Venerdì 17 marzo (guarda caso), l’ottimo Maurizio Ceravolo ha avviato una discussione su Google+ ha avviato su una discussione in cui esponeva un pessimo esempio di sicurezza informatica in cui si è imbattuto: un server FTP su Windows aperto, senza password e, peggio del peggio, collegato alla cartella radice dell’hard disk di un computer. Conseguenza diretta: il crawler di Google, non riscontrando impedimenti, ha indicizzato totalmente il contenuto di quel server FTP – meglio: dell’hard disk di quel PC connesso a Internet con un indirizzo IP fisso.
Quella discussione ci offre alcuni spunti di riflessione in tema di sicurezza informatica applicata agli esercizi commerciali e alle attività professionali.
Nella fattispecie, il computer dovrebbe essere quello di un supermercato (o di una piccola catena di supermercati); molto probabilmente si è voluto fare in modo che si potessero consultare i dati contenuti in alcune cartelle (per esempio: i punti raccolti nelle singole fidelity card dei clienti oppure il file RUBRICA.CSV con nomi, cognomi e indirizzi e-mail dell’organico del supermercato) da più postazioni. La soluzione scelta, purtroppo, appare immediatamente la meno sicura e persino un profano in materia noterebbe l’assurda configurazione del sistema.
Quando si deve affrontare il tema della sicurezza informatica in un luogo in cui si trattano dati personali di terzi (siano essi i dipendenti o i clienti) o dati che comunque permetterebbero di risalire all’identità di una persona, bisogna partire da un presupposto: la via comoda è da scartare.
Come già spiegato in precedenza, il primo responsabile per la sottrazione di dati e documenti personali è l’utilizzatore del sistema informatico (o chi lo amministra o chi lo progetta) e deve sempre – SEMPRE – agire pensando a come un intruso nel sistema potrebbe arrivare a leggere informazioni riservate; invece, troppo spesso, chi implementa un sistema informatico, fa sì che quel sistema sia semplice da utilizzare anziché difficile da violare. E non è detto che il rivolgersi a sedicenti esperti progettisti di sistemi informatici sia la soluzione migliore. Il professionista o il titolare di un esercizio commerciale che desideri un sistema informatico efficiente e sicuro per la propria attività, deve prima di tutto rassegnarsi ad usare un sistema complicato, da conoscere passo passo e, magari, arricchendo il proprio bagaglio di conoscenze.
La sicurezza informatica pret-à-porter è una clamorosa chimera! Non è sofficino surgelato da cucinare subito in padella ma deve essere considerato più come un piatto di alta cucina e, quindi, può essere cucinato e impiattato solo da uno chef stellato.
Non tutte le attività commerciali e/o professionali hanno le stesse esigenze di tutela, non tutte hanno l’esigenza di avere identici sistemi informatici, non tutte trattano internamente dati personali di terze parti, dunque è molto importante che ci si affidi sempre ad un vero esperto, magari certificato e in possesso di specifici titoli che ne attestino le competenze tecniche.
Diciamocelo: chi ha realizzato quel sistema basato sull’uso del protocollo FTP è sicuramente inesperto e pigro. La pigrizia possiamo dedurla dalla mancata migrazione verso sistemi più moderni ed efficienti come un semplice cloud storage condiviso fra più postazioni – eventualmente un cloud interno come OwnCloud o Lima – poiché creare un server FTP solo per consentire lo scambio di documenti fra punti vendita diversi è veramente degno dell’epoca del web 1.0.
In conclusione, chiunque abbia la necessità di utilizzare sistemi informatici consultabili in remoto da più postazioni deve investire tempo e denaro così come lo investirebbe se volesse farsi costruire una casa moderna e antisismica.