Troppo presto per parlarne. Sempre abbastanza tardi per rifletterci.
È la vicenda dell’attacco informatico ad alcuni server di Saipem, un incidente che la grande società operante nel settore petrolifero ha prontamente segnalato e cui avrebbe reagito con eguale tempestività.
È l’occasione per riordinare i pensieri e aspettare a decretare sia un knock out da ring pugilistico sia l’uscita indenne dalla disavventura. Ma, anche se sono troppo pochi gli elementi per fare valutazioni sartoriali sull’accaduto, quel che è successo può essere l’opportunità per cercare di capire la gravità della situazione sul fronte della cyber security.
L’episodio innesca immediatamente due domande, fin troppo scontate. Cosa è successo? Chi è stato e perché?
L’atmosfera somiglia a quella di “Rischiatutto” e stavolta il candidato si trova dinanzi a due quesiti cui non è affatto facile dare risposta.
Chi immagina un attacco casuale sbaglia. Chi pensa ad un attacco chirurgico pure. Il bersaglio era sicuramente ben definito, ma le mitragliate digitali sono andate a segno su obiettivi apparentemente di minore importanza.
Apparentemente, già.
Il sistema informatico del colosso delle opere di ingegneria e di perforazione ha i piedi ben piantati in Italia, Francia e Gran Bretagna. I server colpiti dall’attacco sono apparati indicati come meno importanti: si trovano in Medio Oriente a cui si aggiunge una piccola realtà ad Aberdeen, in Scozia, dove sarebbero impiegati solo una decina di dipendenti.
Il peso degli apparati tecnologici è spesso valutato in ragione delle dimensioni dei dati gestiti o delle molteplici funzionalità assicurate dalle procedure che “girano” su quelle macchine. Una valutazione di quel genere fa pensare al pelide Achille e inevitabilmente al suo minuscolo tallone, che – secondo certe metriche – poca preoccupazione avrebbe destato in un soggetto non al corrente della sua vulnerabilità.
Se il cuore amministrativo e organizzativo di una azienda petrolifera è vicino al suo management, i capillari di un sistema cardiocircolatorio arrivano nei più sperduti luoghi dove freme l’attività estrattiva o di raffinazione o lungo l’itinerario tra la produzione e il consumo.
Il “computer” o qualunque altro dispositivo informatico del pozzo (ad esempio) non custodisce certo segreti strategici, ma – siccome un suo malfunzionamento (fortuito o doloso) può avere conseguenze catastrofiche – è fondamentale che si veda riconosciuta priorità eguale (se non superiore) alle dotazioni asservite a più elevate finalità aziendali.
Forse – a guardar bene – varrebbe la pena un approccio …“inversamente proporzionale”, destinato a far capire che nelle piccole cose si nascondono le peggiori insidie e a far comprendere che ogni grande organizzazione sarebbe omericamente un millepiedi.
La prima domanda sulla natura dell’accaduto è irrisolvibile. Ogni ipotesi può trovare riscontro solo al termine di una attenta analisi dei “log”, ovvero di quell’insieme di registri elettronici che registrano gli eventi e permettono di indirizzare la prua nella non sempre facile identificazione dei responsabili. In teoria l’aggressione ad un sistema informatico può esser mirata ad acquisire informazioni riservate “utili” sul versante industriale e commerciale, oppure a danneggiare o bloccare l’attività produttiva fino a pregiudicare ogni prospettiva di business. La localizzazione geografica del fatto induce ad immaginare più facilmente un tentativo rientrante nel secondo tipo di aggressione. Nulla più.
Il secondo quesito è dato dalla combinazione “chi/perché” che subito innesca le più fantasiose ricognizioni volte ad individuare mandanti, esecutori e le ragioni che hanno scatenato una simile operazione.
Il palcoscenico “energy” è particolarmente caro ai pirati informatici che in più circostanze hanno esibito le loro abilità stupefacendo anche il pubblico degli addetti ai lavori. L’Italia finora mancava all’appello e quindi statisticamente c’era da aspettarsi qualche grattacapo. In circolazione ci sono gruppi hacker specializzati proprio in questo settore e il “Black Ghost Knifefish” ne è solo un campione: non mancano pericolosi scriteriati pronti ad assaltare gli impianti produttivi, la canalizzazione e i mezzi di trasporto come le grandi navi-cargo da arrembare virtualmente.
Questi soggetti vengono ingaggiati dalla più diversa committenza: la concorrenza del soggetto target o di qualche suo fornitore, i governi, le organizzazioni terroristiche e quelle del crimine organizzato. Qualche volta, quasi romanticamente, i corsari del bit si lasciano affascinare da un qualsivoglia abbaglio di idealismo. Difficile dire aprioristicamente chi abbia armato il mouse della banda che ha mandato a segno il colpo, anche perché non di rado gli attacchi informatici sono una banale azione di sabotaggio di personale interno insoddisfatto o infedele, di soggetti acquisiti in “body rental” sottopagati o consci di un imminente mancato rinnovo, di tecnici manutentori con aspettative non corrisposte….
Alcuni elementi, raccattati al volo, possono agevolare i ragionamenti e le considerazioni che ciascuno vorrà fare. Se trasformiamo questo articolo in una suggestione a pensare, gli ingredienti sono facili ad essere elencati.
La lista (è ovvio) è incompleta e imprecisa, ma può aiutare ad un esercizio di ginnastica mentale.
Saipem è in affari con la ciclopica Saudi Aramco, il cui scalpo digitale da quasi dieci anni viene ciclicamente sventolato dai barbari tecnologici. Altri partner e società partecipate di Aramco (una è la Sadara Chemical Company) hanno provato esperienze da brivido.
Qualche mese fa Saipem ha avviato una vera e propria trasformazione digitale affidandosi ad una multinazionale della consulenza e presumibilmente lasciando a bocca asciutta precedenti interlocutori e a casa i relativi lavoratori.
A guardare possibili iniziative di “lupi solitari” animati da spirito di revanche o dal desiderio di manifestare semplice disaccordo, c’è la storia dei licenziamenti in Senegal e volendo ci si può aggiungere anche Tap.
Prescindendo dalle personali congetture di ognuno, una sola cosa è fin troppo chiara.
Il problema “cyber” non va più rinviato. Deve essere affrontato – una volta per tutte – non solo dalle singole sfortunate vittime di attacchi, ma dall’intero Sistema Paese.
Umberto Rapetto
Generale GdF in congedo – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity
Consigliere di amministrazione di Olidata con delega alla cybersecurity