Ora che il mondo sta tornando alla normalità dopo il disastro di CrowdStrike, sta venendo il momento tanto temuto, ossia quello dell’assunzione delle responsabilità. E in seguito all’interruzione globale che ha colpito milioni di computer Windows, Microsoft sembra attribuire la colpa alle normative imposte dall’Unione Europea.
Sebbene l’incidente sia stato causato da un aggiornamento difettoso del software di sicurezza CrowdStrike, l’accaduto ha messo in luce anche le vulnerabilità del sistema operativo Windows, l’unico sul quale si sono verificati problemi, e le complesse dinamiche del settore della sicurezza informatica.
Come sappiamo, venerdì scorso circa 8,5 milioni di computer Windows in tutto il mondo hanno sperimentato il famigerato “blue screen of death”, che ha paralizzato le operazioni di numerose aziende in settori critici come sanità, media, ristorazione e trasporti.
L’interruzione, scrivevamo, è stata provocata da un aggiornamento problematico del software Falcon di CrowdStrike, una delle numerose aziende di cybersicurezza che offrono soluzioni per migliorare la sicurezza di Windows.
CrowdStrike si è ovviamente cosparsa il capo di cenere e ha ammesso pubblicamente le proprie responsabilità. Ma quanto accaduto ha riacceso anche il dibattito sulla sicurezza di Windows.
L’accordo di Microsoft con l’Unione Europea
Da tempo, i problemi di sicurezza rappresentano il tallone d’Achille di Microsoft, coi suoi sistemi che sono stati ripetutamente bersaglio di attacchi da parte di gruppi criminali e attori statali.
Ironicamente, solo due mesi prima dell’incidente, un rapporto del Cyber Safety Review Board del Dipartimento della Sicurezza Nazionale degli Stati Uniti aveva concluso che “la cultura della sicurezza di Microsoft era inadeguata e richiede una revisione, in particolare alla luce della centralità dell’azienda nell’ecosistema tecnologico”.
In risposta all’incidente, Microsoft ha così adottato una posizione difensiva, sottolineando che le sue mani sono legate da un accordo stipulato con la Commissione Europea nel 2009. Secondo un portavoce dell’azienda, Microsoft non può legalmente isolare il proprio sistema operativo nello stesso modo in cui fa Apple, a causa dell’imposizione maturata in seguito a una denuncia dell’antitrust.
L’accordo in questione obbliga infatti Microsoft a concedere ai produttori di software di sicurezza il medesimo livello di accesso a Windows che ha l’azienda stessa. Questa apertura, sebbene favorisca la concorrenza e l’innovazione, espone anche il sistema a rischi maggiori quando qualcosa va storto, come dimostrato appunto dall’incidente di CrowdStrike.
Il confronto con Apple
Il contrasto con l’approccio di Apple è stato evidenziato da diversi esperti del settore. Patrick Wardle, CEO di DoubleYou, ha sottolineato come nel 2020 Apple abbia comunicato agli sviluppatori che MacOS non avrebbe più concesso loro l’accesso a livello di kernel.
Che, per chi non lo sapesse, è il componente centrale di un sistema operativo. Funge da ponte tra il software e l’hardware del computer, gestendo risorse critiche come la memoria, i processi e i dispositivi hardware. Sebbene questa decisione abbia creato difficoltà per i partner di Apple, ha anche significato che un problema simile al “blue screen” non potrebbe verificarsi sui Mac.
L’incidente di CrowdStrike mette dunque in luce il delicato equilibrio tra apertura e sicurezza nel mondo del software e solleva anche questioni più ampie sulla sicurezza informatica e sulla responsabilità delle grandi aziende tecnologiche nel garantire la stabilità e la sicurezza dei loro prodotti.
Ma dovrebbe anche richiamare l’attenzione sulle normative UE, che in nome della democratizzazione tecnologica e dell’abbattimento dei cosiddetti “walled garden”, impone direttive che limitano la capacità delle aziende di proteggere adeguatamente i propri ecosistemi. Al punto che spesso realtà importanti, come ad esempio Apple, preferiscono non rendere disponibili alcune funzionalità nel Vecchio Continente piuttosto che comprometterle, coi relativi rischi associati. O, come nel caso dei pagamenti tap-and-go, ubbidiscono controvoglia.
Oggi è stato il turno di Microsoft, domani potrebbe esserlo di Meta, al cui Whatsapp ad esempio l’Unione Europea sta imponendo un dictat potenzialmente molto rischioso quanto a sicurezza informatica. In attesa, dunque, di vedere se questo incidente porterà a cambiamenti nelle normative dell’UE, una cosa è certa: la sicurezza informatica continuerà a essere una sfida cruciale nell’era digitale.
