Alessio L.R. Pennasilico
Information & Cyber Security Advisor – P4I – Gruppo Digital360
La fine del supporto a Windows 7 si sta avvicinando e dal 14 gennaio 2020 le aziende si ritroveranno prive della protezione gratuita garantita da Microsoft, con importanti conseguenze dal punto di vista della sicurezza. Ma quanto veramente il mancato aggiornamento del sistema operativo è un rischio per la security aziendale? Digital4Trade ne ha parlato con Alessio Pennasilico, Information & Cyber Security Advisor di P4I-Partner for innovation: «innanzitutto occorre premettere che la dimensione del problema è questa volta un po’ più contenuta rispetto ai tempi della fine del supporto a XP, proprio perché la diffusione di Windows 7 è decisamente più contenuta, in parte perché molti hanno già effettuato il passaggio a Windows 10 ma anche perché non poche aziende continuano a mantenere le proprie macchine su XP». Proprio questo punto, ovvero l’incapacità delle imprese di mantenere i ritmi di ricambio hardware/software desiderati dal mercato, fa sorgere la domanda: è davvero soltanto una questione di costi?
Indice degli argomenti
Windows 7 sicurezza: cosa c’è dietro il mancato aggiornamento
Secondo l’esperto di security, quella economica spesso non è l’unica ragione del mancato aggiornamento: «Dietro l’ostinazione dell’aziende al mantenimento del vecchio OS c’è sicuramente un tema di disponibilità economica, ma anche di produttività. Il punto fondamentale è che attorno all’OS girano tutta una serie di applicazioni: può dunque succedere che una determinata azienda abbia in casa un’applicazione vitale per il proprio business, costruita attorno a un vecchio OS, che magari potrebbe essere non compatibile con l’aggiornamento e con il passaggio al nuovo OS. Ecco perché ci sono ancora in giro una marea di PC con a bordo XP, che supportano applicazioni che svolgono compiti tutt’altro che banali. Ecco perché non è possibile ridurre la questione a un semplice: sbaglia chi non aggiorna. Ci sono molti che vorrebbero ma che non possono materialmente farlo».
Windows sicurezza: il problema dei bug
Questo problema tecnologico impedisce una migrazione fluida e veloce, fattore che provoca tutti quei problemi di sicurezza già noti ai tempi di XP. Anzi, proprio per XP Microsoft decise – in occasione della scoperta di due Bug molto rilevanti – di rilasciare delle patch anche dopo la fine del supporto ufficiale, ma non è detto che questa decisione potrebbe essere ripresa in futuro. Il risultato finale è che qualsiasi azienda che non aggiorna il proprio OS resta esposta a molte famiglie di malware e di attacchi di varia natura.
Windows 7 sicurezza: le applicazioni aumentano il rischio
Un problema che è destinato ad aggravarsi per la presenza delle applicazioni: «Quando si utilizza un vecchio OS, si impiegano anche browser o applicazioni non aggiornabili (come flash), fattore che di conseguenza rende gli utenti ancora più vulnerabili. Vero è che si tratta di rischi noti e che potrebbero essere in parte indirizzati, ma agire in questo modo comporta uno sforzo significativo da parte degli amministratori IT e dagli esperti di sicurezza, che non tutte le aziende hanno la volontà e la competenza di affrontare. Usare oggi un vecchio sistema operativo, insomma, è come camminare sul ghiaccio sottile». Da parte sua Windows 10, spiega l’esperto di P4I, si presenta come un OS complessivamente più sicuro, sulla scia di quanto succede con tutte le nuove release di qualsiasi software, che di norma riescono a fare tesoro delle esperienze e dei possibili problemi strutturali, a parte casi eccezionali di passi all’indietro.
Windows 7 sicurezza: occorre adeguare il registro
Tutto questo, però, non deve far pensare che la sicurezza sarà una ragione sufficiente a spingere le imprese all’aggiornamento del proprio OS: «Finchè non ci saranno grandi incidenti di sicurezza non ci sarà una particolare corsa all’aggiornamento. Anche perché la data del 14 gennaio 2020 non implica la fine del funzionamento dell’OS, che dunque apparentemente continuerà a lavorare esattamente come il giorno prima. I responsabili della security avranno perciò a che fare con la classica domanda dell’AD o del CFO, che chiederanno sempre: se si spendono soldi per la migrazione, quali saranno i benefici per il mio business e la mia produttività? Se la risposta fornita sarà unicamente dal punto di vista dell’aumento dei rischi per la security, diventa allora molto improbabile che le aziende optino per il passaggio a Windows 10. Se invece si riesce a far passare il messaggio che il mancato aggiornamento dell’OS comporta una probabilità di fermo della produzione molto più elevata, adottando così il linguaggio degli interlocutori, diventa più facile una scelta di questo tipo», evidenzia Pennasilico.