Spioni negli archivi riservati? Gli esperti: “Colpa dei dipendenti infedeli, la favola degli hacker copre l’omessa vigilanza ai piani alti”
Altro che hacker, i presunti “spioni” di Equalize confezionavano dossier soprattutto grazie ai dipendenti infedeli tra i ranghi delle forze dell’ordine, della pubblica amministrazione e delle società di manutenzione dei sistemi informatici. Pochi intrusi a rubare i dati, perché i ladri per lo più si nascondevano in casa. Digitavano comodamente password e username dai loro uffici, per nuotare liberi nell’oceano delle informazioni riservate. Nessun controllo dai piani alti, malgrado gli alert e i report sugli ingressi nei database. Dunque, perché strepitare contro gli hacker? Matteo Flora ha la sua idea: “Serve a oscurare le responsabilità di chi non ha controllato i servitori dello Stato infedeli. Quella degli hacker è una storia affascinante, lo capisco, ma per quello che sappiamo finora, pur sempre una panzana”.
Flora insegna all’università di Pavia, allo European School of Economics di Roma, è il fondatore di theRules, il think tank sulla Governance. Con lui sono d’accordo Michele Colajanni e William Nonnis. Il primo dirige il Corso di Perfezionamento in “Cyber Security Management” all’università di Bologna. Il secondo lavora nel dipartimento innovazione e tecnologie di palazzo Chigi. Tra gli addetti ai lavori, leggendo le cronache ma senza consultare gli atti giudiziari, è opinione diffusa: gli scandali sugli accessi abusivi non dipendono dagli hacker, ma in vasta parte dai lavoratori infedeli. Mettiamo in fila gli scandali precedenti: il finanziere Pasquale Striano consultava gli archivi della Direzione nazionale antimafia, il banchiere Vincenzo Coviello sbirciava compulsivamente i conti correnti di mezza Italia dalla filiale di Intesa a Bisceglie. Infine Carmelo Miano, “beccato” alla Garbatella solo per la debolezza di un click su un sito porno. Lui sì, un hacker, anche se William Nonnis nutre dubbi: “Lo è a metà – ammonisce – come lavoratore di Ntt Data, aveva accesso alle password per gli archivi autorizzati”. Su Miano gli esperti non concordano, nel suo caso le abilità informatiche si mescolano ai privilegi delle credenziali per gli accessi diretti ai database. Per gli altri scandali, invece, Matteo Flora ne è convinto: “Sono una cartina di tornasole devastante per chi ha omesso di vigilare”. Eppure nel dibattito risuona il ritornello: rafforzare le difese cibernetiche. Male non fa, ma la falla dei dipendenti infedeli resta aperta. Eppure le regole ci sono già.
L’INSOFFERENZA ALLE REGOLE – Il prof Michele Colajanni è stupito e incredulo per gli scandali. Elenca le regole per vigilare sui dipendenti e gli appaiono perfino banali. “Sono sempre le stesse, collaudate da trent’anni: dopo circa 10 ricerche negli archivi scatta l’alert per segnalare comportamenti sospetti, mentre i report automatici stilati dal software fotografano ogni accesso al database”. E allora perché non è partito l’allarme? “Forse cialtroneria, abitudine oppure senso di impunità”. Colajanni è basito dai 6.637 accessi abusivi del dipendente di Intesa: “Come è stato possibile che nessuno abbia alzato un dito?”. La domanda vale per Pasquale Striano e gli uomini della Equalize, del tandem Pazzali e Gallo. Chiediamo lumi a Matteo Flora: “Conosco e stimo il reparto ‘sicurezza informatica’ di molte banche, le anomalie sono state certamente indicate ma qualcuno ai piani alti avrà fatto spallucce alla segnalazione e continuato ad ignorarla”. Flora racconta l’atteggiamento sarcastico che aleggia sovente, nelle organizzazioni, verso i tecnici della sicurezza digitale: “Spesso sono considerati ‘sfigati’ che rompono le scatole a chi lavora”. Per molti dipendenti, le regole di sicurezza sono un inutile fastidio imposto dai colleghi “smanettoni” dell’ufficio cyber o audit. E arrivano le lagne: “Dopo un po’ di tempo salta il login e devo inserire di nuovo le credenziali”. Oppure: “Bastano poche ricerche per far scattare l’alert che mi rallenta il lavoro”.
L’ASSENZA DEI CONTROLLI – Altri antidoti al dipendente infedele non si scorgono all’orizzonte: i report e gli alert ci sono, sovente nessuno li vede o agisce di conseguenza. Sull’inerzia ai vertici della piramide, gli addetti ai lavori credono poco all’ipotesi del complotto. “Mai attribuire alla malizia ciò che si spiega con la stupidità”, dice Matteo Flora. Per stroncare la politica dello struzzo indica una soluzione: stabilire una procedura standard, anche con una legge, da innescare quando scatta un alert oppure i report indicano comportamenti anomali. “Manca un protocollo fisso quando i tecnici suggeriscono possibili accessi abusivi – aggiunge Flora – In tal caso, i responsabili possono anche sminuire la segnalazione e ordinare di passare oltre, per dedicarsi ad affari che giudicano prioritari”.
QUANDO L’ALERT NON SCATTA – “No, nel nostro caso non c’è l’alert! Hai visto come ti arriva? Non c’è la richiesta di nessun operatore… è un backup del server!”: sono le parole – agli atti dell’inchiesta – dell’informatico Samuele Calamucci all’ex poliziotto Carmine Gallo. Un’intercettazione “inquietante” per gli esperti. Il gruppo di Equalize avrebbe contato sulla collaborazione di una società di manutenzione, per fare una copia dell’intero archivio. Nessun intruso esterno, ancora dipendenti infedeli. “Se le parole di Calamucci fossero vere, un dettaglio mi terrorizza – ammette Flora – non potremmo mai sapere quali e quanti dati sono stati trafugati. In quegli archivi c’e lo Stato nella sua interezza”. Il timore è che ci siano più copie, non solo nelle mani degli indagati.
RAFFORZARE LE DIFESE CYBER? – Flora, Colajanni e Nonnis sono concordi: rafforzare le misure cyber va bene, ma lascia intatta la minaccia del dipendente infedele. Anzi, come in un paradosso, potrebbe perfino sortire l’effetto opposto. Aumentare la spese per la sicurezza digitale significa anche assumere personale: “Più password, più accessi, più difficile controllare”, dice Flora. Intanto, a palazzo Chigi si discute sull’opportunità di un decreto per consegnare alla Direzione nazionale antimafia ogni indagine sugli accessi abusivi. La misura non risolverebbe nulla, perché i magistrati arrivano quando il reato è già consumato. Il governo discute anche di alzare le pene: la minaccia della galera può frenare i dipendenti infedeli. Ma di sicuro, i bassi salari sono un incentivo alla corruttibilità. “Basta vedere il caso Sogei, dove perfino il direttore generale avrebbe incassato mazzette – dice Nonnis – figuriamoci un lavoratore con stipendio da 2 mila euro al mese”. Per gli esperti il cuore del tema è uno: chi controlla i controllori? Ovvero: chi avrà accesso agli alert e ai report con le tracce digitali negli archivi riservati? “Se un alert mi segnala un’indagine giudiziaria su un politico, il rischio è che l’onorevole sia informato in tempo reale, dunque un questione di democrazia”, dice Flora. Il sottosegretario Alessio Butti ha lanciato l’idea di “un’agenzia del dato”: un soggetto unico a sovrintendere le banche dati. Una soluzione che non convince il fondatore del think tank theRules: “Serve una task force, una tavola rotonda interforze, con le singole parti che si sorvegliano non a vicenda. Questo è il grande tema, altro che hacker”.