ERA MEGLIO UN ATTACCO HACKER! – UMBERTO RAPETTO GIRA IL COLTELLO SULLA PIAGA DI “LEONARDO”: “IL FATTO CHE IL PROTAGONISTA DEL ‘SABOTAGGIO’ SIA UN EX COLLABORATORE E NON UN HACKER NON ALLEGGERISCE L’INDECOROSA POSIZIONE DELL’INDUSTRIA CHE HA SUBITO IL FURTO DI DATI E CHE NE PAGHERÀ LE CONSEGUENZE SUL MERCATO” – “LE ATTIVITÀ INVESTIGATIVE PORTERANNO A RICOSTRUIRE L’ACCADUTO, MA POTREBBE RESTARE INSOLUTO IL QUESITO DI MAGGIOR PESO: IN CHE MANI SONO FINITE LE INFORMAZIONI SOTTRATTE?”
-Umberto Rapetto per www.infosec.news
Secondo loro dovremmo stare tranquilli. Non ci sarebbe stata nessuna incursione virtual-corsara sul vascello digitale di Leonardo.
Il mondo è davvero curioso. Ricordo il Presidente Tridico che insisteva nell’addebitare i guai informatici dell’INPS a fantomatici pirati. E adesso mi ritrovo con una top manager del colosso industriale nazionale che esclude qualsivoglia penetrabilità dei propri server da parte di criminali e malfattori.
In un post sul social network professionale Linkedin, infatti, si legge una strabiliante dichiarazione secondo la quale l’apocalittico furto di 100mila file per complessivi 10 gigabite sia un semplice “sabotaggio di un ex-collaboratore”.
Nessuno ha intenzione di ruotare il coltello nella purulenta piaga, ma certe dichiarazioni impongono dolorose precisazioni che spieghino – per quel che è dato sapere dall’esterno – un evento che difficilmente può annoverarsi “albo signanda lapillo” (come dicevano gli antichi romani, soliti marcare con gessetto bianco gli avvenimenti fausti).
E’ bene chiarire che il soggetto in questione non era un passante o un occasionale prestatore d’opera, ma si trattava di persona regolarmente selezionata e contrattualizzata cui erano stati affidati incarichi di responsabilità. Il prefisso “ex” va riferito ad oggi ma certo non all’epoca dei fatti, periodo durante il quale l’interessato aveva ampia libertà di azione e di movimento concessagli dalla stessa Leonardo.
Il fatto che il protagonista attivo di questa incredibile operazione non sia un hacker non alleggerisce certo l’indecorosa posizione dell’industria che ha subito il furto di dati e che ne pagherà le conseguenze sul mercato internazionale che difficilmente farà finta di nulla dopo l’avvilita e l’avvilente comunicazione della vicenda.
La circostanza che l’atto criminale (difficile definirlo altrimenti) sia da addebitarsi ad un insider spaventa ancor più di un qualunque episodico blitz di un bandito che ha “bucato” le misure di sicurezza.
La fattispecie costringe a porsi domande e a maturare dubbi sulle dinamiche di “recruiting” di quella che forse è la più gigantesca realtà imprenditoriale italiana. Viene da chiedersi come vengano selezionate le risorse umane, soprattutto quelle destinate a lavorare nei contesti di maggiore criticità, a trattare informazioni riservate, a gestire il tessuto connettivo e il sistema nervoso aziendale, ad assicurare l’invulnerabilità di quel patrimonio di conoscenze tecnologiche e di progetti da cui dipende il futuro industriale e la sicurezza di chi si affida ai prodotti o ai servizi targati Leonardo.
Il pensiero corre poi ai sempre attentissimi segugi dell’ “audit interno” ed a quella loro collaudata abilità che anni fa aveva portato ad evidenziare le condotte non eccessivamente virtuose a perno dell’allontanamento del “capo” della Divisione Cyber.
Il comunicato stampa redatto per l’occasione dalla Polizia di Stato che ha svolto le indagini è delicatamente impietoso. I dati farebbero saltare dalla sedia anche chi è digiuno di computer security e si mostra disinteressato ai “noir” a connotazione digitale. Infatti si legge testualmente “Le informazioni sottratte, oltre 100mila file, riguardano, oltre i dati personali dei dipendenti, la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale”.
La razzia non avrebbe riguardato soltanto le postazioni informatiche dello stabilimento Leonardo in quel di Pomigliano d’Arco, ma avrebbe comportato anche l’infezione e il presumibile saccheggio di “13 postazioni di una società del gruppo Alcatel e 48 di privati e aziende operanti nel settore della produzione aerospaziale”.
Sperando di non fraintendere, Leonardo sembrerebbe una sorta di portaerei da cui un “caccia” (quello che adesso si fa presto a chiamare “un ex dipendente”) è decollato per andare a colpire gli “alleati”, ovvero imprese del settore che magari collaboravano in qualche attività.
Non ho idea di quanto siano felici a “casa Alcatel”, ma dubito abbiano deciso di stappare una bottiglia “di quello buono” per brindare alla constatazione di esser stati “cucinati” da qualcuno appartenente ad un partner in affari. Non credo nemmeno abbiano pensato – dopo un simile tradimento – di convolare comunque a nozze oppure di proseguire un fidanzamento dopo simili manifestazioni di inaffidabilità.
La top manager di Leonardo (forte di una solida esperienza politica che certamente sublima il non essere del settore) dice due cose giuste: il misfatto risale al 2015 ed è stata proprio la “Sicurezza interna” dell’azienda a segnalare in Procura. La ex senatrice, però, è imprecisa quando specifica che Leonardo “ha immediatamente fatto denuncia”. Quell’istantaneità è durata – ad onor del vero – due anni, arco temporale in cui i comportamenti illeciti non hanno incontrato ostacoli di sorta.
Nonostante l’entusiastica affermazione secondo la quale “Leonardo Cyber & Security è un’eccellenza e una garanzia senza paragoni”, speculare rispetto al giudizio dell’oste interrogato a proposito del vino che sta mescendo, la Polizia avrebbe da ridire sul “CERT (Cyber Emergency Readiness Team) di Leonardo, organismo deputato alla gestione degli attacchi informatici subiti dall’azienda”.
Il ridimensionare quanto accaduto probabilmente rientra nelle policy di Leonardo. Se ora ci si ritrova semplicemente ad ascoltare una riedizione del “Tout va très bien, Madame la Marquise”, in precedenza un atteggiamento forse similare non è piaciuto al pubblico ministero e alla PG delegata ed ha portato all’applicazione – nei confronti del dirigente del CERT – della “misura cautelare della custodia domiciliare in quanto responsabile di aver falsato e minimizzato la natura e gli effetti dell’attacco informatico e, quindi, di aver ostacolato le indagini”.
Le attività investigative porteranno a ricostruire l’accaduto, a riconoscere le eventuali responsabilità, a far emergere possibili ulteriori implicazioni. Ma potrebbe restare insoluto il quesito di maggior peso: in che mani sono finite le informazioni sottratte?
Mentre il mistero permane, cosa pensa di fare Leonardo? Qualche altro “post” o “tweet”, oppure un forte segnale di cambiamento di rotta? Aspetterà l’input dei partiti oppure penserà ai tanti bravissimi dipendenti – meritevoli e non raccomandati – il cui destino potrebbe essere stato già compromesso?