Due parole sul caos informatico mondiale di ieri

Tristemente calzante, a parte la random person in Nebraska. Credit: xkcd.

Ne hanno parlato già tutti e io non ho molto da aggiungere sulla base delle informazioni tecniche rese pubbliche fin qui. Vorrei solo sottolineare che la colpa primaria, qui, non è di Microsoft, come hanno fatto sembrare molti dei servizi giornalistici sulla vicenda, ma di CrowdStrike, la società di sicurezza informatica che ha realizzato maldestramente e rilasciato incautamente l’aggiornamento del suo software che ha paralizzato i computer che usano Windows e i servizi di sicurezza di CrowdStrike.

Non ha senso che un aggiornamento di un software così vitale sia stato distribuito in massa a tutto il mondo pressoché contemporaneamente, invece di testarlo fornendolo a un gruppo ristretto di clienti che accettano di fare da tester e poi distribuirlo a tutti. Questo è l’errore principale, a mio avviso, e non capisco perché sia stato commesso. Può darsi che ci sia stato qualche aspetto di urgenza particolare di cui non sono a conoscenza.

La colpa secondaria è degli amministratori dei sistemi informatici e dei dirigenti che troppo spesso impongono a loro software e ambienti operativi inadatti e forniscono risorse insufficienti per fare bene il loro lavoro, fregandosene della ridondanza e dei piani di disaster management. 

Più in generale, c’è un problema di monocultura e di eccessiva interdipendenza. Monocultura nel senso che è pericoloso che oltre la metà delle principali aziende mondiali usi lo stesso software, qualunque esso sia, perché se per caso quel software risulta danneggiato o vulnerabile gli effetti sono globali (come si è visto). Eccessiva interdipendenza nel senso che avere i dati nel cloud è comodo, avere un controllo centralizzato dei dati è comodo, e tutto questo riduce i costi, ma significa anche che le singole filiali dipendono totalmente dalla possibilità di collegarsi ai sistemi centrali, persino per le cose più banali. E questo è un problema di architettura software ma anche di mentalità aziendale, che aspira al controllo e non riesce a delegare.

I risultati di queste scelte si sono visti ampiamente in questo sconquasso planetario. Avete voluto mettere tutto nel cloud? Avete voluto mettere tutto su macchine con un unico sistema operativo? Ve l’avevamo detto che farlo senza un Piano B era da incoscienti. 

Ma tanto sono gli utenti a pagare e penare per i disservizi, e sono gli amministratori di sistema a dover impazzire per ripristinare, spesso uno per uno, tutti i computer che ora sfoggiano uno Schermo Blu della Morte. Mentre le aziende che hanno causato tutto questo la passeranno liscia, perché il contratto probabilmente prevede delle clausole di esenzione da responsabilità e soprattutto perché tanto il costo operativo di migrare a un prodotto concorrente è troppo elevato per le aziende clienti e quindi tutti continueranno a usare CrowdStrike esattamente come prima.