di Roberto Toncig
Socio ASIS Italy Chapter
Lo scorso 31 gennaio il Direttore dell’FBI, Christopher Wray, ha lanciato un allarme circa l’acquisita capacità da parte cinese di condurre operazioni di inabilitazione e disruption di infrastrutture critiche nel territorio americano, sino a potenzialmente paralizzare e gettare nel caos gli USA. Le dichiarazioni di Wray si sono inserite nel crescente allarmismo sull’aggressività della Cina, testimoniata dalla constatazione che l’FBI apre un “caso cinese” ogni 10 minuti.
Ad un primo esame superficiale si potrebbe obiettare che si tratta di un aspetto della crescente competizione “militare” tra Stati e Potenze; in realtà, questa competizione si estende direttamente ed in modo pervasivo al settore commerciale, industriale e scientifico. Basta soffermarsi sulle statistiche riguardanti la struttura del valore delle società inserite nell’elenco S&P 500 per notare che nel periodo 1975-2020 la proporzione tra i loro asset tangibili (“le cose”) e quelli intangibili (“le conoscenze”) è passata dall’83%-17% al 10%-90%. L’aumento esponenziale del valore di mercato della conoscenza ha comprensibilmente innescato una parallela caccia alla stessa da parte di una vasta pluralità di attori, statali e non, per sottrarne i risultati senza incorrere nei costi e tempi per la ricerca e lo sviluppo. In questa competizione senza confine le operazioni di spionaggio assumono valenza assolutamente primaria.
La minaccia pertanto è reale, pervasiva ed estesa; quello che segue è un contributo sui punti salienti emersi in alcuni dibattiti conseguenti ai recenti allarmi sulla minaccia legata allo spionaggio industriale.
CHI SONO GLI ATTORI E COSA CERCANO?
I soggetti statali maggiormente impegnati nelle attività di spionaggio industriale ai danni del mondo occidentale sono Russia, Cina e – da qualche anno – l’Iran; li legano da un lato l’opposizione ideologica all’”Occidente allargato” e dall’altro l’obiettivo di capitalizzare a proprio favore i risultati degli enormi investimenti occidentali in materia di R&D e sviluppo scientifico e tecnologico.
L’esempio forse più famoso nel passato recente di un’operazione complessa di spionaggio scientifico-industriale riguarda le attività sovietiche per l’acquisizione dei segreti per la produzione del primo ordigno atomico. Meno nota è la circostanza che Stalin ricorse al medesimo approccio operativo, ovvero alla gestione dell’estesa rete di agenti illegali attiva negli USA ed in UK, per sostenere mediante il furto di tecnologia e know-how gli ambiziosi obiettivi di sviluppo industriale dell’URSS indicati nei Piani Quinquennali e non ottenibili con le sole risorse ed energie proprie.
In un singolare parallelo, oggidì è la Cina a muoversi per piani quinquennali ed il documento attuale – il 14° della serie, con valenza 2021-2025 – elenca tutta una serie di obiettivi distinti per settore (società, ambiente, tecnologia ecc.) che offrono un quadro di riferimento e azione anche per le attività cinesi di spionaggio industriale.
Le aree di maggiore interesse e priorità riguardano ovviamente il settore militare ma sono considerati in genere tutti gli ambiti critici per la sicurezza ed il vantaggio competitivo quali energia, acqua, risorse agro-alimentari, sanità, intelligenza artificiale, supercomputing e via discorrendo.
Sarebbe peraltro riduttivo considerare solo i 3 Paesi citati quali attori di rilievo nello spionaggio industriale; in questo campo il concetto di Nazione amica o alleata è infatti molto labile, in quanto viene meno di fronte al perseguimento di posizioni di supremazia, vantaggio e tutela dei propri interessi nazionali strategici.
Inoltre, sono in forte crescita – anche in conseguenza della weaponizzazione di internet – le presenze di attori non-statali operanti sia per conto proprio ed in forma autonoma sia quali proxy di entità statali, per le quali assolvono la funzione di assicurare la cosiddetta plausible deniability. Si tratta di gruppi criminali, contractors ingaggiabili, società specializzate, gruppi di varia natura ideologica, entità attive nel social engineering, e così via.
QUALI SONO I TARGET?
La preminenza di interesse riguarda l’acquisizione di conoscenze nel settore militare, nell’hi-tech e sulle nuove frontiere dello sviluppo tecnologico, biomedico e sociale. Sarebbe tuttavia errato ritenere che esistano delle aree franche e non a rischio; fra i tanti esempi, basti citare la costante ricerca da parte cinese di acquisire semenze di nuove selezioni sperimentali di mais, prodotte nell’ambito di progetti di ricerca del valore di svariati miliardi e in un arco temporale pluridecennale. In termini più semplici ed immediati e citando un esperto di settore “every nation needs pencils after all” e ogni industria cerca di produrre le proprie matite al costo più basso possibile.
Gli ambienti operativi nei quali si dipanano le attività di attori ostili, siano essi statali, proxy, criminali o industriali sono di tre tipologie: fisico, che comprende impianti, fabbriche, laboratori, depositi, zone di sperimentazione, e simili; virtuale, ovvero lo spazio cyber e la trattazione, circolazione, condivisione, conservazione ed accessibilità di dati, progetti, idee; ed infine lo spazio umano, ovvero le persone, le risorse umane dell’organizzazione-bersaglio.
Per quanto riguarda i primi due ambienti si sono nel tempo registrati molti progressi in materia di misure di protezione, prevenzione, mitigazione, individuazione e damage control dei rischi specifici, e ciò in parallelo con il diffondersi di una maggiore cultura della specifica sicurezza.
Per contro, la situazione di pericolo sembra meno percepita quando ci si soffermi sul fattore umano. Dall’esame della casistica disponibile emergerebbe infatti che il vettore spesso determinante e numericamente preponderante nelle operazioni di spionaggio industriale di maggiore impatto rimane quello umano, tanto che si parla di “human enabled operations” per evidenziare che la chiave di accesso ai tesori da sottrarre viene fornita da attori umani abilmente utilizzati. E questo non in termini astratti e generalisti, ad esempio riferendosi a dipendenti che aprono inavvertitamente link nella loro casella mail permettendo un’attività di penetrazione informatica; bensì molto più concretamente all’impiego di tecniche di intelligence per compromettere, reclutare, o comunque sfruttare persone, anche inconsapevoli ma accuratamente selezionate ed approcciate, che possano offrire gli accessi desiderati.
I target più paganti sono ovviamente quelli che hanno accesso diretto all’obiettivo finale (la cassaforte, il progetto, il dato sull’offerta commerciale, il codice sorgente, la provetta….). Spesso, tuttavia, si rivelano altrettanto preziosi e decisivi target con accessi indiretti, in genere più facilmente attaccabili ed in grado di supportare operazioni per fasi successive; acquisire un badge di accesso, la chiave di una porta, gli orari di passaggio della vigilanza in aree sensibili, addirittura la spazzatura gettata nel cestino del CFO, sono tutti passaggi di grande interesse per un attaccante.
In sintesi, a fronte dell’emergere di nuove, potenti e largamente accessibili tecnologie utilizzabili da entità ostili di qualsivoglia natura, il focus rimane quello di acquisire l’accesso ed in tal senso non c’è nulla di nuovo nella natura della minaccia: l’insider threat non ha minimamente perso la centralità.
COME STRUTTURARE UNA DIFESA?
Tutte le policy, procedure e misure di natura difensiva poste essenzialmente a tutela delle aree fisiche e virtuali (cyber e simili) rientrano nel concetto di Security; quando si passi a considerare l’insider threat legato al fattore umano, occorre piuttosto riferirsi al concetto di counterintelligence di CI, nel quale convergono aspetti di natura difensiva ma ancor più di carattere proattivo.
Mentre l’approccio difensivo è legato direttamente al concetto di risk assessment (ovvero lo studio della probabilità e dell’impatto derivante dai rischi cui è esposta l’entità da tutelare), in quello CI il discriminante è la threat analysis, intesa come studio delle fonti da cui origina il pericolo/rischio per il bene da difendere. In altri termini, in un assetto ideale sarà l’analisi delle minacce ad ispirare (anche) la valutazione dei rischi ed i derivanti provvedimenti di mitigazione.
La threat analysis nel contesto CI consiste quindi nello studio, analisi ed individuazione degli attori ostili/competitori/avversari, dei loro obiettivi e delle metodologie impiegate da questi soggetti nel perseguire accessi illegali o comunque non autorizzati al patrimonio distintivo dell’Azienda (tecnologie, progetti di R&D, prototipi, strategie commerciali, processi produttivi, campagne di sviluppo/acquisizione/collaborazione, strategie finanziarie, personale specializzato, figure chiave), allo scopo di ottenerne un vantaggio economico ed industriale non raggiungibile con le proprie risorse e capacità interne.
Un’efficace threat analysis deve integrare lo studio e l’individuazione delle vulnerabilità che possono essere sfruttate dalla parte avversaria ai fini dell’ottenimento fraudolento degli accessi desiderati.
Poiché siamo nel campo delle attività e dinamiche umane (“human enabled operations”) queste vulnerabilità hanno una dimensione sia macro (sociali ed organizzative) sia micro (psicologiche) ed i relativi indicatori possono essere ritrovati in tutti i domini aziendali. Segnali di disaffezione o problemi di natura personale e finanziaria possono essere raccolti dall’HR; tentativi di accessi ad aree non consentite o comunque non naturali, dagli addetti alla vigilanza e sicurezza fisica; tentativi di accessi a programmi o domini informatici non correlati alle usuali attività, dai dipartimenti cyber o ICT; e così via.
Una funzione di CI efficace richiede idealmente un approccio trasversale a tutte le funzioni aziendali.
Tuttavia, non si può mai prescindere dall’armonizzazione di ogni analisi, soluzione organizzativa, azione con le imprescindibili esigenze di tutela della privacy e dei diritti dei singoli. Non si tratta soltanto della doverosa osservanza delle leggi e normative quanto anche di conferire alla funzione di Security quella legittimazione derivante dalla percezione di essere strumento per la tutela dei “buoni” e non di ricerca dei “cattivi”; le scare techniques poste alla base degli approcci securitari in organizzazioni di tipo militare semplicemente non funzionano e sono controproduttive in ambito aziendale.
Un altro aspetto con il quale un’efficace analisi della minaccia dovrà confrontarsi è quello del costo/efficacia, ovvero del ROI-Return of Investment, allo scopo di indirizzare l’intera funzione Security verso la massima concretezza.
Nell’ambito dell’analisi della minaccia, assumono specifica rilevanza due momenti nella vita professionale delle risorse aziendali: la selezione, intesa come momento propedeutico all’assunzione o all’assegnazione ad incarichi sensibili o di particolare valenza (vetting); e l’impiego in contesti a maggiore esposizione alla minaccia. Si tratta di momenti nei quali un accurato threat assessment è basilare per informare le giuste decisioni dell’intera catena preposta.
Tra le situazioni di esposizione rientrano anche attività frequenti e di solito non percepite come a rischio, come viaggi e missioni di lavoro. Sono queste occasioni dove le interazioni dei singoli vengono percepite dagli interlocutori come espressioni, ed accessi, della realtà aziendale in quanto tale. Ne consegue un concreto rischio che attori interessati ricorrano all’elicitazione di informazioni, valutazioni e commenti su progetti, opportunità, policies; inoltre, occasioni quali incontri di lavoro, mostre, fiere e simili forniscono terreno fertile per attività di profilazione, per acquisire informazioni sfruttabili in un secondo momento allo scopo di costruire delle offerte/opportunità di approccio di risorse particolarmente pregiate (“head hunting”), quando non di procedere a dei veri e propri reclutamenti di vettori di insider threat.
Un aspetto di crescente rilievo nell’attuale rilevanza dei social media concerne i commenti, le opinioni, le attività postate sul web dai singoli nei vari formati pubblici; questi non solo contribuiscono attivamente ad operazioni di profilatura ma possono essere utilizzati quali vere e proprie basi per attività di coercizione o ricatto, ad esempio durante viaggi in Paesi ove sussistono regole e sistemi legislativi che puniscono le pur altrimenti legittime posizioni espresse. In altre parole, persino la dimensione privata e le sue espressioni possono assumere una valenza di veicolo di attacco agli interessi dell’organizzazione di appartenenza.
Queste semplici osservazioni indicano immediatamente l’importanza dell’efficace interazione tra analisi della minaccia (attori, obiettivi, modus operandi, specifiche locali) e la funzione di travel security.
COME DIFENDERSI NEL CONCRETO?
Un concetto da sfatare con chiarezza è quello che, poiché qui si parla di spionaggio, la questione riguarda esclusivamente lo Stato ed i “Servizi”.
Questo risulterebbe non solo impossibile, considerata l’estensione delle entità da proteggere, ma addirittura dannoso ed inaccettabile in un contesto di società democratica ed aperta come quello occidentale. Gli Organismi di Intelligence e Sicurezza, oltre a svolgere un’azione di monitoraggio della minaccia e tutela informativa generale e di protezione dei settori più strategici, sono sempre disponibili a fornire expertise, supporto ed anche forme di intervento operativo e legale, ma ciò implica che vi sia a monte un’attenzione ed un’intercettazione da parte dell’azienda attaccata della possibilità di un’azione ostile. È “in casa” che ciascuno deve fare la propria parte.
La peculiarità dell’insider threat risiede nella prevalenza del fattore umano, con tutte le dinamiche connesse con l’ambito delle attività e relazioni del singolo. A fronte di questa constatazione si intuisce come affidare la difesa a regole, direttive, procedure, soluzioni e predisposizioni tecniche non sia sufficiente né efficace a coprire le infinite sfumature dell’agire umano.
Risulterà sicuramente più pagante mettere a disposizione di ogni membro dell’organizzazione il necessario bagaglio di consapevolezza e di informazioni – strutturate a seconda di livello, ruolo e ambiente di impiego, abituale come occasionale – per poter adottare in autonomia e con automatismo le scelte giuste quando in presenza di fattori o dinamiche potenzialmente ostili o avversari reali.
Ritorna quindi la centralità della funzione di analisi della minaccia quale premessa dei due momenti di concreta difesa proattiva: diffusione di una cultura aziendale della sicurezza, che evidenzi quale sia la specificità del valore intrinseco degli asset da proteggere; e messa a disposizione delle informazioni-chiave per affrontare consapevolmente i rischi permanenti come quelli legati a particolari situazioni o incarichi.
Un approccio strutturato su consapevolezza, motivazione ed educazione risulta economicamente sostenibile ed adottabile anche da realtà minori, prive di una propria Security strutturata ma nelle quali la leadership riconosca l’esigenza di “pensare la sicurezza” quale componente che concorre al successo e non come mero costo passivo o perdita di tempo e risorse. Indipendentemente dalla tipologia di azienda, dalle sue dimensioni e struttura e dalle risorse dedicabili alla sicurezza, affrontare alcune semplici domande è sempre possibile e risulterà sempre pagante:
- dove risiede il valore unico e vitale per l’azienda/funzione/progetto?
- le persone che vi lavorano e concorrono ne hanno consapevolezza?
- chi potrebbe essere interessato a sottrarlo, attaccarlo, comprometterne la vitalità?
- quali sono le vulnerabilità che un attore interessato potrebbe sfruttare?
- quali sono le misure di protezione che abbiamo in essere, sono adeguate?
Dall’analisi di questi quesiti potrà derivare l’attivazione delle misure di protezione e mitigazione più idonee e funzionalmente adeguate; le stesse possono spaziare dalla sola azione di sensibilizzazione periodica del personale sino all’adozione di complesse architetture procedurali, fisiche e logiche nel caso di realtà particolarmente sensibili.