Sembra impossibile poterlo dire alla fine del 2020, ma Windows 7 è ancora il secondo sistema operativo più diffuso in rete. Lo certificano i dati di ottobre raccolti da NetMarketShare (peraltro gli ultimi, dato che il servizio ha annunciato la sua chiusura). Il mese scorso Windows 7 ha rappresentato un quarto del traffico in rete. Per la precisione il 25,4%. Ovviamente dietro a Windows 10, che viaggia a quota 57%. Ma sempre largamente davanti ai vari macOS e Linux, che non arrivano nemmeno al 5%.

Certo queste cifre vanno valutate con attenzione. Misurano il traffico generato dai browser, quindi non contano tutti i computer e i server che in rete ci sono ma che non usano browser. E questo spiega la bassa quota di Linux, che invece è il sistema operativo ampiamente più utilizzato nei data center. Anche con queste "correzioni" il segnale è importante: Windows 7 dovrebbe essere in pensione ma è invece molto presente.

I motivi li sappiamo. Non ci sono solo le migliaia di PC consumer che non si aggiornano per pigrizia o per abitudine. E non per una questione economica, visto che non è difficile avere Windows 10 gratis, o quasi, e in maniera legale. Dai PC industriali ai device medicali, esistono molte classi di dispositivi che non cambiano Windows 7 per motivi di compatibilità. Molti non sono nemmeno stati progettati dal loro produttore per un aggiornamento così rilevante.
Così restano in rete PC e device che sono, di fatto, obsoleti. Va poi considerato, con preoccupazione, che la quota di questi dispositivi non sta calando. Un anno fa le percentuali indicate da NetMwarketShare per Windows 7 erano poco diverse da quelle attuali. Giusto qualche punto percentuale in più. Windows 7 può apparire una piattaforma perfettamente funzionante e questo sostiene la sua diffusione. Ma per la cyber security è una piattaforma obsoleta.

Vale la pena ricordarlo: Windows 7 è stato mandato in pensione ufficialmente cinque anni fa. Il supporto esteso garantito da Microsoft è terminato lo scorso gennaio. Gli Extended Security Update - per le (crediamo non molte) aziende che sono disposte a pagarli - finiranno a inizio 2023. Parliamo quindi di una piattaforma che non dovrebbe essere in funzione, eppure c'è. Cosa che addirittura per lo FBI statunitense rappresenta un rischio elevato.

Certo il lockdown di marzo non ha aiutato. Ha riportato il PC al centro dell'attenzione mentre sino a poco tempo prima si pensava che fosse ampiamente arrivata l'ora dei device alternativi. Di per sé è anche un fatto positivo, ma le aziende oggi sono poco propense a - o in grado di - investire denaro in nuovi PC o nell'aggiornamento di quelli che hanno già. E se in diversi puntano alla sostituzione del PC "completo" con ambienti di virtual desktop, questa possibilità per molte imprese è ancora remota. Anche concettualmente.
Attenzione poi a derubricare il problema come trascurabile, pensando che in fondo Windows 7 stia operando su PC che non interessano poi tanto alle aziende. Come potrebbe essere il vecchio PC di casa di un dipendente o di un suo familiare. O i computer dell'amministrazione di una microimpresa. I malware sono diventati molto efficaci negli spostamenti laterali e i supply chain attack sono una minaccia crescente. Il perimetro IT aziendale è talmente frammentato che qualsiasi finestra di vulnerabilità è un rischio. La cronaca della cyber security lo dimostra.

È facile affermare che il momento di eliminare Windows 7 dalle reti è ampiamente passato. Proprio il fatto che il sistema operativo sia ancora così diffuso è un segno che la questione non è banale. Che gli utenti, consumer e aziendali, non sono abbastanza incentivati negli aggiornamenti. Nelle imprese accade anche che la consapevolezza o gli incentivi non bastino, davanti alla difficoltà - o impossibilità - di abbandonare Windows 7 senza far crollare un castello di reciproche compatibilità fra applicazioni. In questi casi è importante sottolineare, da parte di chi si occupa di cyber security nelle imprese, che il costo degli aggiornamenti è solo apparente. Di fronte al costo decisamente più elevato che avrebbe una breccia nella rete d'impresa.