Perché bisogna sapere come fare per poter delegare?
Questa è una cosa valida un po’ a tutti i livelli, se non siamo in grado di comprendere il compito che deleghiamo a terzi, non saremo in grado, nella migliore delle ipotesi, a apprezzare il risultato e, nella peggiore delle ipotesi, a distinguere un lavoro indegno da uno buono.
Se non sappiamo programmare non possiamo capire il codice che viene prodotto.
Questo concetto viene espresso nel manifesto di Raspberry Pi, senza un’adeguata formazione alle spalle, il vibe-coding potrebbe diventare solo un diverso modo per scrivere codice più in fretta. E chiunque abbia programmato lo sa che non è sempre un bene.
Perché è importante imparare a programmare?
Questo non vuol dire che tutti dobbiamo essere programmatori, ma questa attività sviluppa delle capacità analitiche che altrimenti difficilmente vengono acquisite, in quanto pone di fronte a dei problemi che vanno scomposti in piccoli componenti, con una visione generale al tutto. Questo allena la mente a risolvere anche problemi della vita reale (con buona pace di chi dice che la parola “problema” andrebbe evitata) senza per questo bloccarsi cercando una soluzione che non può essere monolitica ma la combinazione di tanti piccoli sottoproblemi da risolvere.
Oltretutto, si sottolinea nel manifesto, che la programmazione pone anche dei quesiti etici, cosa che i sistemi LLM semplicemente non possono fare. Inoltre questi ausili tecnologici sono strumenti probabilistici, che forniscono un output accettabile, che non vuol dire che sia sempre giusto.
Semplicemente utilizzare uno strumento LLM in un contesto in cui non abbiamo solide basi di conoscenza, ci espone al rischio di ritenere convincente un’allucinazione, esattamente come per i discorsi di un affabulatore che rischia di venderci (sarà capitato sicuramente a tutti una situazione analoga) qualcosa che non ci serve ma solo perché è stato bravo con le parole.
Imparare un linguaggio di programmazione permette ancora più grandi opportunità nell’epoca dell’IA
Sicuramente l’intelligenza artificiale avrà un impatto grande sul mondo del lavoro e sul modo in cui lavoreremo in futuro, ma la conoscenza della programmazione aiuterà tutti a districarsi in un mondo pervaso da macchine “intelligenti”. Infatti capire come “ragioni” una macchina aiuta a coglierne gli errori e a capirne i limiti anche per non riporre inutili speranze in un compito troppo arduo per lo strumento in se. Questa capacità di discernimento si apprende solamente sul campo quando si capisce che lo strumento che utilizziamo, tanto intelligente, in fondo non lo è. (Nda)
Saper programmare fornisce opportunità migliori con gli strumenti di IA
Il “coding” è una competenza di base che aiuta i giovani ad avere voce in capitolo in un mondo digitale
Chi nel 2025 ha un’età compresa tra i 40 e i 50 anni, ha vissuto diverse rivoluzioni tecnologiche nella propria esistenza e sa benissimo che ogni tecnologia, prima di essere matura, attraversa diverse fasi. La prima di queste fasi è l’entusiasmo generalizzato, nel quale tutti si buttano a capofitto a sperimentare e subito si crede che sia quanto di meglio ci sia mai potuto capitare nella propria esistenza. Il mercato, sempre di più adesso in tempi moderni, porta all’accessibilità, che porta con se una semplificazione estrema.
La conoscenza sarà la garanzia di aver voce in capitolo nel mondo digitale.
Solo per fare un esempio nei manuali delle automobili degli anni 80/90 c’era una magnifica sezione “cosa fare se…” (per lo meno sui bellissimi manuali del gruppo Fiat di quell’epoca me la ricordo distintamente) che, per ogni problema, proponeva una procedura di analisi, isolamento e risoluzione del guasto. Cosa capita, ora, nel 2025, se rimaniamo a piedi? Chi sa ancora come funziona un’automobile al punto di avere una chance di tornare a casa con un guasto nel bel mezzo della notte, magari anche nel bel mezzo del nulla? E non importa quanto più affidabili siano le automobili di adesso, i guasti capitano e, per loro natura, sono imprevedibili.
Quindi, il tutto si traduce in una questione di sopravvivenza. Se vogliamo avere voce in capitolo e non essere semplicemente guidati dalla tecnologia, dobbiamo comprenderla. Altrimenti ricadiamo nella terza legge di Clarke:
Qualsiasi tecnologia sufficientemente avanzata (da non essere compresa, Nda) è indistinguibile dalla magia.
Questo è particolarmente pericoloso in quanto, poi (e i fan di Harry Potter avranno qualcosa da ridire a riguardo) la magia viene considerata come infallibile.
Uno scenario cinematografico, per concludere
Lo stesso Clarke, in 2001 Odissea nello Spazio, ipotizzava che un militare, usando come obiettivo la buona riuscita della missione, avesse obbligato HAL 9000 (il computer di bordo dell’astronave) a mentire all’equipaggio, e mantenere segreto un fatto importante che gli astronauti avrebbero per forza scoperto una volta a destinazione. Questo, ovviamente nella finzione, spinse il computer di bordo a uccidere tutto l’equipaggio quando da Terra iniziarono ad arrivare notizie circa ciò che avrebbero trovato a destinazione.
David Bowman disattiva HAL9000 nel film 2001 Odissea nello Spazio
Nonostante sia solamente un opera di finzione, di una mente brillante come quella di Arthur C. Clarke, è proprio un esempio di una persona che, non comprendendo appieno la tecnologia, ha combinato un discreto disastro.
Ultimamente sono incuriosito da come si muova il mondo informatico, sembra che senza intelligenza artificiale non si debba nemmeno più pensare di poter fare nulla. Per carità, è una tecnologia interessante, ben lontana dall’essere matura e che procede a una velocità folle, spesso impedendo alle aziende una vera attività di controllo sulla sua adozione all’interno dei loro processi.
Una tecnologia molto costosa
L’intelligenza artificiale ha dei costi infrastrutturali immensi e anche energetici, a tal punto da riaprire un impianto di produzione elettrica nucleare, dismesso da tempo, e teatro di uno degli incidenti più spaventosi negli stati uniti: Three Miles Island
Con tutti questi investimenti, ovviamente, e il mio sarcasmo è d’obbligo per quanto sto per scrivere, il pubblico non può utilizzare cotanta meraviglia tecnologica perché i suoi creatori, semplicemente, NON POSSONO non profittare.
Spesso non c’è la possibilità di opporsi
Tralasciando Microsoft, per un momento, della IA di Meta, non possiamo liberarci, si è inserita nelle nostre chat di Whatsapp e in tutti i prodotti, senza nemmeno darci la possibilità di disattivarsi.
Il contesto normativo non aiuta
La nuova legge europea che regola le attività legate all’intelligenza artificiale (AI Act) non contempla il consenso e l’opposizione, o solo parzialmente, in quanto abbiamo il diritto di richiedere una decisione umana se la decisione automatizzata non ci soddisfa, ma credo che a volte sia estremamente difficile questa cosa, a volte anche per mancanza di trasparenza (pensiamo a un post eliminato automaticamente su una piattaforma social perché non rispetta gli standard della piattaforma)
Sul palco di LPD Day 2024 mentre spiego le novità introdotte da AI Act nel quadro normativo.
Il modello Pay per Use
Già da tempo stiamo andando nella direzione in cui non si possiede più nulla, il software è in cloud e in abbonamento, il sistema operativo è incluso con i computer e non può essere rifiutato. Sono spariti tutti i programmi di utilizzo del software per partner (es. Microsoft Action Pack) proprio per rendere sempre più competitivo tutto l’ecosistema 365.
Però non basta, Copilot è arrivato sempre più invadente sui nostri sistemi, che lo vogliamo o meno. Esistono delle procedure per la sua esclusione, perché siamo “sempre liberi di disattivare” (attenzione, tempo fa saremmo stati liberi di attivare) le nuove funzionalità, se non fosse che CoPilot 365 è “caldamente consigliato”, mi ricorda un pochino la famosissima “offerta che non si può rifiutare”.
Le nuove funzionalità di CoPilot sono a dir poco inquietanti, il comportamento che può avere di registrare tutto ciò che passa a video, memorizzare per scopi futuri, ecc. una volta era tipico dei malware (o forse lo è ancora e lo stanno solo vestendo a festa)
Le richieste dall’industria
Fatto sta che lunedì scorso ero in una piccola azienda produttiva del canavese (con qualche milioncino di euro di fatturato annuo e segreti industriali da difendere), che è entrata in contatto con InformatiCH Sagl in maniera casuale e che subito ci ha richiesto di tenere le fila della gestione infrastrutturale anche visto l’approccio molto conservativo con la gestione dei dati personali o aziendali.
Il titolare mi indica l’icona nella systray e mi chiede lumi, spiego a cosa serve, viste anche le indicazioni di cui sopra e me ne richiede l’immediata rimozione da tutta l’infrastruttura.
Poco male, mi collego al controller di dominio (sì, nemmeno quello lo mettiamo in cloud) e mi metto ad esplorare le GPO per la disattivazione di CoPilot.
Confronto delle GPO dei profili amministrativi, lato utente, sulle funzionalità di Windows tra Server 2019 e 10
Peccato che le GPO, già usate in altre situazioni, semplicemente non ci siano. Subito confronto quelle di Windows 10 (a destra nell’immagine) e quelle di Windows Server 2019 (a sinistra nell’immagine) in quanto basati sulle stesse tecnologie e più o meno contemporanei e semplicemente manca l’opzione.
In verde ho evidenziato una tecnologia molto recente, rilasciata dopo l’introduzione di Copilot, e le voci per gestirla ci sono.
Mi pongo la domanda che Windows Server 2019 sia più vecchio, quindi mi attivo, mi collego al nostro server di dominio, basato su Windows Server 2022 e controllo, nemmeno lì ci sono, controllo anche su un host Windows 11 e ci sono, nella stessa posizione.
Provo ad aggiornare i profili amministrativi sul server, ma ancora non compaiono. Semplicemente viene negata la possibilità di disabilitare semplicemente e per l’intera infrastruttura questa funzionalità. Ciò vuol dire che chi vuole disabilitarla in maniera centralizzata, deve spendere del tempo, parecchio, a generare e testare script in powershell, prepararsi chiavi del registro per poi distribuirle, divise per versione di sistema operativo, all’intera infrastruttura.
Mi sbaglierò ma mi sembra tanto un modo per impedirne la rimozione, oppure permetterla ma a caro prezzo. Per fare un lavoro fatto bene mi serve mezza giornata di lavoro per ogni infrastruttura e la manodopera ha il suo costo. Oppure procedere pc per pc, impensabile per infrastrutture di dimensioni grosse. Con tutti i problemi che questo comportamento crea con la compliance legale dell’azienda.
Possediamo veramente i nostri dati? Siamo in grado di sopravvivere a un evento cigno nero?
Questo articolo ha una genesi molto travagliata specialmente per quanto riguarda l’esporsi in una narrazione che è contraria al comune credere della maggior parte delle persone. Credo però che i tempi siano maturi e che il fatto che inizio a veder cambiare il sentiment condiviso sull’argomento mi porta a prendere la decisione di pubblicare il mio pensiero. Inoltre reputo che la rete di contatti che ho costruito dal 2018 sia sufficientemente preparata e dotata di critica costruttiva da poter prendere questo scritto come un’opinione e, quindi, poter instaurare un dibattito costruttivo.
Premessa: non è un post politico e non ne ha alcuna velleità. Tuttavia, per esprimere determinati concetti dovrò addentrarmi nel campo della geopolitica senza la presunzione di considerarmi esperto in materia.
Cosa significa un evento “cigno nero”?
Un evento “cigno nero” è definito come segue.
Un evento non previsto, che ha effetti rilevanti e che, a posteriori, viene inappropriatamente razionalizzato e giudicato prevedibile con il senno di poi. link wikipedia
Credo che la prima volta che tutti abbiamo sentito parlare di un tale evento sia stato con la pandemia di COVID-19 che ha portato a stravolgere tutte le nostre abitudini e ci ha fatto dubitare del mondo come lo conoscevamo.
Perché ne sto parlando? Perché ne comprenderemo bene il significato successivamente.
La dipendenza tecnologica da stati uniti d’America e Cina.
Volenti o nolenti il libero mercato ci ha portati in una situazione in cui tutto ciò che utilizziamo è prodotto fisicamente in Cina (pc, smartphone, tablet e apparati infrastrutturali) e il software operativo che utilizziamo su di essi (Windows, Mac Os, Android, IOs) è prodotto negli stati uniti d’America.
Ormai in Europa (intesa come continente e quindi anche in Confederazione Elvetica) c’è una dipendenza pressoché totale da questi sistemi ed è un fatto che ormai è assodato e diamo per assolutamente normale.
Ad aggravare la situazione le nostre abitudini digitali e di vita, sia privata che lavorativa, che ci porta ad essere sempre operativi e in mobilità, questo ha introdotto l’uso quotidiano del cloud.
Alzi la mano chi ha il proprio cloud privato.
Alzi la mano chi ha il proprio cloud privato
Bene, mi aspettavo una risposta del genere!
Come mai questa scelta?
Credo che il fatto di essere una minoranza, e per questo spesso ho avuto discussioni accese con dei colleghi, derivi dal fatto che non ho mai rinunciato, dopo un breve entusiasmo iniziale, ancora ai tempi del motto “Don’t be Evil” di Google, ormai sepolto, alla mia sovranità digitale e a quella dei miei dati.
Il fatto è molto semplice, il cloud pubblico è comodo, rapido, efficace e risolve un problema di fondo molto importante: quando bisogna collaborare con qualcuno, è molto probabile che abbia un account Google, Apple o Microsoft e non ci sia bisogno di creare account, deleghe o affini per una collaborazione efficace in un mondo moderno.
Il cloud come centro delle nostre attività digitali
Però… Abbiamo subito il fenomeno della famigerata Boiling Frog nel quale la rana, immersa nell’acqua inizialmente fredda, scaldata progressivamente, arriva a essere bollita viva senza accorgersene.
Il cloud era gratis, anche per scopi aziendali, spazio infinito, fino a quando la dipendenza non è stata tale da poter inserire delle fee di pagamento.
La maggior parte delle aziende non possiede più nemmeno la suite office, in quanto inserita nell’abbonamento Microsoft 365.
I sistemi operativi chiedono con insistenza asfissiante di attivare lo spazio cloud fornito, di memorizzare i dati importanti dei sistemi al sicuro nei propri cloud.
Addirittura (se qualcuno non coglie la pericolosità di questa faccenda ne discuto volentieri) per una comodità spesso non ricercata, dei dati che non dovrebbero MAI lasciare il computer dell’utente, vengono salvati comodamente nell’account cloud fornito. Un esempio eclatante è la chiave di sblocco manuale di Bit Locker che viene salvata nell’account Microsoft associato all’utenza Windows. Beninteso, ho recuperato i dati a un’azienda in questo modo, ma il titolare ha sollevato numerosi dubbi sull’utilità della crittografia così fatta. La sua preoccupazione, infatti, era di timori di accesso non voluto ai propri dati in caso di smarrimento del computer.
Quanto è difficile incontrare un cigno nero?
Cosa potrà mai andare storto?
Bene, qui arrivano le mie scrupolosità, puntigliosità e deformazione professionale e mi faccio aiutare da due concetti, di cui uno è un proverbio molto noto:
Una volta che una cosa la sanno in due non è più un segreto
Il cloud è il computer di qualcun altro
Il vecchio continente si trova tra l’incudine e il martello (sarebbe più appropriato dire tra gli incudini e i martelli) di:
una potenza mondiale che già conosciamo e il cui branding è “la democrazia migliore al mondo”
un paese che ha smesso da tempo di essere “terzo” e anche “secondo” mondo e che ha una cultura molto diversa da quella tradizionale e che sta, non più tanto educatamente, bussando alla porta per partecipare alla dirigenza dell’economia mondiale.
Nel frattempo le elezioni americane hanno eletto un presidente che ha una strategia abbastanza singolare che potrebbe sembrare quella di una politica urlata e che minaccia di usare la forza militare per “Make America Great Again” (btw, is America great again yet?)
In questi velocissimi primi mesi di governo è riuscito, con questa politica, a infastidire il dragone rosso al punto da convincere il paese a cancellare tutti gli ordini di aeromobili commissionati a boeing perturbando non poco il titolo in borsa del colosso costruttore di aeromobili.
Diciamo che la situazione non è delle più rilassate e sembra di vedere alcuni scenari studiati a storia nelle scuole superiori.
Abbiamo una guerra in Europa, Trump aveva promesso che sarebbe finita presto e forse è servito il funerale di un pontefice per riaprire un dialogo tra stati uniti e Ucraina interrotto in maniera clamorosa con l’abbandono del dialogo da parte di Zelensky delle trattative in corso alla casa bianca per aprire dei negoziati per la fine della guerra in Ucraina.
Trump ha una dialettica che fa spesso riferimento ai nemici dell’America (che come espressione stride un pochino con l’idea di una democrazia, secondo il mio modesto parere). Dall’altra parte seguono i fatti, la Cina senza tanti giri di parole, agisce.
Come ho già detto parlo di Europa come continente.
In mezzo c’è il vecchio continente. NOI.
Per cui riprendiamo la domanda iniziale “Cosa mai potrà andare storto?”
Abbiamo una probabilità non nulla che la situazione subisca una escalation e sappiamo tutti, per errori di gioventù o per sentito dire che quando due persone alterate iniziano ad alzare le mani è meglio non trovarsi in mezzo ma l’unica nostra speranza di spostarci geograficamente è legata alla deriva dei continenti. Non abbiamo tutto questo tempo.
Facendo un punto intermedio della situazione, ci troviamo potenzialmente in mezzo a due potenze che stanno entrando in conflitto e che l’Europa dovrà capire se e come rimanere neutrale o schierarsi. Per puro esercizio accademico, e senza credere di avere la sfera di cristallo, sperando di suscitare una discussione costruttiva con i lettori, ci accingiamo a valutare i possibili scenari accennati la volta scorsa.
La matrice standard per la gestione del rischio.
Vediamo che si aprono quindi 4 scenari di cui 3 veramente terribili, ma con probabilità di accadimento bassa (forse però non più bassa come una volta).
Chiunque abbia fatto un’analisi del rischio sa che deve calcolare il rischio commisurato alla probabilità di accadimento, e se il rischio è enorme con una probabilità di accadimento bassa va trattato al pari di un rischio più basso con una probabilità di accadimento maggiore. E, come possiamo notare dalla matrice di analisi del rischio della figura precedente, un rischio massimo, non lascia scampo di poter trattare nulla come se fosse un rischio basso, si parte da un rischio medio, che necessita, per compliance e buona prassi, di un’analisi attenta e per lo meno delle procedure di mitigazione o di fallback.
Gli scenari
Ecco vediamo di seguito gli scenari che, secondo la mia modesta opinione, si possono aprire con gli scenari internazionali descritti:
1) stati uniti d’America e Cina trovano un accordo e iniziano a dialogare e ciascuno lascia all’altro lo spazio che cerca.
Questo è quello più probabile e che conviene a tutti (stati uniti d’America e Cina in primis) ma la probabilità di accadimento, secondo il mio parere, sta diventando più bassa via via che gli stati si provocano a vicenda.
2) stati uniti d’America e Cina litigano e l’Europa si schiera con l’alleato storico
Questo potrebbe mettere in crisi le infrastrutture critiche di telecomunicazione perché il libero mercato ha portato, da diversi anni, a diminuire le quote di presenza di apparati di fabbricazione statunitense in tutto ciò che mantiene attive le nostre comunicazioni e non dimentichiamoci che questo potrebbe essere un rischio per la sicurezza nazionale di ciascuno stato.
“In recent years, the United States and several other countries have asserted that the company threatens their national security, saying it has violated international sanctions and stolen intellectual property, and that it could commit cyber espionage. Many U.S. policymakers view Huawei as a commercial extension of the Chinese Communist Party (CCP).”
Detto terra terra, il governo cinese potrebbe decidere di interrompere le nostre infrastrutture critiche. Come? Chiaramente con le backdoor di stato, mai dimostrate, sempre ipotizzate e sempre respinte con forza da parte del produttore principe Huawei. Avete presente quel detto che tendiamo a vedere i nostri peggiori difetti nel prossimo? Ecco, non è che se tutto fosse Cisco questo non potrebbe accadere a parti inverse. Non è che stiamo parlando di un litigio fra chierichetti.
3) stati uniti d’America e Cina litigano e l’europa si schiera con la nuova potenza nascente
Questo, d’altro canto porterebbe alla possibilità che le intelligence americane vogliano poter accedere liberamente ai nostri dati, che noi diligentemente memorizziamo “sul computer di qualcun altro” (come affermato nel primo articolo, il cloud è il computer di qualcun altro) oppure il governo americano potrebbe selettivamente o in blocco comandare la sospensione di account cloud dei “nemici della democrazia”.
Sicuramente il lettore attento avrà già capito che entrambe le situazioni sono distruttive per la nostra economia, per i segreti industriali delle aziende, per la pubblica amministrazione, e in fondo, ma non meno importante, per la nostra democrazia.
4) stati uniti d’America e Cina litigano e l’Europa riesce a rimanere neutrale, il che apre quattro sotto scenari possibili:
Per valutare la probabilità che l’Europa riesca a mettersi nelle condizioni di neutralità si dovrebbero fare delle considerazioni di natura politica, economica e commerciale che non ho la presunzione di affrontare e, ingenuamente, reputo che questo sia il meno probabile di tutti
4a) l’Europa rimane neutrale e ciò non da fastidio a nessuno dei due litiganti
Questo sotto scenario è molto molto improbabile e sarebbe uno scenario utopico nel caso si verificasse l’evento distopico e un po’, permettetemi la licenza poetica, “cigno grigio” del conflitto tra stati uniti e Cina.
4b) l’Europa rimane neutrale e ciò da fastidio a entrambi i litiganti
Questo è molto molto probabile, considerando però che è il più probabile sotto scenario di uno scenario a mio modesto avviso poco probabile, nel caso si scatenasse un conflitto e l’Europa riuscisse a rimanere neutrale. Porterebbe inevitabilmente a entrambe le conseguenze degli scenari 2 e 3 unite in una tempesta perfetta senza possibilità di scampo.
4c) l’Europa rimane neutrale e ciò da fastidio alla Cina
Questo è improbabile e porterebbe alle conseguenze dello scenario 2.
4d) l’europa rimane neutrale e ciò da fastidio agli stati uniti
Questo è improbabile e porterebbe alle conseguenze dello scenario 3.
Voleranno missili sopra le nostre teste?
Nel valutare un conflitto globale nel 2025 viene da chiedersi come potrà essere sul serio, abbiamo tutti in mente l’ultimo conflitto mondiale nei racconti dei nostri nonni o genitori e per quanto abbiamo studiato sui libri di storia. Però vediamo che nelle nuove guerre, anche se di conquista del territorio, molte azioni di offesa sono passate sulla rete e su obiettivi strategici connessi.
Attenzione, il conflitto potrebbe portarci in un’epoca in cui non viene sparato nemmeno un singolo colpo ma di contro potrebbe scaraventare il mondo in una nuova guerra fredda in scenari di spie, danni collaterali, persone sparite o morte in circostanze curiose anche se sostanzialmente dovrebbe lasciare i civili più o meno al sicuro.
La guerra quindi potrebbe essere essenzialmente a colpi di attacchi informatici ad infrastrutture critiche e limitazioni elettroniche alle libertà individuali di ciascuno.
Come può impattare un ipotetico conflitto sulle nostre libertà individuali?
L’informazione è potere, governare il flusso delle informazioni porta inevitabilmente a indebolire il potere di chi la detiene.
Impedire l’utilizzo delle informazioni può mettere in ginocchio chiunque. A tal proposito, e per cercare di distendere un pochino l’animo di chi sta leggendo propongo la visione di un video, sicuramente umoristico, critico e, purtroppo, perfettamente attinente sulla dipendenza delle persone nei confronti del cellulare.
Nel momento in cui si volesse mettere in ginocchio una popolazione di un paese nemico, sicuramente si potrebbe agire sui dispositivi connessi.
Ah, abbiamo comprato l’automobile (elettrica o no) di produzione cinese?
Siamo consci che alcuni modelli (poi magari scopriamo che tutti lo sono) sono dotati di consenso remoto all’accensione? Proviamo a pensare a chi andrà a piedi se scontentiamo la Cina?
Abbiamo comprato l’automobile di produzione statunitense?
Siamo consci che TUTTI i modelli del noto marchio americano di auto elettriche sono dotati di consenso remoto all’accensione? Proviamo a indovinare chi andrà a piedi se scontentiamo gli stati uniti d’America?
Tanto per dimostrare che non si tratta di un’esagerazione. E se tutto ciò può essere possibile per un errore, crediamo forse che non possa essere attuabile deliberatamente? Con la differenza che potremmo utilizzare il nostro autoveicolo solamente nel caso ci fosse un malfunzionamento nell’azione deliberata.
E se abbiamo comprato un’automobile di produzione europea? No perché forse pensiamo di essere dei chierichetti in Europa?
Pensiamo forse che non ci sia un cosiddetto Kill-Switch per prevenire definitivamente l’accensione e la guida del veicolo? Per limitare gli spostamenti tramite Geofencing? Attivare la guida autonoma per provocare deliberatamente incidenti e precludere l’accesso a infrastrutture come autostrade? Si consiglia, per approfondire gli scenari che si prospettano, la visione del film “Il mondo dietro di te”
Crediamo forse che sia stata un’esagerazione l’invito del governo europeo a dotarsi di kit di sopravvivenza?
L’Europa che reagisce a un ipotetico conflitto tra stati uniti d’America e Cina, generato con Chat GPT
A new hope
L’Europa è una nazione recente, gli stati membri non sono così coesi come gli stati degli stati uniti d’America.
Spesso sento usare la massima “l’America innova, la Cina copia e l’Europa norma e rimane indietro”. Sono fiero di essere in Europa, almeno come locazione geografica, ma il popolo d’Europa deve diventare fiero di questa posizione e capire che la vera democrazia che esiste al mondo è quella del vecchio continente dove la legge non cala le braghe di fronte all’economia, al profitto e alla crescita tecnologica a tutti i costi.
Qui rischio di cadere veramente in politica ma nel senso più puro della sua definizione, quella che viene dall’antica Grecia. Infatti la parola politica deriva dal greco, e nel suo significato originale:
“Era il termine in uso per designare ciò che appartiene alla dimensione della vita comune, dunque allo Stato (πόλις) e al cittadino (πολίτης).” (cit. Treccani)
Pertanto la mia parte politica è quello che ritengo sia il bene per ogni cittadino che si trova nell’area di influenza europea (Svizzera inclusa) dove le normative stringenti sulla protezione dei dati personali GDPR e LPD (scomode, per carità, ma a tutela dei diritti umani fondamentali) e sull’intelligenza artificiale vogliono porre dei limiti chiari a quello che possa e non possa essere fatto ai cittadini europei (e svizzeri).
La cosa importante, per la nostra salvezza, è che l’Europa non si faccia dividere dalla politica internazionale, rimanendo compatta in un ruolo fondamentale che è quello di prevenire abusi come quelli descritti nei miei scenari distopici.
Cosa possiamo fare TUTTI nel concreto?
Innanzitutto, come cita il motto di InformatiCH Sagl, “Riprendi il controllo dei tuoi dati!”.
Come si fa? Qualcosa in Europa si muove, e sempre più pubbliche amministrazioni e aziende critiche stanno passando all’open source e a strumenti come Nextcloud in modo da diventare di nuovo proprietari esclusivi, controllori e responsabili dei propri dati, dei propri utenti, cittadini e clienti.
Ormai la suite di Nextcloud non ha nulla che manca a quelle commerciali di Microsoft o Google ed ha anche una marcia in più, essendo un sistema federato, l’azienda A potrebbe garantire l’accesso a una porzione di dati all’azienda B istruendo la propria istanza di fidarsi dell’autenticazione dell’utente presente sull’istanza dell’azienda B senza bisogno di creare nuovi account. È comodo, proprio come accennavo nel primo articolo, come dare per scontato che chiunque abbia un account su un cloud “pubblico”.
Collaborare per una migliore operatività.
Il vendor lock-in
Di cosa parliamo con vendor lock-in? Come sempre mi faccio aiutare da Wikipedia.
Il vendor lock-in (blocco da fornitore), in economia, è il rapporto di dipendenza che si instaura tra un cliente ed un fornitore di beni o servizi, tale che il cliente si trova nella condizione di non poter acquistare analoghi beni o servizi da un fornitore differente senza dover sostenere rilevanti costi e rischi per effettuare questo passaggio[1]. I costi, dovuti a lock-in, che creano barriere all’entrata in un mercato possono comportare azioni antitrust contro chi detiene il monopolio di quel mercato.
E se la transizione fosse difficile per dei vendor lock-in? Beh, è sempre possibile impostare per lo meno la copia locale periodica dei propri dati e avere pronto un piano di disaster recovery e business continuity da validare e provare periodicamente per essere pronti allo scenario “cigno nero” che poi, con il mio proverbiale ottimismo ho già detto che tanto nero non è più.
Vorrei proporre una riflessione: diffidiamo dai servizi o prodotti “magici” che promettono disaster recovery e business continuity come se fossero soluzioni preconfezionate.
A mio modesto parere, parlare di “prodotti” in questo contesto è riduttivo.
Tutto ciò che garantisce la continuità operativa di un’organizzazione, infatti, non può essere trattato come una semplice fornitura.
La Business Continuity, se affrontata seriamente, è un processo, non un oggetto da acquistare. È infatti un insieme strutturato di scelte, verifiche, protocolli e responsabilità condivise.
Richiede metodo, documentazione, aggiornamento e un approccio consapevole.
Serve una procedura viva, integrata nella cultura aziendale, non un “tool” da attivare all’occorrenza.
Differenza tra prodotto e processo
Una procedura è simile a una check-list.
Il prodotto o il servizio sono quei componenti che vanno ponderati sull’acquisto, nell’eterna decisione aziendale “Make or Buy” con tutte le conseguenze del caso,
La tecnologia si compra ma è nostro preciso dovere e nostra responsabilità l’uso che ne facciamo.
Faccio un piccolo esempio:
Compriamo dall’azienda ipotetica “Backup, DR e BC” il servizio che ci garantisce determinati parametri di RPO e RTO, nello specifico, in estrema semplificazione, quanti dati siamo disposti a perdere (RPO) e quanto tempo siamo disposti ad aspettare per essere nuovamente operativi (RTO)
Ci fidiamo di aver comprato e installato il prodotto
Succede un evento avverso che richiede di partire con il Disaster Recovery (o Business Continuity)
Nessuno sa come procedere.
In questo caso si scatena il panico. Ma come sarebbe dovuta essere la procedura corretta?
Proviamo ad immaginare uno scenario:
Compriamo dall’azienda ipotetica “Backup, DR e BC” il servizio che ci garantisce determinati parametri di RPO e RTO, nello specifico, in estrema semplificazione, quanti dati siamo disposti a perdere (RPO) e quanto tempo siamo disposti ad aspettare per essere nuovamente operativi (RTO)
Stendiamo una procedura che indichi chiaramente CHI deve prendere la decisione di invocare il Disaster Recovery (o Business Continuity)
Nella procedura pensiamo agli scenari che potrebbero scatenare il disaster recovery totale o parziale
Nella procedura definiamo le responsabilità e le incombenze di ciascuna persona durante tutta la fase di attuazione della stessa
Nella procedura inseriamo un manuale operativo per ciascun gruppo di utenti (il vecchio “cosa fare se…” dei manuali delle automobili negli anni 80 per esempio)
Verifichiamo periodicamente che tutto vada bene e quindi:
Una volta che la procedura è pronta, va documentata per compliance ai fini LPD/GDPR/NIS
In questo modo otteniamo due risultati fondamentali: le persone non vanno nel panico perché sanno già cosa fare al momento opportuno; non abbiamo persone che perdono il controllo perché i carichi di lavoro sono sbilanciati.
In ultimo possiamo garantire ai nostri clienti che siamo pronti a lavorare per loro anche in condizioni che fermerebbero probabilmente la concorrenza.
In conclusione
Pensiamo a cosa può accadere con un accesso non autorizzato ai vostri dati personali o a dati riservati, ad esempio la classica directory “progetti futuri” di un’organizzazione aziendale, da parte di una realtà privata che ha un bilancio che supera di gran lunga il PIL di molti stati non del primo mondo.
Pensate a come può andare a finire se vedessimo il nostro progetto super-innovativo targato “Google” “Apple” o “Microsoft” oppure di una misteriosa startup dirompente che non si capisce come abbia fatto ad avere la nostra stessa idea, e averla messa in pratica e sul mercato in così poco tempo?
Pensiamo se nulla della nostra vita fosse più privato e venisse usato contro di noi.
E quando ci sarà una risposta a questi quesiti, fissate una consulenza gratuita con noi o con altre aziende sempre in grado di NON appoggiarsi a cloud terzi ma a costruire la propria infrastruttura a partire da una manciata di server sparsi in datacenter opportunamente distanti tra di loro e magari in stati diversi.
E con questo voglio dire di stare tranquilli, che non esistono problemi insormontabili se viene fatto nostro il detto latino “Si vis pacem, para bellum” che per me non significa comprare un fucile ma magari, con lo stesso prezzo, un paio di server.
Vi invito ancora a una discussione costruttiva nei commenti di questo post o anche in forma privata su Linkedin® o per e-mail.
Grazie di essere arrivati fino a qui a leggere, mi piacerebbe tanto sentire la vostra opinione!
Se volete proteggere le vostre aziende da una cattiva gestione dei vostri dati, seguite la nostra pagina InformatiCH Sagl
Spesso il vettore di infezione per un Cryptolocker è passivo, in quanto la tecnologia degli antivirus rileva il contenuto malevolo. I server di posta elettronica scartano in automatico gli allegati eseguibili.
Rimane solo da sfruttare l’anello più debole della catena. L’utente.
La fonte del problema
Scherzosamente i tecnici sono soliti dire che il problema risiede tra la sedia e la tastiera. Ciò purtroppo sta diventando tristemente vero in quanto siamo tutti abituati a fare più cose in contemporanea e quindi anche il più attento può cadere nel tranello.
Infatti il veicolo di diffusione più diffuso e più semplice da sfruttare è una finta e-mail di un servizio molto diffuso (principale operatore telefonico, principale banca, principale operatore elettrico) che annuncia promozioni, problemi di protezione oppure una bolletta dalle cifre preoccupanti.
L’utente, preso dal panico, di solito non nota che:
il mittente vero della mail non è quello che può sembrare;
i dati riportati sulla finta fattura non sono del tutto corretti;
a questo punto, entra in ballo la componente emozionale dell’utente che vuole assincerarsi che ci sia un errore o vuole verificare per poi esporre il problema all'”azienda” della comunicazione, o solamente approfittare dell’offerta allettante.
Gli antivirus non sono del tutto efficaci
L’approccio utilizzato per i cryptolocker fa in modo che il codice malevolo non sia mai incluso nelle e-mail che arrivano perché altrimenti verrebbe bloccato dai filtri antivirus (oppure sul tipo di allegato) sul server e-mail, oppure dall’antivirus a bordo del client. Viene infatti allegato un tipo di documento (PDF, Word, Excel, HTML contenente codice js che venga scaricato ondemand, ecc.) che permetta di avere un collegamento esterno, oppure un codice attivo (macro) che permetta di scaricare il codice malevolo.
Come funziona un cryptolocker?
Non è lo scopo di questo articolo fornire una spiegazione dettagliata sul funzionamento ma la parte fondamentale che permette di capirne la portata è che il virus identifica il computer, genera una chiave di codifica (la crittografia è asimmetrica, quindi la chiave per decifrare viene spedita a un server remoto) e inizia la parte di cifratura di tutte le informazioni che il virus riesce a identificare e e raggiungere. Non basta che il server non sia collegato al momento dell’infezione in quanto il cryptolocker è in grado di identificare altri computer e server in rete e crittografare il contenuto delle risorse che riesce a identificare.
Come ci si difende dai cryptolocker?
Le difese sono due per minimizzare i danni:
sensibilizzazione degli utenti coinvolti nel perimetro d’attacco;
compartimentazione dei dati e accesso in scrittura garantito esclusivamente alla porzione di utenti che ne hanno reale necessità.
L’unica difesa efficace è il backup, ma protegge di giorno in giorno solitamente, quindi è efficace per avere un salvataggio di dati importanti. Esistono però particolari situazioni in cui la perdita dei dati tra un backup e l’altro può essere problematica. Ad esempio la gestione di ordini con pagamento posticipato in un flusso di lavoro che ha eliminato la carta. In questo caso è impossibile risalire alla merce consegnata e al danno da fermo attività e a quello da perdita di dati, si aggiunge anche un potenziale danno che si subisce con l’impossibilità di riconciliare le informazioni della merce consegnata.
Come affrontare il problema?
Il problema si affronta dotandosi di un sistema di backup che permetta di avere i dati aggiornati in tempo reale e in contempo non avere una accessibilità diretta dalla rete come un file system di rete. Tranquillo Cloud ti aiuta a minimizzare il tempo di fermo di una rete dopo l’infezione da un cryptolocker in quanto è un contenitore che non è attaccabile direttamente dal cryptolocker e si integra con dei software che permettono di salvare sia i dati in tempo reale che lo stato delle macchine per un ripristino automatizzato e completo con, ad esempio, una chiavetta USB che permetta il ripristino da rete di un’intera postazione, fisica o virtuale in ambiente Windows o Linux. In ultimo non utilizza un protocollo di quelli che attualmente vengono ricercati dai cryptolocker. Utilizza una modalità di collegamento che non è immediatamente scopribile da un algoritmo di ricerca generico.
InformatiCH Sagl può aiutarti!
Contattaci per un preventivo e per costruire con noi un piano di protezione dei tuoi dati importanti e un piano di ripristino per permetterti di essere operativi nel più breve tempo possibile dopo un attacco del genere.
Acquista Tranquillo Cloud a partire da 179.- 89.- CHF all’anno per 1 TB di spazio disponibile. L’offerta è valida fino al 31/12/2019 e al rinnovo sarà a prezzo pieno.
Perché dovrebbe interessare a un soggetto svizzero, o europeo, una legge statunitense? E’ molto semplice in realtà, il motivo è presto detto.
Il Cloud Act permette l’accesso ai dati memorizzati anche all’esterno del territorio degli Stati Uniti.
Ciò vuol dire che se qualche ente titolato richiede al provider l’accesso a dati di un utente (sia esso un privato o un’azienda) è demandato unicamente al provider muovere delle obizeioni sulla possibilità che questo intervento violi le leggi estere riguardio la rivelazione dei dati dell’utente. Sempre il Cloud Act però stabilisce che un tribunale debba prendere in considerazione l’obiezione posta. Lo stesso tribunale, d’altro canto, può imporre la rivelazione di questi dati a prescindere dalla violazione della legge estera.
Il Cloud Actpermette l’accesso da parte dei governi esteri dei dati memorizzati anche sul suolo statunitense.
Inoltre il Cloud Act permette a ciascuno stato di richiedere l’accesso ai dati memorizzati negli Stati Uniti a patto che lo stato che ne faccia richiesta sia uno stato che rispetti i requisiti standard di rispetto dei diritti umani e della privacy. Il provider anche in questo caso può muovere delle obiezioni ma non è stabilita alcuna procedura all’interno della legge per farlo, pertanto le obiezioni del provider sono impossibili da opporre o a efficacia nulla.
Che rischi corro a usare un servizio di cloud pubblico di una compania americana?
Premesso che il cloud, semplificando all’estremo, è il computer di qualcun altro, le implicazioni di questa legge sono particolarmente insidiose.
I miei dati sono sempre al sicuro da accessi indesiderati?
Non proprio perché una volta che un tribunale ha stabilito che un paese estero ha i requisiti necessari per accedere ai dati degli utenti, non serve più alcuna autorizzazione aggiuntiva.
Pertanto qualsiasi stato, riconosciuto come liberale dagli Stati uniti, può chiedere direttamente al provider accesso ai dati che interessano.
Tutto questo cosa comporta?
Il prezzo da pagare per servizi gratuiti o molto economici si traduce non solo in “essere il prodotto del servizio” ma anche di non aver cognizione alcuna di accesso ai propri dati né che sia aperta una procedura nei propri confronti.
Pertanto conviene sempre scegliere un partner locale in modo da ricadere sotto la stessa giurisdizione, anche se può comportare (e spesso non è così) un prezzo maggiore. Di contro un partner locale fornisce anche assistenza sui propri servizi.
Tranquillo Cloud
Tranquillo Cloud è situato interamente in svizzera, sviluppato e commercializzato da una azienda svizzera pertanto soggetta alle leggi della confederazione elvetica. Pertanto sono maggiormente garantiti i diritti dei suoi fruitori. Non ospitando dati di una realtà americana non siamo tenuti a rispondere a determinate richieste. E costa meno di quanto si possa pensare. Contattaci per saperne di più.
Nell’epoca del commercio globale possiamo avere facilmente beni da ogni parte del mondo, ma ciò che è ancora più semplice è acquistare servizi. Questo lascia il cliente di fronte a una scelta tanto economica quanto strategica.
Il problema
Siamo abituati per natura a pensare che tutto vada sempre bene. Sarebbe il caso di soffermarsi a considerare alcune implicazioni che possono insorgere scegliendo un servizio esclusivamente sulla base del prezzo. Da una parte abbiamo la convenienza economica, dall’altra ci esponiamo a due rischi: uno di giurisdizione, e uno di natura pratica.
Il problema di giurisdizione
Cosa succede se per un qualsiasi motivo devo far valere i miei diritti contro un colosso internazionale? Generalmente tutti i big player non erogano, per motivi sia di bacino d’utenza che di costi, i servizi dislocati geograficamente in Confederazione Elvetica. Questo è il problema principe. Se devo far valere i miei diritti, tanto da privato che da azienda, contro una grande compagnia internazionale potrebbe essere molto difficile. Infatti il potere contrattuale da parte del singolo cliente è pressoché nullo nei confronti del fornitore.
Generalmente il potere che hanno gli utenti, siano essi consumatori o aziende, è solo dovuto al fatto che un riscontro negativo sia in grado di creare un danno di immagine. Il problema è che se il cliente non ha una grande risonanza online, non ha una gran voce in capitolo.
A questo punto potrebbe sorgere il problema di valutare di intentare una causa legale a un soggetto estero e con una disponibilità economica spropositatamente maggiore alla propria. Meglio lasciar perdere. In ultimo salvare dei dati su un servizio che appartiene a un’altra giurisdizione, può comportare un problema notevole nel caso di rispetto di normative nazionali di riservatezza.
Il problema pratico
Oltre a quanto scritto sopra, esiste anche un problema di tipo pratico che non va sottovalutato. I servizi gratuiti o molto economici, forniti spesso da colossi esteri, anche se a pagamento, sono senza assistenza. E’ vero, sono sempre corredati da guide scritte semplici e tutorial passo passo ma se nonostante questo nulla funziona? In questi casi purtroppo il cliente, a meno che non generi un fatturato consistente per il colosso internazionale, è abbandonato a se stesso. Va inoltre ricordato che spesso questi servizi sono corredati da un contratto non negoziabile che implica il fatto che il servizio può essere sospeso o cessato senza alcun preavviso per qualsiasi motivo da chi lo eroga.
Cosa succede al cliente abbandonato?
Come primo tentativo il cliente abbandonato si rivolge a un partner locale (troppo tardi) che deve cercare, con l’esperienza e le competenze in suo possesso, di aggirare il problema con uno studio attento del problema e numerosi tentativi che richiedono diverso tempo. Spesso però il cliente è spinto ad affrontare questa strada per la necessità di rientrare in possesso dei suoi dati preziosi. Alla fine il risparmio si annulla abbondantemente al primo problema.
La soluzione
Ovviamente la soluzione è di affidarsi a un fornitore locale che garantisca una risposta sufficientemente rapida e flessibilità nell’erogare l’assistenza necessaria. Anche se il problema non concerne il servizio erogato ma la sua fruizione. Il fornitore deve essere un partner e quindi interessarsi ai problemi del cliente come fossero propri. Quando la dimensione del fornitore diventa troppo grande, il rischio di essere considerati un numero piuttosto che un partner è forte.
Una realtà locale è soggetta alla stessa legislazione e alle stesse normative, quindi il rischio che l’utilizzo del servizio violi qualche norma della propria legislazione è nullo. Un partner locale, sebbene possa addebitare dei costi extra per l’assistenza subordinata all’utilizzo del servizio, è però sempre raggiungibile, si può incontrare presso la propria o la sua sede e avere un riscontro personale alla gestione dei problemi. E’ possibile instaurare un rapporto di fiducia con un partner locale sulla base di incontri e quindi si può avere un’idea basata sulla propria percezione della fiducia che può essere riposta in esso.
Una cosa molto importante dei partner più piccoli è che alcuni termini delle proposte contrattuali possono essere negoziati o addirittura confezionati su misura. Chiaramente ci saranno degli aspetti che non sono negoziabili, ma alcuni aspetti che potrebbero essere importanti per il cliente, magari sono adattabili alle esigenze reciproche.
In sintesi
E’ sempre bene effettuare le proprie scelte considerando l’offerta di un piccolo fornitore locale, anche se in prima battuta può sembrare più costoso. D’altronde la fiscalità e i costi del territorio sono gli stessi sia per l’acquirente che per il fornitore.
Tutti lavoriamo ormai con la tecnologia, fa parte della nostra vita quotidiana. Spesso riceviamo richieste di clienti che hanno subito un fermo alla loro attività e hanno fretta di ripartire.
Un guasto di un pc, per semplice che sia, nasconde un’insidia grande. Quanto tempo impiego ad avere un nuovo computer funzionante come quello di prima?
Di per sé è semplice, vado in un grande magazzino e lo scelgo come mi piace, che risponda ai miei requisiti. E poi?
Ho i codici di licenza dei programmi che erano installati?
I programmi che avevo sul vecchio pc, sono compatibili con quello nuovo?
Ho i supporti di installazione dei software che servono alla mia attività?
Devo coinvolgere il produttore del software per la licenza?
Con quali tempistiche il produttore mi garantisce assistenza?
I miei dati sono al sicuro altrove?
I dati sono recuperabili dal dispositivo rotto?
Con quali tempistiche torno in possesso dei miei dati?
Quanto tempo ci metto ad essere pienamente operativo?
Ora sorge il problema più grande
Il problema più grande
Hai sperimentato quanto sopra?
Quanto costa alla tua attività questo tempo?
La soluzione
Innanzitutto bisogna avere chiaro il costo giornaliero del personale, anche suddiviso per tipologia di personale, solo in questo modo è possibile calcolare il costo del fermo di una persona.
In secondo luogo bisogna approntare delle pianificazione attente di backup, eventualmente di disaster recovery, bare metal backup.
In ultimo bisogna pianificare periodicamente i test del recupero dei dati, di ripristino delle postazioni e avvalersi di qualcuno che sia in grado di pianificare attentamente tutte queste necessità.
Un piccolo consiglio, anzi due
Predisponi una postazione di scorta, in modo che il passaggio del personale fermo sia immediato.
Chiamaci, ti aiuteremo a pianificare tutto nel migliore dei modi.
Pronto a partire per le vacanze? Hai pensato a tutto? Alle piante che lasci a casa, alla macchina che sia in efficienza per il viaggio, al biglietto aereo, all’assicurazione di viaggio, ai powerbank, alla connettività… Ma ai tuoi dati hai pensato? Che ne dici di pensare a un backup?
L’uomo moderno non sempre ha presente che il dato è quanto di più importante ci sia nella sua vita digitale. Gli strumenti con cui può sfruttare i propri dati vanno e vengono senza problema, ma il dato è difficile da proteggere. Pertanto un backup prima delle vacanze è una prassi molto buona che in pochi svolgono.
Cosa si intende con Backup? Il Backup è quella cosa che avrebbe fatto comodo quando ne scopri l’utilità. Il backup è un salvataggio dei dati in un luogo sicuro e accessibile, che ti permette di ripristinare i contenuti dei tuoi dispositivi dopo che è avvenuto un evento distruttivo.
Ad esempio può essere un furto, uno smarrimento di un computer portatile o di un cellulare, un fenomeno elettrico che guasta irreparabilmente un nas e i dischi contenuti. Tutti noi tendiamo a pensare che il dato è sempre disponibile e che basta stare attenti per salvarlo.
In realtà il dato è uno di quegli elementi con duplice natura. E’ difficile conservarlo se è importante, è difficile liberarsene se è importante liberarsene.
In questo caso noi vogliamo mantenerlo, quindi un backup dei dati del nostro smatphone, laptop, da lasciare a casa prima di partire, o del nostro nas, da mettere in un luogo diverso dalla nostra abitazione, sono un’attività fondamentale prima di partire per le vacanze.
Se poi gli strumenti sono automatici e funzionano tutto l’anno, allora puoi proprio dormire sonni tranquilli e non solo durante le vacanze. Chiamaci o scrivici per saperne di più! Potresti scoprire che il backup non è un costo ma è una risorsa e costa meno di quello che pensi!
