STOCCARDA – La Germania è nel mirino dei cyber-terroristi. Durante l’estate scorsa, un gruppo ransomware chiamato “Lockbit 3.0” ha hackerato i sistemi informatici di Continental, un’azienda del Dax che ha un fatturato di 40 miliardi di euro, e ha copiato dati sensibili senza essere rilevato per settimane.
Il bottino, che ammonta a 40 Terabyte, comprende informazioni confidenziali su strategie e piani di investimento, comunicazioni del Consiglio di sorveglianza e dati personali dei dipendenti, nonché documenti tecnici relativi ai principali clienti dell’azienda, tra cui Volkswagen, Mercedes-Benz e Bmw. I file sono stati successivamente pubblicati sul dark web, dopo che Continental ha rifiutato di pagare il riscatto di 50 milioni di dollari richiesto dal gruppo hacker.
L’attacco informatico è partito da una filiale del gruppo nell’Europa orientale, dove un incauto dipendente ha scaricato un malware utilizzando un browser non autorizzato dal dipartimento IT. Grazie a questo stratagemma, gli hacker sono riusciti a ottenere le credenziali di accesso (username e password) alla rete Intranet di Continental. Successivamente, attraverso una tecnica nota come “movimenti laterali”, hanno acquisito credenziali in grado di accedere a dati sempre più sensibili, che sono stati copiati e diffusi in rete. Gli hacker sono rimasti all’interno della rete di Continental per diverse settimane, finché un dipendente ha notato delle anomalie nel funzionamento di alcuni sistemi aziendali, rivelando l’intrusione.
Quali sono le lezioni che si possono trarre da questa vicenda? Una prima lezione fondamentale riguarda il controllo degli asset informatici. Il browser che ha aperto la prima porta agli intrusori era un asset abusivo, non autorizzato dal dipartimento IT. La seconda lezione riguarda l’importanza di porre in essere le migliori difese esistenti (state of the art) su tutti i sistemi aziendali. Queste difese possono essere paragonate alle misure di prevenzione adottate in ambito medico (una corretta alimentazione, vaccinazioni contro le principali malattie infettive, ecc.).
Un’altra lezione riguarda l’importanza della diagnosi precoce, che nel campo medico viene effettuata tramite programmi di screening, volti a individuare le malattie prima della comparsa dei sintomi. La declinazione della diagnosi precoce in campo informatico prende il nome di “intrusion detection” o, più specificamente, “anomaly detection”. L’obiettivo è costruire un modello del comportamento normale del sistema, in grado di evidenziare deviazioni dallo standard. Nel caso dell’attacco subito da Continental, ad esempio, l’anomalia è stata notata da un dipendente, ma un sistema di intrusion detection è in grado di automatizzare il processo, riducendo i tempi necessari per individuare gli intrusi e i danni arrecati.
L’Intelligenza Artificiale costituisce naturalmente uno strumento importante nella partita per la cybersecurity, che può (e deve) essere usato dai difensori, ma può anche essere usato dagli attaccanti. È utile in questo caso una riflessione sul tema della digitalizzazione dei processi aziendali, che si estende in modo sempre più pervasivo. Il mondo digitale è però il terreno in cui la AI eccelle, mentre nel mondo fisico gli esseri umani mantengono ancora (per il momento) un ampio vantaggio. Portare lo scontro interamente sul terreno digitale è come scegliere di giocare a tennis con Rafa Nadal sulla terra rossa! Mantenere un aggancio con il mondo fisico potrebbe essere una mossa vincente per aumentare la resilienza del sistema nel lungo periodo.
L’attacco a Continental rappresenta un assaggio di quello che potrebbe succedere nei prossimi mesi. Gli hacker filo-russi hanno infatti minacciato ritorsioni contro la Germania, dopo che il Governo ha autorizzato la consegna di carri armati Leopard all’Ucraina. A poche ore dall’annuncio della decisione, il gruppo “Killnet” ha pubblicato un messaggio sul suo canale Telegram, ammonendo che “l’apocalisse è sempre più vicina”. Killnet ha esortato gli hacker russi a intraprendere un “attacco informatico globale alla Germania”, pubblicando anche un elenco dei potenziali obiettivi, che include i siti web del Governo e dei vari Ministeri.
Non è stato invece causato da un attacco informatico il caos che si è abbattuto sui sistemi IT della compagnia aerea Lufthansa. Nella giornata di mercoledì 15 febbraio i sistemi informatici per l’imbarco, il check-in e la pianificazione dell’equipaggio erano fuori servizio, causando cancellazioni e ritardi. A quanto pare i problemi sarebbero stati causati dai lavori di costruzione di una linea ferroviaria a Francoforte, durante i quali diversi cavi in fibra ottica di Deutsche Telekom sono stati tranciati da una ruspa.
Questo episodio ci ricorda come gli hacker siano solo un aspetto del problema. La crescente complessità della tecnologia e delle relative pratiche burocratiche rende i sistemi sempre più fragili e instabili. La gestione della complessità diventa sempre più difficile per gli esseri umani, le cui capacità fisiche e mentali sono necessariamente limitate.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
