“LA SITUAZIONE È DI UNA GRAVITÀ INAUDITA“ - UMBERTO RAPETTO COMMENTA SCONSOLATO L’ATTACCO HACKER A “LEONARDO”: ''È L’ENNESIMA DIMOSTRAZIONE DELL’INCONSISTENZA DEL COSIDDETTO ‘PERIMETRO CIBERNETICO NAZIONALE”. SE TRA I 100MILA FILE CI SONO LE ALCHIMIE INGEGNERISTICHE DI AEREI ED ELICOTTERI È OVVIO CHE GLI EVENTUALI PUNTI DEBOLI DI QUEI VELIVOLI SONO NOTI - LE AZIENDE SI DEVONO DOTARE DI PERSONE COMPETENTI E SMETTERLA DI RECLUTARE EX APPARTENENTI ALLE FORZE DELL'ORDINE”
Paolo Colonnello per “la Stampa”
Il generale a riposo Umberto Rapetto, già comandante del Gat Nucleo Speciale Frodi Telematiche della Gdf, attuale vicepresidente della Autorità garante per la protezione dei dati personali della Repubblica di San Marino, nonché ad di una società di sicurezza informatica, è considerato uno dei massimi esperti del settore e ieri ha scritto che l'attacco a Leonardo equivale a un Vajont della sicurezza informatica.
Dottor Rapetto la sorprende questa storia? Per due anni un dipendente ha rubato dati sensibili da un'azienda strategica come Leonardo.
«Per nulla. Gli hacker nel solo mese di novembre hanno affondato Enel, Luxottica, Campari La tanto declamata "cybersecurity" dalle nostre parti si è fatta a chiacchiere, sia sul fronte di chi doveva "inventare" soluzioni e meccanismi di difesa, sia su quello della politica. Questa storia è solo l'ennesima drammatica dimostrazione dell'inconsistenza del cosiddetto "perimetro cibernetico nazionale"».
Perché non è sorpreso?
GIUSEPPE CONTE ALLO STABILIMENTO LEONARDO DI POMIGLIANO
«Sembra di essere sul set del film "Il giorno della marmotta". Alla fine ci si fa l'abitudine. Si rimane solo legittimamente basiti nel venire a sapere che per due anni sul forziere del patrimonio informatico di Leonardo ci sia stato seduto un pirata...»
Due anni per accorgersi che c'era una falla nella sicurezza: non sono un po' troppi? «In questo ambito sono equivalenti alla somma di alcune ere geologiche» Che tipo di "bottino" è stato rubato?
«Apparentemente non manca nulla. È questo il bello del furto dei dati: il legittimo possessore nel vedere i suoi archivi crede che sia tutto a posto. In quei contesti lo "scippo" avviene attraverso la copia di documenti elettronici che possono essere poi salvati su un dispositivo esterno (come una pendrive Usb), spediti via mail o trasferiti su un server piazzato chissà dove».
Come è possibile che un'azienda del genere, che tratta componenti per aerei civili e militari, possa essere saccheggiata in questo modo?
«È incredibile quel che è accaduto. Qualunque realtà che "macina" informazioni riservate adotta le più rigorose cautele per impedire attacchi dall'esterno, ma sa perfettamente che un "insider" potrebbe approfittare del proprio ruolo e dei privilegi di accesso anche alle "carte" più segrete. I comportamenti anomali vengono però rilevati dai sistemi di "log" che registrano chi-fa-cosa e dai controlli di competenza dell'audit aziendale».
Ma a capo di Leonardo non c'è Luciano Carta, ex capo dei servizi Aise?
«La sicurezza di questo colosso imprenditoriale rientra nelle deleghe del Presidente, ma il Generale Carta è arrivato quando certi giochini erano già finiti. Le responsabilità (in eligendo e in vigilando) dovrebbero essere in capo a chi lo ha preceduto».
C'è un rischio per la sicurezza nazionale?
«La situazione a mio avviso è di una gravità inaudita. Se tra i 100mila file ci sono le alchimie ingegneristiche di aerei ed elicotteri è ovvio che gli eventuali punti deboli di quei velivoli sono noti come ad Omero il tallone d'Achille.
luigi di maio con profumo e de gennaro alla leonardo di pomigliano
Ci vuole una grande capacità per "furti" di questo genere?
«Se si è seduti alla scrivania giusta, se si conoscono gli scantinati digitali del sistema informatico aziendale, se nessuno controlla, non c'è bisogno di leggendarie capacità acrobatiche».
Esiste una possibile soluzione a questo genere di crimine?
«Si, le aziende si devono dotare di persone davvero competenti e smetterla di reclutare ex appartenenti alle Forze dell'Ordine non perché in possesso di particolari competenze ma per una presupposta capacità il di trattare agevolmente con gli ex colleghi ancora in servizio o gestire i rapporti con le procure in caso di necessità. Non va bene».
Ci vorrebbe un'Autority nazionale?
«C'è già troppa gente che se ne occupa, Ci vorrebbe un "Cyber czar" come negli Usa e in altri paesi, dove un soggetto competente, e non sempre gradito, affianca il governo nella sfida del futuro»
