Dati di Leonardo rubati, troppi punti che non quadrano - Agenda Digitale

Dubbi e scenari

Dati di Leonardo rubati, troppi punti che non quadrano

Ma come è potuto accadere che Leonardo abbia potuto subire per due anni un tale furto? E perché si sa solo ora, in una fase delicata per la nostra cyber? Certo l’evento spinge per una riforma dell’intelligence, per un migliore coordinamento funzionale, applicando la Human Intelligence alla Social Media Intelligence

06 Dic 2020
Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

Poche ore fa è stata diramata la notizia di un un furo dati durato due anni alla sede di Leonardo Finmeccanica di Pomigliano d’Arco per un ex responsabile di sicurezza, infedele, per un probabile movente di spionaggio industriale. 

Ma come è potuto accadere? Cosa potrebbe starci dietro? Queste domande aprono due dubbi e due scenari.

I dubbi

I dubbi. Il primo è: come mai arriva ora questa notizia, dopo anni di indagini, a valle di un momento “critico” del nostro Paese sull’argomento cyber?

Pochi giorni fa il Governo ha firmato il secondo (di quattro) decreto attuativo del Perimetro di sicurezza nazionale cibernetica, con 100 realtà pubbliche e private da proteggere (in una lista secretata). Mentre aziende sanitarie e multinazionali italiane sono sotto attacchi hacker accresciuti durante la pandemia.

Tutto questo mentre a una richiesta esplicita e più volte ribadita da parte del nostro Presidente del Consiglio, sulla scia del consolidarsi del perimetro cibernetico e direttiva NIS, di avere un Istituto di sicurezza cibernetica che debba arginare e combattere proprio questi tentativi interni ed esterni di attacchi e fuga di dati, un’opposizione politica ha bloccato tutto.

Qui la notizia su Leonardo potrebbe servire a riportare attenzione o a farci capire come sono deboli alcuni anelli interni anche delle aziende top. Una cosa è certa, se non si conclude presto questa diatriba, si rischia che la tanto declamata “minaccia ibrida” possa prendere largo e attaccare, se ci è riuscita con una delle aziende più importanti del nostro Paese, anche il tessuto delle medie e piccole imprese italiane che, a tal punto, possono deporre le armi e lasciar andare via tutti gli sforzi fatti negli anni per proteggersi.

Messa così il tutto sembra servire un assist che parrebbe voler velocizzare l’aspetto più politico e far emergere in maniera indispensabile e netta una vera e propria esigenza di un Cyber emergency readiness team nazionale di alto livello che curi questi aspetti.

Il secondo dubbio si nutre della stessa grandezza (mediatica e non) dell’azienda Leonardo. Come è possibile che proprio mentre si snocciolano e si commentano numeri da capogiro sul fatturato di quest’ultima  esca questo segnale di debolezza che ne compromette l’immagine? Qui forse si gioca la partita di uno dei capi di reato contestato ad uno dei due ex dipendenti, quello di depistaggio. Ovvero si apre un dubbio amletico che deriva proprio dal comportamento dell’ex responsabile del reparto Cyber che ha fatto di tutto, a quanto pare, per depistare le indagini e coprire quanto accaduto.

Questo è un segnale chiaro per voler nascondere qualcosa o qualcuno e rientra in termini come controspionaggio o di spionaggio. Al di là della spiegazione analitica dei due termini che porterebbe a soffermarci troppo rischiando di andare fuori tema, ci chiediamo: i due erano realmente stati avvicinati (pagandoli o meno) da esterni (Paesi o competitor industriali) con funzioni di spie o la cosa rimane nella loro volontà di capire cosa fare di informazioni riservate e segreti aziendali?

Determinate informazioni possono far gola a prescindere e la procura di Napoli ci dovrà far capire questo aspetto perché qualora fosse così non sarebbe dovuta nemmeno uscire come notizia o addirittura sarebbe dovuta già essere nelle mani di più attori che si occupano di sicurezza nazionale che comunque non avrebbero permesso l’uscita pubblica.

Gli scenari

Questi dubbi aprono gli altri due scenari sopra citati.

Il primo: qualora si trattasse di controspionaggio il malware ancora oggi potrebbe “infettare” anche altre sedi e si sarebbe potuto attivare anche attraverso altri “controlli da remoto” che potrebbero riempire di materiali e progetti decine e decine di server “pirata” di esterni. Diciamo questo perché non possiamo pensare che l’accaduto possa essere isolato o gestito da due persone soltanto.

La possibilità di avere una rete di complici è realistica. Non possono aver agito da soli. Anche la presenza fisica delle chiavi usb è un segno. Come non notarle all’accensione? In tal senso ricordo che una delle prime regole del controspionaggio è tessere reti “consenzienti” che fanno da sponda per entrare ed uscire dai sistemi (sociali e cibernetici) senza problemi. Se fosse cosi sarebbe una storia simile a quella di Robert Philip Hanseen nel 2001. Gli Usa dopo ben 15 anni scoprono che un loro agente sta perdendo un complotto verso di loro. Nel frattempo lui aveva tessuto il tutto con oltre 100 complici.

Scoprire questo per Leonardo sarebbe devastante. Infatti la costringerebbe ad attivare una procedura di Business Continuity che potrebbe impattare in termini economici e di organigramma tutte le sedi e settori della grande azienda leader della Difesa.

Il secondo scenario, ed insegnamento che ne deriva, è  la consapevolezza che non esiste più un approccio unilaterale per il concetto di sicurezza (nazionale ed internazionale).

Ormai tutti gli aspetti della vita sono coinvolti. In primis la scelta del personale della propria azienda. Infatti, la prima verifica per “essere sicuri” (anche se non lo si potrà essere mai) deve passare dalla scelta dei dipendenti e collaboratori. Le competenze e le affidabilità di questi ultimi  devono diventare sempre più fondamentali. Le aziende dovranno seguire sempre più un percorso diverso con approccio non solo attraverso il curriculum che arriva in mail verso responsabili del personale, ma anche dall’analisi completa della personalità del candidato. Il profilo deve essere scelto anche a costo di andare contro le competenze specifiche del momento o della laurea o titoli che “sbattono” sui vari CV. Bisogna scegliere attentamente la persona, capirne la competenza (con doti critiche) ed investire sulla stessa per una crescita interna. Tutto questo funzionale al contesto lavorativo e, al di là sia dell’età che del percorso lavorativo ricevuto sin a quel momento, al modo di affrontare giorno per giorno le varie funzioni assegnate.

La necessità di riformare l’intelligence

A questo aspetto si accosta il prossimo passo che senza ombra di dubbio dovrà essere, sia per le aziende che per il sistema Paese, una riflessione: ovvero la connessione (resa necessaria ormai), ma anche una rivisitazione, di funzioni di intelligence tra il comparto Osint e quello Humint, la Human intelligence. Le analisi di tipo cibernetico devono completarsi con  quelle di tipo umano. Anche all’interno dell’intelligence è sempre più chiaro che la competenza umana, logica e non, deve collimare con le expertise delle competenze cibernetiche. La Humint deve sempre più essere il fulcro.

Non il chiacchiericcio da bar, che comunque paradossalmente aiuta a capire il fenomeno delle microcriminalità, ma la capacità propria dell’uomo a concatenare eventi e relazioni per capire il motivo per cui accade o meno (e potrà accadere) un evento criminoso o terroristico, tra cui attacchi cyber. Nello schema conosciuto dai più esperti di intelligence Cycle la HUMINT (Human Intelligence) rappresenta il futuro.

Il coordinamento di varie tecniche intelligence

Può coordinarsi con altre tecniche come SIGINT (Signals Intelligence), GEOINT (Geospatial Intelligence), MASINT (Measurement and Signature Intelligence), Cyber-Intelligence (CYBINT) e OSINT (Open source Intelligence). Immaginate quanta Humint sarebbe efficace per l’Individuazione e comprensione delle persone che hanno accesso ad informazioni segrete, quanta Humint servirebbe per la ricerca sui soggetti al fine di valutarne le loro vulnerabilità che possono venir fuori da pressioni psicologiche esterne e quanta Humint per comprendere le relazioni, le reti di avvicinamento al soggetto e il costante controllo di qualità del personale lavorativo.

In conclusione

L’età contemporanea parla di cibernetica, ma pensate che lo spazio cibernetico è composto da azioni meccaniche e come tali sono e diventano incontrollabili se non gestiti bene attuando quella che potremmo definire un’intelligence predittiva. In tal senso applicata la Humint alla Social Media Intelligence (SOCMINT) avrebbe più senso e darebbe meno spazio ai cyber criminali.  Penso ad un’accurata analisi che si poteva fare sull’ex dipendente di Leonardo, D’Elia che “era così orgoglioso della sua capacità informatica da inserire nel suo curriculum anche episodi per cui era stato condannato tra cui una violazione al sistema informatico di una base Nato italiana”.

Insomma questo caso ci aiuta a capire sempre di più e meglio come muoverci, come analizzare e come gestire meglio le informazioni in un ambito, speriamo, più restrittivo di sicurezza e safety.

@RIPRODUZIONE RISERVATA

Articoli correlati