggi, è così in grado di sapere che può far riferimento alla società ?pinco pallino? invece che direttamente a Microsoft. Inoltre porteremo avanti un?attività di valutazione dello stato dei nostri clienti sulla sicurezza aiutandoli a definire e applicare alcune linee guida per incrementare la loro sicurezza.
Con alcuni partner stiamo inoltre cercando di collaborare con le aziende per aiutarle a comprendere anche gli aspetti della sicurezza non prettamente legati alla tecnologia, come quello legale. Come saprai, in Italia abbiamo una delle normative più avanzate in questo senso, ma molte aziende non sono ne sono a conoscenza ed ignorano le eventuali ripercussioni che possono derivare, nel nostro Paese, nel non adempiere le politiche di base sulla sicurezza previste dalla legge: basti sapere che le condanne possono essere anche penali.
Alcuni partner ci aiutano a completare le nostre competenze tecnologiche con quelle legali e organizzative. Questo, insieme alle nostre varie attività di formazione e di divulgazione che stiamo portando avanti, completa la localizzazione del programma STTP.
PI: Come ha reagito Microsoft all? analisi del Gartner , firmata da John Pescatore, in cui si consigliava alle aziende colpite dai recenti worm per Internet Information Server di passare a server web alternativi?
MA: Innanzitutto c?è da dire che lo stesso Pescatore, di recente, sembra essere in parte tornato sui suoi passi. La sua proposta è infatti un rimedio ben poco efficace, una cura che rischierebbe di essere peggiore del male. Come ripeto: i problemi di sicurezza che hanno permesso la proliferazione di Code Red e Nimda erano già conosciuti da tempo, come erano da tempo disponibili i relativi rimedi. Esiste inoltre un tool, IIS Lockdown , che aiuta gli amministratori a definire al meglio le politiche di sicurezza associate al server web.
PI: Come vengono localizzate le patch di sicurezza?
MA: Come per tutti i prodotti Microsoft c?è uno staff apposito che si occupa, per l?appunto, della localizzazione degli aggiornamenti. Il tempo che in genere intercorre fra l?uscita della patch in inglese e quella in italiano è di 45-60 giorni, un arco di tempo che serve non soltanto per tradurre il programma da una lingua ad un?altra, ma spesso anche per effettuare attività di testing in congiunzione con i prodotti localizzati in italiano.
PI: Con il varo di .NET My Services e degli altri servizi destinati agli utenti di Internet, Microsoft finirà per accentrare sui suoi server una quantità enorme di dati sensibili relativi ai propri utenti. Qualcuno vede questo come un grosso rischio per la privacy. Cosa risponde?
MA: Sono ormai diversi gli esempi di aziende nostre clienti che hanno database di diversi terabyte di dati sensibili che gestiscono rispettando tutte le norme di sicurezza e di privacy. In Italia aziende come RAI o grossi istituti bancari gestiscono moli rilevanti di dati sensibili utilizzando i nostri prodotti, come SQL 2000. Al di là delle polemiche che altri si possono divertire a fare, direi quindi che Microsoft ha senz?altro la capacità di gestire grandi moli di dati con prestazioni rilevanti e nel rispetto delle leggi sulla privacy. Naturalmente c?è sempre da tenere in considerazione l?equilibrio fra sicurezza e facilità d?accesso, due concetti spesso in contrapposizione fra loro. Ma questo problema riguarda tutti i fornitori di servizi e non soltanto Microsoft.
PI: Microsoft è a favore del no-disclosure , ossia dell?opportunità, secondo alcuni, di porre dei limiti alla pubblicazione delle informazioni riguardanti le vulnerabilità di sicurezza. Può chiarirci meglio questa posizione?
MA: Il problema che ci si è posti è quello di diffondere le informazioni sulle vulnerabilità di sicurezza senza creare dei danni per nessuno. Diffondere immediatamente tutti i dettagli sulle vulnerabilità ? inclusi gli exploit, ossia i metodi su come sfruttarle ? può essere controproducente nel momento in cui queste informazioni vanno in mano a chi, in modo malizioso, le sfrutta per fare dei danni. D?altro canto è ovviamente molto importante che chi si occupa di sicurezza abbia tempestivamente tutte le informazioni per collaborare nel trovare una soluzione. Il problema è proprio quello di capire quali soggetti abbiano diritto a far parte di quella comunità che avrà poi la responsabilità, nell?interesse di tutti, di non divulgare i dettagli sulle falle di sicurezza.
PI: Un suo commento sullo scontro fra Microsoft e il mondo Open Source.
MA: Sicuramente l?open source non è da sottovalutare. Già diversi dirigenti di Microsoft nel recente passato hanno sottolineato come la cultura che sorregge il movimento open source sia assai rilevante. Ci sono anche degli aspetti di questa cultura che abbiamo ripreso: basti pensare al programma Shared Source , in cui abbiamo applicato concetti mutuati proprio dall?open source per condividere le conoscenze e mettere i nostri clienti nella posizione di poter valutare il nostro codice e confrontarsi direttamente con i nostri sviluppatori. Questi sono tutti fattori certamente positivi. Per quanto riguarda invece altri aspetti, ed in particolare il concetto di tutela delle proprietà intellettuali, fra noi e l?open source esistono delle divergenze.
Dal punto di vista del mercato, inutile nasconderlo, il mondo open source ha una presenza significativa e quindi deve essere considerato un player importante del mondo IT. Io ritengo comunque che, sia in termini economici sia in termini di funzionalità, scalabilità e disponibilità di software, in questo momento il mondo del software commerciale può ancora essere considerato più vicino alle esigenze delle aziende e degli utenti. Questo non preclude il fatto che ci possano essere delle alternative a questo software, alternative in alcuni casi valide e che, cosa importante, l?utente possa essere libero di scegliere in modo autonomo e obiettivo quale soluzione possa meglio adattarsi alle proprie esigenze..
E? palese il fatto che esistono applicazioni open source che alcuni utenti decidono di utilizzare: se loro sono convinti che tali applicazioni risolvano i loro problemi, ben venga. In un mondo dove si combatte per avere il servizio migliore, chi ha il servizio migliore è giusto che venga scelto dal mercato.
Intervista a cura di Alessandro Del Rosso