Un singolo file difettoso mise fuori uso 8,5 milioni di macchine Windows, fermò voli e congelò sale di trading. Sotto DORA, la domanda non è più «di chi è la colpa?» ma «dov'era la vostra simulazione?»
Il 19 luglio 2024, un aggiornamento di contenuto difettoso di un agente di sicurezza endpoint molto diffuso rese incapaci di avviarsi circa 8,5 milioni di sistemi Windows in poche ore. Le compagnie aeree fermarono le flotte, gli ospedali tornarono alla carta, e le istituzioni finanziarie scoprirono che un singolo file di terze parti poteva ottenere ciò che nessun attaccante aveva mai ottenuto. Nessun avversario, nessun malware, nessuna intrusione: è esattamente ciò che ne fa il caso di studio di resilienza più pulito del decennio.
L'incidente
Un fornitore, un file di configurazione, una distribuzione mondiale. L'aggiornamento raggiunse ogni macchina con l'agente praticamente nello stesso istante, e la modalità di guasto fu totale: schermo blu, riavvio in loop, ripristino manuale postazione per postazione. La scala trasformò un difetto software in meteorologia infrastrutturale.
La lettura normativa
Il regolamento europeo sulla resilienza operativa digitale (DORA) non trae alcun conforto dall'assenza di un attaccante. La sua richiesta centrale: che la perturbazione delle TIC, dolosa o no, sia anticipata, sopportata e superata. Tre pilastri sono direttamente coinvolti: il rischio di terze parti TIC (il componente guasto sedeva in profondità in quasi tutte le filiere, spesso sotto la visibilità contrattuale), i test di resilienza digitale (gli scenari devono coprire perturbazioni severe ma plausibili; il guasto simultaneo di un agente endpoint era plausibile, severo e quasi mai simulato) e la segnalazione degli incidenti (le istituzioni ebbero ore, non giorni, per capire e classificare la propria esposizione).
Cosa avrebbe cambiato il calcolo
La dipendenza era conoscibile: un inventario completo mostra lo stesso agente su ogni postazione, un punto unico di guasto correlato. Il raggio d'impatto era calcolabile: una simulazione Monte-Carlo su quell'inventario, quella che DORA-MAST esegue per le entità finanziarie e cVaR per ogni settore, quota in termini di perdita finanziaria lo scenario «l'agente di fiducia cade ovunque insieme», trasformando una preoccupazione vaga in un numero da consiglio. E il ripristino è più rapido con le evidenze a portata di mano: le istituzioni che sapevano esattamente quale macchina eseguiva quale versione si risollevarono in ore; chi ricostruiva il parco dai fogli di calcolo impiegò giorni.
Prevedere, simulare, rimediare in anticipo: niente di tutto ciò richiedeva chiaroveggenza. Servivano un inventario, un modello e la volontà di calcolare il percorso infelice prima di viverlo.