Furto dati a Leonardo: ecco perché la strada della cyber security è ancora lunga - Cyber Security 360

LA RIFLESSIONE

Furto dati a Leonardo: ecco perché la strada della cyber security è ancora lunga

Molto si è detto sul data leak ai danni di Leonardo al quale avrebbe dovuto fare seguito una reazione molto diversa, da parte degli esperti di cyber security, ad un problema, quello del furto dati, che potrebbe capitare a chiunque, soprattutto a causa delle spesso sottovalutate minacce interne. Sarebbe utile, quindi, che i veri protagonisti iniziassero a comprendersi e dare un segnale forte che la mentalità sta cambiando per il bene di tutti

11 Dic 2020
L
Andrea Lorenzoni

Expert Cybersecurity Analyst, Forensics, Automotive & Training presso CyberFVG.it

La notizia che Leonardo ha denunciato un furto di dati tutto dovrebbe fare, meno che lasciarci di sorpresa: questo è la conseguenza del fatto che noi operatori del settore abbiamo perso di vista molti degli aspetti professionali e umani che dovrebbero distinguerci.

In più, quello che purtroppo si è notato, è la reazione del tutto provincialotta e mediocre di molti individui che si atteggiano a grandi professionisti e che hanno ritenuto di dover cavalcare la questione con frasi ad effetto “se fossi stato io non sarebbe successo”, “qualcuno dovrebbe perdere il posto di lavoro”, “chi controlla il controllore” ed altre futili considerazioni sul criterio con il quale l’azienda ha ritenuto doveroso assumere persone dalle dubbie capacità morali o professionali.

Insomma, come sempre nel nostro Paese, a posteriori tutti siamo bravi giudici e ci arroghiamo pure il diritto di puntare il dito come se noi fossimo i puri di animo o i garantisti della legalità. Quello che ci porta ad essere allenatori durante i mondiali, skipper durante le regate, piloti durante la Formula 1 e così via. Ed io, personalmente, speravo che in questo ambito rappresentassimo qualcosa di più. Ma di questo ne parlerò più avanti.

Credo che oramai non occorra ripercorrere quelli che sono stati i fatti, ma voglio ribadire per chi ancora non avesse chiarezza in merito che l’azienda non ha subito un attacco dall’esterno e non è stata bloccata da un ransom. L’azienda si è dovuta confrontare con l’azione di un insider. O per meglio dire due, sempre che durante le indagini emergano altri individui coinvolti.

Furto dati a Leonardo: le minacce interne

Chiarito il concetto, già in altre sedi mi ero soffermato sulle minacce che vengono definite insider. Sono quelle minacce che derivano da comportamenti, consapevoli o inconsapevoli, che vengono attuati da personale interno all’azienda.

WHITEPAPER
Ransomware: tutto quello che c’è da sapere per una protezione avanzata
Sicurezza
Cybersecurity

Con il termine “interno” non bisogna perimetrare solo ed esclusivamente i dipendenti o il personale che è dentro le mura dell’edificio.

Il termine deve essere esteso anche a quelle figure che non sono dipendenti ma che partecipano alle fasi di produzione e che devono essere considerati come personale dell’azienda. Soprattutto in considerazione al trattamento dei dati che vengono scambiati e alla sicurezza delle informazioni.

E oggi con lo smart working l’attenzione alla sicurezza deve essere maggiore. L’insider è una delle minacce peggiori alle quali le aziende sono vulnerabili.

I dettagli del furto dati

Nel caso specifico di Leonardo cosa succede. Cito il comunicato della Polizia Postale:

“All’esito di complesse attività d’indagine del Gruppo di lavoro sul cybercrime della Procura della Repubblica di Napoli, volte a definire i contorni di un grave attacco alle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il C.N.A.I.P.I.C. del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della predetta società, essendo gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali”.

E poi continua:

Nel gennaio 2017 la struttura di cyber security di Leonardo S.p.A. segnalava un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali.

Il traffico anomalo risultava diretto verso una pagina web denominata “www.fujinama.altervista.org”, di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.

Secondo la prima denuncia di Leonardo S.p.A., l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa.

Le successive indagini hanno ricostruito uno scenario ben più esteso e severo”.

Preciserà poi Leonardo che si tratta di un ex collaboratore non dipendente e di un dipendente non dirigente.

In ogni caso, ciò che abbiamo letto in queste ore, è storia comune che capita quasi ogni giorno nelle aziende del nostro Paese (piccole, medie e gradi imprese) che, tuttavia, non hanno il medesimo risalto mediatico perché non sono Leonardo. Quindi, niente di nuovo.

Di fatto, si ha l’impressione che il problema venga considerato solo perché occorso ad un nome importante.

Furto dati a Leonardo: un’analisi degli eventi

Nel gennaio 2017, come si legge, il reparto Cybersecurity di Leonardo di accorge di traffico anomalo in uscita da alcune postazioni. Credibile? Forse sì o forse no, ma per tutti quelli voglio saperne di più sono da considerare quelli che sono stati definiti come parametri soglia.

Se, ad esempio, in un determinato settore si prevede che in determinate condizioni il traffico in uscita sia zero, anche dieci megabyte saranno evidenziati come traffico anomalo. Quanti dati, ad esempio, possono essere contenuti in un file di testo compresso che pesa solo dieci megabyte?

Quindi il fatto che qualcuno si sia accorto del traffico anomalo è perfettamente in linea con quello che mi aspetterei da un’azienda che ha messo sul tavolo un bel po’ di soldi in termini di investimenti.

Peccato che le successive indagini hanno evidenziato che queste attività si sono protratte per due anni prima che quel “qualcuno” si accorgesse che il traffico in uscita rappresentava un’anomalia. Quindi la questione sta nel capire perché di questo traffico nessuno si sia accorto già nel 2015. È cambiato qualcosa? Sono cambiate le policy? Sono cambiate le persone? Perché se è vero che mentre un insider si occupava dei dati e l’altro depistava, qualcosa deve essere cambiato nei due anni che ha portato, solo nel 2017, l’evidenza del problema.

Le considerazioni e la partita della cyber security

Quello che va chiarito è che il fatto di occuparsi di cyber sicurezza, non rende un’azienda esente da questo tipo di problemi. La minaccia interna è imprevedibile perché, per molti versi, è determinata da aspetti umani che sono imprevedibili. A volte sono scatenate da pulsioni emozionali oppure a volte si tratta di azioni di personale che è sotto ricatto. E lo smart working moltiplica esponenzialmente le vulnerabilità alle quali l’azienda si sottopone.

Cercare di individuare questo tipo di comportamenti è un’attività molto complessa che non sempre fornisce nell’immediato risultati apprezzabili. Soprattutto se i soggetti sono consapevoli di essere sottoposti a questo tipo di parametrizzazione.

Ma tutto questo si poteva evitare? Probabilmente c’era la possibilità di accorgersi molto prima di quanto stava accadendo, ma serve un cambio di mentalità.

In questi ultimi anni la cyber security ha visto degli enormi passi avanti ed il mercato ha visto la nascita ed il consolidamento di realtà di impresa che, però, rivolgono la loro offerta di servizi come se fossero l’unica realtà sul mercato alla quale rivolgersi. “noi siamo i migliori” ed ogni confronto con il concorrente p cisto solo sulla necessità di evidenziare che l’altro è meno preparato di noi. Se per molti settori di impresa questo atteggiamento è premiante, per la cyber security no.

Nemmeno aziende come Leonardo, per quanto possano avere capitali da investire, sono in grado di garantire che tra il loro personale ci siano tutti i tipi di specializzazione che l’ambito professionale richiede. Gli ambiti sono troppo estesi e l’insorgenza di nuove metodologie della cybercriminalità è talmente veloce che richiede che ci sia una cosa che ancora non c’è: la sinergia.

E questo è, purtroppo, una conseguenza di quella mentalità provinciale di cui parlavo all’inizio che gonfia il nostro ego e ci toglie l’umiltà di ammettere che non siamo prepararti a tutto. Non possiamo esserlo. Però non siamo in grado nemmeno di collaborare tra di noi perché c’è sempre il sospetto che qualcuno possa farci fare brutta figura o, peggio, ci porti via il cliente.

Ma la cyber security del nostro Paese è una partita che non si può giocare da soli e i veri protagonisti dovrebbero comprendersi e dare un segnale forte che la mentalità sta cambiando per il bene di tutti.

Abbiamo, credo, l’ennesima prova che giocare da solisti ha come conseguenza che le opportunità si trasformano in problemi che spesso non si è in grado di gestire nella maniera migliore. La sinergia permette di contribuire, chi per la propria parte, al perseguimento di un obiettivo. Ed i risultati devono soddisfare tutti quelli che hanno dato il loro contributo.

Ciò potrebbe anche voler dire affidarsi ad un collega per monitorare la sicurezza della propria infrastruttura ed in questo non si deve pensare che un’azienda sia meno capace di altre, ma semplicemente il principio che quattro occhi vedono meglio di due. O più semplicemente mi affido ad un collega così la mia struttura si concentra sulle attività core.

Questo sì che sarebbe un bel segnale da dare al mercato e, soprattutto, alla cyber criminalità.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA

Articolo 1 di 5