Categorie
Sicurezza

Heartbleed, una “lezione” utile per i provider e i clienti

Il bug Heartbleed scoperto nel protocollo OpenSSL è stato sicuramente un fulmine a ciel sereno tanto per i provider quanto per gli utenti, ma ciò non toglie che l’esperienza insegna e anche questa esperienza negativa non può che aiutare utenti e provider a comprendere come ci si sia comportati di fronte a una situazione inaspettata, che ha coinvolto l’importantissimo aspetto della sicurezza

Il bug Heartbleed scoperto nel protocollo OpenSSL è stato sicuramente un fulmine a ciel sereno tanto per i provider quanto per gli utenti, ma ciò non toglie che l’esperienza insegna e anche questa esperienza negativa non può che aiutare utenti e provider a comprendere come ci si sia comportati di fronte a una situazione inaspettata, che ha coinvolto l’importantissimo aspetto della sicurezza.Heartbleed, una “lezione” utile per i provider e i clienti

Così, i clienti possono guardare a come i provider hanno affrontato la situazione per carpire tutta una serie di segnali su come l’aspetto sicurezza venga trattato dal proprio fornitore. E allo stesso modo, i provider possono guardare alle modalità con cui si sono posti di fronte al problema per capire se i propri modelli organizzativi funzionano davvero.

Infatti, non è un caso che a un mese dalla scoperta del bug, secondo il ricercatore di sicurezza Robert Graham vi siano ancora oltre 300 mila server non ancora riparati, pari a circa il 50 percento dei server inizialmente individuati come vulnerabili.

Di questa sconcertante scoperta (forse ancora più sconcertante della scoperta del bug stesso), i clienti possono fare tesoro e iniziare a valutare il provider a cui si affidano quotidianamente, offrendo un giudizio positivo o negativo su come il service si sia comportato nell’affrontare la situazione.

Inoltre, se un cliente affida diversi servizi a differenti provider, il bug Heartbleed rappresenta una buona occasione per tracciare il comportamento dei vari fornitori e scoprire a quali sarebbe il caso di assegnare maggiori mansioni di responsabilità e da quali allontanarsi.

Per ottenere queste indicazioni, non bisogna poi fare molto. Infatti, basterebbe rispondere a una serie di domande del tipo:

  • Il provider era vulnerabile al problema?
  • Se si, hanno aggiornato rapidamente e in modo trasparente i propri certificati di sicurezza basati sullo standard OpenSSL?
  • È stato puntuali nel notificare ai clienti in modo chiaro e rapido il problema della vulnerabilità?
  • La notifica della vulnerabilità in quanto tempo è avvenuta?
  • La notifica di Heartbleed è stata eseguita in modo proattivo o il cliente è dovuto andare a scoprire da sé le informazioni di cui aveva necessità?
  • La risposta ai dubbi dei clienti è stata fornita in modo semplice, tramite un supporto chiaro o si è dovuti andare a caccia delle informazioni necessarie?

Le risposte a queste domande rappresentano il punteggio utile per valutare le performance del provider in termini di comunicazione con il cliente e, soprattutto, in termini di affidabilità e cura dell’aspetto sicurezza.

Heartbleed come banco di prova anche per i provider stessi

Allo stesso modo, anche i provider possono guardare all’occasione fornita dal bug OpenSSL Heartbleed per valutare le performance delle proprie risorse interne e, soprattutto, dei propri schemi organizzativi. Ad esempio, il fatto di non essere colpiti dal bug è già sinonimo di un reparto di sicurezza che sta lavorando molto bene, mentre in caso di vulnerabilità bisogna andare a indagare altri parametri di performance.

Come si è gestita la comunicazione con i clienti, come il supporto tecnico è riuscito a tenere testa alle continue richieste dei clienti in preda al panico, come si è proceduto all’aggiornamento dei certificati e la tempestività con cui si sono avvertiti i clienti riguardo ai cambi password sono solo alcune delle valutazioni che il provider può concertare per stimare la qualità dei servizi offerti.

In pratica, la situazione negativa avveratasi con la scoperta di Heartbleed poteva trasformarsi in un’imperdibile opportunità per il provider per dimostrarsi subito pronto. Infatti, i clienti non pretendono che il servizio offerto sia privo di vulnerabilità, ma si aspettano sempre che in determinate occasioni vengano presi i giusti provvedimenti, in tempi rapidi e con un buon livello di informazione chiara e diretta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.