Non analizzerò gli aspetti tecnici dell'accaduto. Al momento, le informazioni su modalità e responsabili di questo attacco informatico sono poche e confuse.
In questo contesto, chi siano gli autori e come abbiano agito ha un'importanza secondaria. Ciò che merita attenzione sono il contesto e l'impatto di questo evento.
Cerchiamo di dargli una dimensione sulla base dei dati disponibili. Si parla di 30-40 voli cancellati e di un centinaio di ritardi tra partenze e arrivi. Si tratta di un numero notevole, se si considerano i passeggeri coinvolti, ma abbastanza contenuto se lo si inquadra in un contesto globale, tenendo conto di quanti aerei sorvolano le nostre teste ogni giorno. L'attuale situazione geopolitica, ovviamente, tende a far percepire questi eventi come catastrofici, quasi fossero il preludio di conflitti imminenti.
Il fornitore del software di gestione passeggeri per gli aeroporti coinvolti è la società americana Collins Aerospace. Oltre a questo software, l'azienda è anche un importante fornitore per la difesa aeronautica statunitense. Questa società, un fiore all'occhiello della tecnologia, ha stabilimenti anche in Italia, in particolare a Torino e provincia. L'azienda è coinvolta in progetti importanti per la componentistica (attuatori) impiegata nei velivoli Eurofighter, Tornado, AW169, A320Neo e NH90 (fonte: La Stampa Torino).
Per dare un'idea delle dimensioni di Collins Aerospace: è un'azienda che nel 2024 ha fatturato oltre 80 miliardi di dollari, con 80.000 dipendenti e più di 250 sedi nel mondo. So per certo da fonti affidabili (che non posso citare per riservatezza) che l'azienda adotta procedure di sicurezza estremamente rigorose.
Lavorando per la Difesa degli USA, è soggetta a standard molto elevati. Adottano un equivalente dello standard internazionale ISO 27001 chiamato NIST-800-53, che per certi aspetti è persino più restrittivo. Operando in ambito militare, dispongono inoltre di ulteriori e specifiche misure di sicurezza.
Paradossalmente, e in contrasto con la narrazione mediatica, le loro contromisure si sono rivelate assolutamente efficienti: hanno lasciato a terra "soltanto" 30-40 voli e causato ritardi a un centinaio di altre tratte. Se si paragona questo dato al volume di traffico aereo quotidiano, è un numero relativamente basso. Se lo si contestualizza rispetto a quanti voli transitano in un grande aeroporto ogni ora, si comprende che "ci è andata bene" e che sono riusciti ad arginare il problema rapidamente. L'eco mediatica, ovviamente, è stata enorme e sensazionalistica.
Ciò che va preso in seria considerazione è proprio la vulnerabilità del singolo anello. La catena è forte tanto quanto il suo anello più debole.
Vi ricordate di Edward Joseph Snowden? L'informatico che ha rivelato lo scandalo della sorveglianza di massa effettuata dall'agenzia governativa americana NSA? Ebbene, era il dipendente di una società di consulenza che lavorava per la NSA. Ha semplicemente messo in atto il più antico metodo di attacco: quello dall'interno, simile a un moderno "cavallo di Troia" umano.
Tutta questa vicenda ci deve far riflettere su alcuni punti:
- La debolezza della Supply Chain. L'Europa se n'era già accorta e, per porvi rimedio, ha emanato la direttiva NIS2, che ha tra i suoi cardini proprio la messa in sicurezza dell'intera catena di approvvigionamento.
- La minaccia degli "insider". Con 80.000 dipendenti, è statisticamente probabile che tra loro si nasconda un elemento infedele o corruttibile.
Mentre sul primo punto si può intervenire efficacemente, il secondo presenta maggiori difficoltà. La soluzione, forse, risiede nelle competenze di esperti in psicologia e dinamiche sociali.
Per quanto riguarda ciò che è accaduto, secondo il mio modesto parere, Collins Aerospace ha reagito e contenuto il danno in modo efficiente. Il problema di fondo che, a mio avviso, ha permesso questo attacco è stato "l'aiuto da casa" da parte di qualcuno all'interno. Chi sia stato e perché lo abbia fatto, non lo so, e lascio a voi ogni possibile interpretazione.
La minaccia interna è un problema atavico nelle nostre aziende. Chi non ha mai sentito del venditore che passa informazioni alla concorrenza o del progettista dell'ufficio tecnico che si porta a casa i disegni?
Se dal punto di vista procedurale si sta già facendo molto con normative come NIS2, ISO 27001 e NIST-800-53, forse andrebbe posta maggiore attenzione alle dinamiche psico-attitudinali delle persone, che rappresentano i veri anelli deboli della catena.
SU