Eye Pyramid: Italia sconvolta dagli spioni. Il Regolamento Informatico Interno aiuta?
Il Caso
Il 10 gennaio scorso la procura di Roma ha arrestato un gruppo di soggetti che, al servizio di “interessi oscuri ed illeciti“, teneva sotto controllo l’intero sistema di potere italiano. A questa inquietante conclusione è giunta la Polizia Postale nell’ambito della c.d. “operazione Eye Pyramid” contando sulla collaborazione dell’FBI statunitense che ha arrestato due fratelli, Giulio (ingegnere nucleare) e Francesca Maria Occhionero. I due sono accusati di:
- procacciamento di notizie concernenti la sicurezza dello Stato;
- accesso abusivo a sistema informatico;
- intercettazione illecita di comunicazioni informatiche.
L’attività di cyberspionaggio durava dal 2012 e aveva come bersaglio i vertici istituzionali, politici ed economici del Paese, alcuni banchieri, massoni e rappresentanti delle istituzioni a diversi livelli. I fratelli avevano creato un database con più di 18mila username. Nello specifico, l’operazione sarebbe andata avanti per 6/7 anni, un periodo lunghissimo, specialmente per la quantità e la tipologia di documenti e contenuti che transitano quotidianamente per i pc dei soggetti spiati. Secondo il PM, i due, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, accedevano abusivamente alle caselle di posta elettronica protette dalle relative password di accesso sia personali che istituzionali appartenenti alle suddette categorie di personaggi.
L’operazione Eye Pyramid è iniziata nel primo periodo del 2016 grazie al funzionario dell’ENAV che ha dato l’allarme per aver ricevuto una email sospetta da parte di un fantomatico studio legale con cui non aveva mai avuto rapporti. In particolare, si è reso conto che la fattura in .pdf allegata alla email, non era una semplice fattura. Da quello studio, infatti, il funzionario non aspettava alcunché.
La email sospetta è stata quindi inoltrata al Centro nazionale anticrimine informatico (il C.N.A.I.P.I.C.) che ha avviato repentinamente l’inchiesta accertando che i due fratelli gestivano una rete di computer, in termini tecnici un botnet, infettando i dispositivi delle loro vittime con un malware inviandolo tramite email.
La Critica
Prima di giudicare il caso, occorre fare alcune premesse.
Il termine malware sta per malicious software (tradotto:software dannoso), usato per entrare – in genere di nascosto – in un sistema informatico e rubare informazioni, disturbare le operazioni svolte da un computer, mostrare pubblicità indesiderata, etc. I tipi di malware più conosciuti sono i virus e i worm molto noti per il modo in cui si diffondono, piuttosto che per il loro effettivo comportamento. Il malware sfrutta le debolezze della sicurezza (bug) per accedere al sistema informatico senza che l’utente se ne renda conto.
Gli autori di malware puntano a colpire quindi un sistema sfruttando bug di vario tipo, siano essi fisici, organizzativi, informatici, di gestione, pertanto è fondamentale avvalersi di una strategia di sicurezza integrata, in grado di proteggere efficacemente i propri sistemi informatici ed informativi, infrastrutture, reti e dispositivi di personal computer contro i cyberattacchi.
La prevenzione è l’unica modalità per evitare i pericoli esterni (ma anche interni) che possono attaccare le proprie risorse informatiche. Le problematiche connesse all’utilizzo della strumentazione tecnologica sono sempre più diffuse nelle aziende, sono diversi infatti gli “equivoci” diffusi che di solito riguardano la navigazione in internet, la posta elettronica e l’utilizzo improprio degli strumenti messi a disposizione dal datore di lavoro.
Le soluzioni ricorribili in tali casi sono 2:
- usare un antivirus aggiornato e dispone di un rilevatore di malware installato sul computer;
- stabilire in un apposito documento la politica aziendale sull’uso degli strumenti informatici, ovvero il Regolamento Informatico interno (così come indicato dal Garante per la protezione dei dati personali nel suo provvedimento generale titolato “Lavoro: le linee guida del Garante per posta elettronica e internet” emanato il 1° marzo 2007), dove definire l’ambito di applicazione, le modalità e le norme sull’utilizzo della strumentazione informatica da parte degli utenti assegnatari (dipendenti, collaboratori etc.), al fine di tutelare i beni aziendali ed evitare condotte inconsapevoli e/o scorrette che potrebbero esporre l’azienda a problematiche di sicurezza, di immagine e patrimoniali per eventuali danni cagionati anche a terzi.
Com’è evidente dal caso Eye Pyramid in esame, i bug non sono infatti esclusivamente informatici e tecnologici, specialmente in questo tipo di attacchi dove il lato più debole della medaglia è l’utente. In molti, troppi, perfino a livelli altissimi hanno aperto quella mail e il suo allegato malevolo contribuendo alla diffusione di spam o malware pericolosi o, peggio ancora, subendo il furto continuo di dati dal proprio computer.
Adottare quindi un Regolamento Informatico interno permetterà di limitare gli effetti negativi di un impiego scorretto delle risorse informatiche da parte degli operatori. Il documento dovrà essere gestito secondo i principi dettati dalla normativa privacy e giuslavorista, in particolare occorrerà stabilire, almeno, le seguenti politiche:
- Di gestione e di conservazione della posta elettronica (PEC inclusa):
- prestando attenzione alla dimensione degli allegati per la trasmissione di file;
- rispondendo ad e-mail pervenute solo da emittenti conosciuti e cancellando preventivamente le altre;
- collegandosi a siti internet contenuti all’interno di messaggi solo quando vi sia comprovata sicurezza sul contenuto degli stessi;
- non utilizzando la casella di posta elettronica aziendale per inviare, ricevere o scaricare allegati contenenti video, brani musicali, etc., salvo che questo non sia funzionale all’attività prestata in favore dell’Ente (es: presentazioni o materiali video aziendali); etc.
- Di gestione delle password:
- utilizzando almeno 8 caratteri alfanumerici, inclusi i caratteri speciali (#, %, etc.), di cui almeno uno numerico;
- evitando di includere parti del nome, cognome e/o comunque elementi a lui agevolmente riconducibili;
- proteggendo con la massima cura la riservatezza della password;
- la password dovrà inoltre contenere almeno un carattere maiuscolo, un carattere minuscolo, un numero o un carattere non alfanumerico tipo “@#§£$%…”;etc.
- Di navigazione Internet:
- vietando ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa;
- non permettendo, o limitando con molta attenzione, la partecipazione a forum, l’utilizzo di chat-line, etc.;
- non consentendo la navigazione in siti e la memorizzazione di documenti informatici di natura oltraggiosa, pornografica, pedopornografica e/o discriminatoria; etc;
- Di gestione di un pc:
- non lasciando incustodito il computer;
- mantenendo sempre aggiornato il PC, anche e soprattutto in via automatica, sotto il profilo della sicurezza;
- impostando e non alterando il sistema di blocco automatico; etc.
L’adozione di tale documento permette in primo luogo di risolvere le vulnerabilità degli strumenti informatici, oltre che prevenire contenziosi.
Il regolamento informatico può, inoltre, costituire un presidio utile alla prevenzione dei reati informatici come quelli scovati dall’operazione Eye Pyramid e contemplati dal codice penale e nella normativa ex D.lgs. 231/2001 e s.m.i. Lo stesso genera un notevole impatto psicologico sugli operatori, che dovrebbero comunque ricevere apposita formazione, quest’ultima da impartire soprattutto ai singoli utenti potenziali bersagli di un attacco hacker.