Sabotaggio informatico significa tante cose. La divisione CERT Insider Threat Center del Software Engineering Institute della Carnegie Mellon University definisce un aggressore malintenzionato come: “Un dipendente o un ex dipendente, un collaboratore o un altro partner commerciale che ha o ha avuto accesso autorizzato alla rete, al sistema o ai dati dell’organizzazione e in modo intenzionale usa o abusa dei suoi permessi per pregiudicare la riservatezza, l’integrità o la disponibilità delle informazioni o dei sistemi informativi dell’organizzazione”.
Tra i casi più eclatanti, i 750.000 documenti militari e diplomatici divulgati nel 2009 a WikiLeaks da un membro interno all’esercito degli Stati Uniti. La reazione della Casa Bianca al sabotaggio informatico si tradusse nell’ordine esecutivo 13587 dell’ottobre 2011, da cui ha preso il via una riforma strutturale, finalizzata a migliorare la sicurezza delle reti e delle informazioni classificate.
Sabotaggio informatico: quali sono i rischi per le organizzazioni?
I rischi per le organizzazioni vanno ben oltre il furto di dati e la perdita delle informazioni. Nei casi più drammatici, infatti, l’attacco può arrivare alla distruzione intenzionale non solo di una porzione di informazioni ma di un intero sistema all’interno di un’organizzazione. Gli esperti sottolineano che, per quanto il termine “sabotaggio informatico” sia relativamente nuovo, per molti responsabili della sicurezza mettere bene a fuoco il problema è un fondamentale. In che modo farlo? Prima di tutto partendo dalla considerazione che il rilevamento di una minaccia interna richiede una profonda comprensione di cosa possa spingere una o più persone a comportarsi in un certo modo, sia in senso positivo che negativo. Insomma, comprendere la psicologia comportamentale diventa strumentale a ogni azione di tipo preventivo (ma anche reattivo), specialmente nei casi di sabotaggio di informazioni privilegiate.
Le tecnologie per il sabotaggio informatico interno
Quali sono, dunque, gli aspetti da prendere in considerazione? Innanzitutto, non sottovalutare mai le risorse interne. Gli autori di un sabotaggio informatico sono utenti tecnicamente esperti: non solo hanno l’accesso ai sistemi, ma hanno anche le capacità di sferrare un attacco, avendo tutte le cognizioni necessarie a nascondere le loro attività illecite. Sono caratteristiche che rendono molto difficile il rilevamento di un attacco interno anche da parte degli esperti IT. Questo perché il comportamento malevolo raramente appare differente da un comportamento normale.
Ci sono però degli elementi distintivi che, modellizzati, possono aiutare i responsabili della sicurezza a comprendere di più e meglio cosa sta succedendo all’interno della rete aziendale. A lavorare per più di 15 anni alla catalogazione e all’analisi il CERT Insider Threat Center, il cui lavoro ha permesso di rilevare i modelli di comportamento degli insider dannosi. Questi modelli contribuiscono a far capire chi siano i soggetti che mettono a rischio le informazioni e l’azienda, perché lo fanno, quando e dove lo fanno, ma anche come vengono eseguiti gli attacchi.
“In qualsiasi discussione sul comportamento e le caratteristiche comportamentali è importante ricordare la motivazione – spiega Peter Sullivan, autore e scienziato presso la Carnegie Mellon University nonché professore al CERT dove tiene corsi di Insider Threat Program Management e di valutazione delle vulnerabilità degli attacchi interni -. Perché stiamo cercando di scoprire le caratteristiche di un sabotaggio di informazioni interne? Rispetto ai modelli, rilevare una o più caratteristiche negative non significa che sia stato rilevato un insider dannoso. Piuttosto, la comprensione di queste caratteristiche deve essere utilizzata come input per un’analisi basata sulle posizioni lavorative a rischio di sabotaggio informatico, in modo da poter comprendere gli elementi organizzativi che possono condizionare i dipendenti interni al punto da portarli a progettare un attacco. Non solo: l’analisi serve anche a sviluppare e implementare strategie di protezione e mitigazione dei rischi, contribuendo a proteggere l’organizzazione e i suoi dipendenti da attacchi interni dannosi».
I modelli di sabotaggio informatico
Secondo il CERT, la maggior parte degli attaccanti ha una predisposizione caratteriale a commettere un crimine informatico. La predisposizione personale è definita come una caratteristica storicamente legata alla propensione a manifestare comportamenti dannosi: comprenderla aiuta a capire perché alcune persone agiscono in modo malevolo a differenza di altre che, a parità di condizioni, ambienti ed eventi, non lo fanno.
Esempi di predisposizioni personali identificate dal CERT includono:
- conflitti con i compagni di lavoro
- bullismo e intimidazione nei confronti dei compagni di lavoro
- gravi conflitti di personalità
- comportamento non professionale
- difficoltà a controllare la rabbia e comportamenti inappropriati
- molestie o conflitti risultanti da sanzioni o reclami ufficiali
- uso improprio di viaggi, tempi e spese
- incapacità di conformarsi alle regole (in relazione ad arresti, hacking, violazioni della sicurezza)
Il CERT ha scoperto che molti dipendenti che hanno commesso un qualche sabotaggio informatico hanno mostrato un certo livello di predisposizione alle violazioni. Ad esempio, nel 2005, un rapporto congiunto con CERT e il servizio segreto statunitense ha rilevato che il 30% degli interni che ha commesso una qualche forma di sabotaggio informatico a infrastrutture mission critical aveva dei precedenti con la giustizia (arresti, inclusi arresti per comportamento violento, reati legati all’alcol e alla droga, e reati di furto correlati a frodi).
“Uno studio più recente del CERT e del Department of Homeland Security, incentrato sul settore dei servizi finanziari – conclude Sullivan – ha rilevato che rispetto agli autori di reati informatici, solo il 33% era stato classificato dal management come difficile, e solo il 17% rientrava nel modello degli insoddisfatti. In ogni caso è importante tenere a mente queste bandiere rosse durante il monitoraggio e l’identificazione di potenziali minacce interne”.