Chi (e perché) ha hackerato Saipem?

di Gen. Umberto Rapetto

Articolo

Tutti i dettagli e gli approfondimenti sull’attacco hacker contro Saipem. Il commento di Umberto Rapetto, generale GdF in congedo, già comandante del GAT Nucleo Speciale Frodi Telematiche

Troppo presto per parlarne. Sempre abbastanza tardi per rifletterci.

È la vicenda dell’attacco informatico ad alcuni server di Saipem, un incidente che la grande società operante nel settore petrolifero ha prontamente segnalato e cui avrebbe reagito con eguale tempestività.

È l’occasione per riordinare i pensieri e aspettare a decretare sia un knock out da ring pugilistico sia l’uscita indenne dalla disavventura. Ma, anche se sono troppo pochi gli elementi per fare valutazioni sartoriali sull’accaduto, quel che è successo può essere l’opportunità per cercare di capire la gravità della situazione sul fronte della cyber security.

L’episodio innesca immediatamente due domande, fin troppo scontate. Cosa è successo? Chi è stato e perché?

L’atmosfera somiglia a quella di “Rischiatutto” e stavolta il candidato si trova dinanzi a due quesiti cui non è affatto facile dare risposta.

Chi immagina un attacco casuale sbaglia. Chi pensa ad un attacco chirurgico pure. Il bersaglio era sicuramente ben definito, ma le mitragliate digitali sono andate a segno su obiettivi apparentemente di minore importanza.

Apparentemente, già.

Il sistema informatico del colosso delle opere di ingegneria e di perforazione ha i piedi ben piantati in Italia, Francia e Gran Bretagna. I server colpiti dall’attacco sono apparati indicati come meno importanti: si trovano in Medio Oriente a cui si aggiunge una piccola realtà ad Aberdeen, in Scozia, dove sarebbero impiegati solo una decina di dipendenti.

Il peso degli apparati tecnologici è spesso valutato in ragione delle dimensioni dei dati gestiti o delle molteplici funzionalità assicurate dalle procedure che “girano” su quelle macchine. Una valutazione di quel genere fa pensare al pelide Achille e inevitabilmente al suo minuscolo tallone, che – secondo certe metriche – poca preoccupazione avrebbe destato in un soggetto non al corrente della sua vulnerabilità.

Se il cuore amministrativo e organizzativo di una azienda petrolifera è vicino al suo management, i capillari di un sistema cardiocircolatorio arrivano nei più sperduti luoghi dove freme l’attività estrattiva o di raffinazione o lungo l’itinerario tra la produzione e il consumo.

Il “computer” o qualunque altro dispositivo informatico del pozzo (ad esempio) non custodisce certo segreti strategici, ma – siccome un suo malfunzionamento (fortuito o doloso) può avere conseguenze catastrofiche – è fondamentale che si veda riconosciuta priorità eguale (se non superiore) alle dotazioni asservite a più elevate finalità aziendali.

Forse – a guardar bene – varrebbe la pena un approccio …“inversamente proporzionale”, destinato a far capire che nelle piccole cose si nascondono le peggiori insidie e a far comprendere che ogni grande organizzazione sarebbe omericamente un millepiedi.

La prima domanda sulla natura dell’accaduto è irrisolvibile. Ogni ipotesi può trovare riscontro solo al termine di una attenta analisi dei “log”, ovvero di quell’insieme di registri elettronici che registrano gli eventi e permettono di indirizzare la prua nella non sempre facile identificazione dei responsabili. In teoria l’aggressione ad un sistema informatico può esser mirata ad acquisire informazioni riservate “utili” sul versante industriale e commerciale, oppure a danneggiare o bloccare l’attività produttiva fino a pregiudicare ogni prospettiva di business. La localizzazione geografica del fatto induce ad immaginare più facilmente un tentativo rientrante nel secondo tipo di aggressione. Nulla più.

Il secondo quesito è dato dalla combinazione “chi/perché” che subito innesca le più fantasiose ricognizioni volte ad individuare mandanti, esecutori e le ragioni che hanno scatenato una simile operazione.

Il palcoscenico “energy” è particolarmente caro ai pirati informatici che in più circostanze hanno esibito le loro abilità stupefacendo anche il pubblico degli addetti ai lavori. L’Italia finora mancava all’appello e quindi statisticamente c’era da aspettarsi qualche grattacapo. In circolazione ci sono gruppi hacker specializzati proprio in questo settore e il “Black Ghost Knifefish” ne è solo un campione: non mancano pericolosi scriteriati pronti ad assaltare gli impianti produttivi, la canalizzazione e i mezzi di trasporto come le grandi navi-cargo da arrembare virtualmente.

Questi soggetti vengono ingaggiati dalla più diversa committenza: la concorrenza del soggetto target o di qualche suo fornitore, i governi, le organizzazioni terroristiche e quelle del crimine organizzato. Qualche volta, quasi romanticamente, i corsari del bit si lasciano affascinare da un qualsivoglia abbaglio di idealismo. Difficile dire aprioristicamente chi abbia armato il mouse della banda che ha mandato a segno il colpo, anche perché non di rado gli attacchi informatici sono una banale azione di sabotaggio di personale interno insoddisfatto o infedele, di soggetti acquisiti in “body rental” sottopagati o consci di un imminente mancato rinnovo, di tecnici manutentori con aspettative non corrisposte….

Alcuni elementi, raccattati al volo, possono agevolare i ragionamenti e le considerazioni che ciascuno vorrà fare. Se trasformiamo questo articolo in una suggestione a pensare, gli ingredienti sono facili ad essere elencati.

La lista (è ovvio) è incompleta e imprecisa, ma può aiutare ad un esercizio di ginnastica mentale.

Saipem è in affari con la ciclopica Saudi Aramco, il cui scalpo digitale da quasi dieci anni viene ciclicamente sventolato dai barbari tecnologici. Altri partner e società partecipate di Aramco (una è la Sadara Chemical Company) hanno provato esperienze da brivido.

Qualche mese fa Saipem ha avviato una vera e propria trasformazione digitale affidandosi ad una multinazionale della consulenza e presumibilmente lasciando a bocca asciutta precedenti interlocutori e a casa i relativi lavoratori.

A guardare possibili iniziative di “lupi solitari” animati da spirito di revanche o dal desiderio di manifestare semplice disaccordo, c’è la storia dei licenziamenti in Senegal e volendo ci si può aggiungere anche Tap.

Prescindendo dalle personali congetture di ognuno, una sola cosa è fin troppo chiara.

Il problema “cyber” non va più rinviato. Deve essere affrontato – una volta per tutte – non solo dalle singole sfortunate vittime di attacchi, ma dall’intero Sistema Paese.

Umberto Rapetto

Generale GdF in congedo – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity 
Consigliere di amministrazione di Olidata con delega alla cybersecurity

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.