Il punto del direttore, ogni lunedì
Iscriviti e ricevi le notizie via email
Quando si parla di cybersecurity, «la manipolazione dell’essere umano è ancora l’attacco più efficace di tutti». E, nel caso di dipendenti infedeli, «non c’è sistema informatico che tenga» e difendersi da episodi del genere «sarà sempre più difficile». Ne è convinto Alessandro Curioni, esperto di cybersecurity, docente del corso di Sicurezza dell’informazione alla Cattolica di Milano e fondatore di DI.GI Academy, azienda specializzata in sicurezza informatica. Nell’ordinanza di custodia cautelare viene menzionata la possibilità che siano stati scaricati dati direttamente dalla banca dati Sdi del Ministero dell’Interno. Come ci sarebbero riusciti
«Avevano qualcuno all’interno. Dalle notizie emerse finora si parla di complici nelle Forze dell’Ordine e di infiltrati tra i fornitori che si occupano della manutenzione dei sistemi. Così, mi lasci dire, è proprio facile».
Serve necessariamente avere un uomo all’interno per operazioni del genere?
«Non sempre, in passato ci sono riusciti anche senza averne uno ma ci vogliono competenze straordinarie in campo informatico. E bisogna investirci sopra una quantità massiccia di tempo e di denaro. È il caso degli attacchi state-sponsored (attacchi informatici effettuati da uno stato-nazione contro un altro governo, ndr), che lavorano per anni su un preciso target con attacchi sofisticati alla ricerca di una vulnerabilità tecnologica da sfruttare».
Ma non è questo il caso.
«Qui parliamo di crimine con finalità di lucro e profitto, e questo tipo di crimine segue sempre la via più facile. Non servono attacchi informatici particolarmente complicati: basta promettere a qualcuno una fetta dei guadagni e, se è abbastanza grossa, la tentazione farà il resto».
Si parla anche della clonazione di un indirizzo email assegnato al Presidente della Repubblica.
«Probabilmente è stato creato un falso account a nome del Presidente della Repubblica con il quale sono state inviate delle email. Falsificare un account non è particolarmente difficile, spesso basta modificare una singola lettera nel dominio della casella».
Che fine fanno i dati sottratti?
«Parliamo sempre di furti su commissione, magari per sapere qualcosa di più su un concorrente, su un dipendente potenzialmente infedele, su un socio o su un parente, perché magari c’è di mezzo un’eredità. I dati vengono rivenduti, dietro c’è un mercato importante».
È una pratica diffusa all’interno della Pa?
«Credo che il settore della cybersecurity sia un settore grigio. Ci sono delle pratiche che sono decisamente borderline, ed è un attimo prima che quel grigio diventi tutto nero. Il caso Telecom di qualche anno fa non era poi tanto diverso da questo. Tragga lei le conclusioni».
Quanto è indietro il nostro sistema normativo rispetto all’avanzamento tecnologico?
«Secondo me non è una questione tecnologica. Non concordo con Nordio quando dice che “dobbiamo essere al loro passo”. Io posso mettere tutte le misure di sicurezza che voglio, cifratura, autenticazioni multiple… Ma se la persona che entra nei sistemi era infedele, e ha tutte le password per accedere a quei dati, l’unica possibilità che ho è un controllo. Molto rigido e molto rigoroso. Però attenzione, perché in Italia la normativa sul diritto del lavoro rende molto difficile monitorare le attività dei dipendenti».
Prima parlava di attacchi state-sponsored. I nostri sistemi sarebbero in grado di difendersi?
«Non credo. Nessuna nazione sarebbe in grado di difendersi da un attacco del genere».
E da attacchi come questo, dove invece viene sfruttata la variabile umana?
«Consideri che le tecniche di ingegneria sociale sono di gran lunga le più efficaci e le più efficienti, anche in presenza di una vulnerabilità. Se non iniziamo ad aggiustare le cose partendo dalla formazione e dalla diffusione di una cultura informatica adeguata, difendersi da situazioni come questa sarà sempre più difficile».
Raffaele D’Ettorre
© RIPRODUZIONE RISERVATA
© RIPRODUZIONE RISERVATA
