Alle prese con un brutto bug? Il DPO può diventare il tuo migliore amico. Parola di Spritz.

Questo è il mio primo articolo. Sono Spritz, l'office assistant del DPO. Oltre a fare continue pisciatine in giardino, raccolgo segnalazioni, faccio mie le richieste di aiuto e do voce a chi non può permettersi il lusso di essere riconoscibile... sono un tipo molto riservato, il DPO non mi terrebbe con se se così non fosse: non dirò a nessuno ciò che so, nemmeno sotto tortura... anche perché posso solo abbaiare.
Nel caso, evitiamo pure quella faccenda della tortura. Adoro i premietti a base di anatra. Con quelli rischio il data breach, vero, ma in pochi conoscono le mie debolezze.
Parto con il botto... una segnalazione anonima alla quale dare voce, una storia vera che ci dice molto sulla responsible disclosure, ovvero sulla sottile arte di comunicare ad una azienda dove e come ha delle vulnerabilità senza rischiare rappresaglie, denunce, condanne per accesso abusivo a sistema informatico ed altre amenità tipicamente italiane. Nel mondo dei cani è tutto molto più semplice, una annusata dice tutto quello che c'è da sapere.
Conto su grande indulgenza. Dopotutto sono solo un pomerania e so fare le cose in un solo modo...
Lo smanettone osserva e nota ogni dettaglio, anche quando fa cose normali, alla portata dei meno scafati come visitare un sito web e compilare un form. Quando qualcosa attira la sua attenzione prova ad approfondire e, alla fine, può capitare che noti un difetto, una magagna, un’imperfezione seminascosta nei meandri di un sito web, all'apparenza ineccepibile. Questa scoperta di solito è di per sé appagante perché regala un attimo la soddisfazione: aver trovato qualcosa che ad altri era sfuggito o che è stato accuratamente nascosto. Poco importa che questo qualcosa sia incomprensibile al 99% della popolazione, digiuna di HTML, CSS, TCP/IP, protocolli e cose del genere.
Quando la scoperta è un po’ più grande subentra il desiderio di raccontarlo a qualcuno del restante 1%. Nei casi più eclatanti diventa potente il desiderio di godersi un attimo di celebrità in qualche bolla social, rendendo pubblica la propria scoperta, ma è appunto una pulsione, uno slancio che è meglio controllare.Si fa presto a parlare, si fa presto ad entrare in un social qualsiasi e vantarsi di aver scoperto una grosso bug per un attimo di [vana]gloria che subito provocherà arrabbiature di utenti, un incubo per qualche DPO, sarà il motivo della crocifissione di qualche tecnico sbadato. No, i vantaggi sono decisamente inferiori agli svantaggi. Ad alcuni è veramente molto male, chi ha segnalato il bug è stato massacrato, denunciato, processato... alla fine nessuna condanna, nessuna scusa, tanto tempo e denaro perso per una causa temeraria che non sarebbe mai dovuta esistere. Ma funziona così, se vai a dire a qualcuno che è un cane (Ndr: lo so, è un luogo comune di voi umani, non mi hai offeso), questo si sentirà offeso nell'onore e dovrà vendicarsi anche in modi meschini.
Recentemente mi è capitato di venire a conoscenza di un problemone del genere su un sito di pagamento tributi perché lo smanettone che ha pagato il suo regolare tributo di buon cittadino ha notato un dettaglio e così lo ha ...“approfondito” fino a scoprire un serio errore di configurazione del server, tale da esporre parecchi dati personali riservati al pubblico. Ma era uno smanettone saggio che ne ha parlato per sommi capi solo a pochi colleghi. Uno di questi, quello che scrive in questo momento, ha a sua volta approfondito e si è reso conto anche lui del problema.
Che si fa in questi casi? Le possibilità sono molte:
un attimo di [vana]gloria,
“non ti curar di loro ma guarda e passa”,
avvisare (chi e come?), eccetera.
Cosa scegliamo delle numerose possibilità? Beh, intanto si chiede consiglio a qualche vecchio saggio che, saggiamente, consiglia di mantenere l’informazione il più possibile circoscritta, di avvisare il DPO che ancora dorme tranquillo, affinché ponga rimedio e, alla fine, chiudere il problema senza troppo rumore.Trovato il nome del DPO sul sito web sorge un dubbio: ma come lo contatto? Come mi qualifico? Come reagirà alla telefonata di uno sconosciuto che gli segnala un problemone del genere?
Beh, in questi casi si può usare il metodo italico dell’amico dell’amico, di solito funziona: si va su linkedin e si scopre che in mezzo esiste il vecchio amico Callimaco (nome di fantasia) collegato con entrambi e quindi si approfitta della sua intercessione, perché un conto è essere chiamati improvvisamente da uno sconosciuto, un altro conto è chiamare dopo che Callimaco, che conosci, ti qualifica come un suo amico, anticipando la chiamata.
L’impatto sicuramente è stato migliore, la comunicazione è diventata costruttiva fin dal primo momento e così nessun bubbone è scoppiato né scoppierà. Nessuno diventerà famoso o famigerato, né gli smanettoni, né il sito che aveva un problema o chi lo ha gestito. Il DPO, accogliendo la segnalazione, si è risparmiato un incubo e sarà ben lieto di gestirla con discrezione.
Un dubbio resta però nell'aria: ma il tecnico sbadato lo avranno poi crocifisso?
Una testimonianza preziosa, non raccolta in rete ma raccontata dalla viva voce del protagonista... se solo potessi capire il linguaggio degli umani.
Conosco solo "seduto", "cuccia", "muto", "fai pipì", "pappa", "non rompere le palle" e, comunque, sono comandi ai quali non obbedisco!
Alla prossima.
Spritz.