Dopo il caso Spectre-Meltdown c’è bisogno di serenità
I bug Spectre e Meltdown scoperti a gennaio all’interno delle architetture x86 di Intel sono stato definiti tra i peggiori della storia dell’informatica, per un paio di motivi. Intanto perché si sono manifestati nella struttura hardware dei chip e non possono essere risolti con aggiornamenti standard e perché si tratta di vulnerabilità presenti su architetture in circolazione da una decina d’anni.
Inizialmente sembrava che fossero problemi solo di Intel ma, pochi giorni dopo, si è compreso che erano a rischio anche i processori di altri Vendor, IBM inclusa.
I bug Spectre e Meltdown possono rappresentare un’ecatombe dato che i sistemi attaccabili potrebbero essere quelli di una banca, di una grande azienda, di un ente governativo, che, se non prontamente aggiornati, rimangono esposti alle vulnerabilità.
Successivamente all’annuncio c’è stata una rincorsa alla patch da parte di tutti i produttori di processori basati sullo stesso tipo di architettura, un lavoro complesso che richiede diversi giorni. IBM stessa ha ideato subito un’attività mensile di “correzione” delle infrastrutture presenti nei propri datacenter che forniscono i servizi cloud.
Che le vulnerabilità siano presenti o meno, ovvero che le diverse famiglie di processori IBM Power Systems siano effettivamente attaccabili o meno, in questa situazione meglio non rischiare.
Meglio fare qualcosa in più per rassicurare i clienti piuttosto che trovarsi coinvolti nell’isteria collettiva provocata dall’inevitabile polverone mediatico.
Ed è questa la strategia che ha perseguito fin da subito IBM, dimostrando particolare attenzione al problema e investendo tempo e risorse nella tutela dei propri clienti con il supporto dei propri Business Partner.
Durante il mese ipotizzato da IBM per mettere in sicurezza le proprie strutture il processo operativo è abbastanza chiaro. Subito Big Blue ha messo al lavoro i suoi sviluppatori per rendere disponibili al più presto le patch per tutti i sistemi in circolazione, in seconda battuta i clienti che hanno architetture IBM Power Systems in casa, dunque che non usufruiscono o usufruiscono solo parzialmente di servizi in cloud, dovranno darsi da fare per assicurarsi che i loro sistemi siano aggiornati e, quindi, protetti dalla vulnerabilità.
In tutto questo, ci si chiederà, cosa c’entrano i Business Partner? Durante il periodo di correzione l’azienda cliente dovrà giovarsi di un Business Partner responsabile, magari un Platinum come Uno Informatica, che segua la linea strategica di IBM e metta in campo tempo e risorse per supportare i propri clienti.
Probabilmente molte aziende saranno in grado di fare da sole, molte l’avranno già fatto, andando subito a informarsi presso le fonti ufficiali IBM, a verificare se i loro sistemi in-house siano a rischio e scaricando e installando le patch necessarie. E tu, qual è il tuo piano di difesa?
