3.4.1 Legenda dell’impatto
IMPATTO RISCHIO DESCRIZIONE
1 Trascurabile Vantaggio economico/strategico/competitivo molto basso 2 Basso Vantaggio economico/strategico/competitivo basso 3 Medio Vantaggio economico/strategico/competitivo medio 4 Alto Vantaggio economico/strategico/competitivo alto, vantaggio politico/sociale,
danno psicologico morale alle persone
5 Catastrofico
Vantaggio
economico/strategico/competitivo molto alto, vantaggio politico/sociale, danno psicologico
129
3.4.2 Analisi dell’impatto del “cyber-espionage”
IMPATTO IMPATTO SULLE PERSONE TIPO DI RISCHIO VITTIMA VANTAGGIO POLITICO/ SOCIALE VANTAGGIO ECONOMICO/ STRATEGICO/ COMPETITIVO PSICOLOGICO/ MORALE Numerose organizzazioni ed aziende USA ✓ ✓ JP Morgan Chase ✓ ✓ Operazione Newscaster ✓ ✓ Gruppo Benetton ✓ Operazione Putter Panda ✓ ✓ Sistemi scada di oltre 1000 aziende del settore energy ✓ ✓ Dipartimento di stato USA ✓ OPM-Office of personnel management ✓ ✓ ✓ Adpus Technology ✓ Democratic National Committee ✓ ✓
130
Andremo ora, come nell’analisi precedente del “cybercrime”, ad analizzare singolarmente i casi per vedere le caratteristiche non comuni e assegnare un punteggio all’impatto. Avremo cosi:
1) Vittima: Numerose organizzazioni ed aziende Usa; in questo caso l’attacco è stato condotto contro organizzazioni governative europee ed americane che appartenevano a svariati settori. L’obiettivo dello spionaggio, legato ad interessi dell’estremo oriente, era quello di ottenere vantaggi in termini politici, sociali, economici, competitivi sottraendo informazioni sensibili. Vi è il coinvolgimento dell’intero sistema. All’impatto si assegna un punteggio 4 molto alto;
2) Vittima: JP Morgan Chase; in questo caso l’attacco contro la nota banca americana ha causato la sottrazione di 79milioni di record relativi ai propri clienti. L’obiettivo è sicuramente ottenere un vantaggio economico. L’attacco ha impattato indirettamente anche sulle persone che si sono viste sottratte informazioni sensibili tra i quali nomi, coordinate bancarie, indirizzi email. All’impatto si assegna un punteggio 3 medio;
3) Vittima: Operazione Newscaster; in questo caso l’attacco realizzato tramite la creazione di profili falsi sui diversi social network ha colpito 2000 individui, principalmente persone militari, diplomatici, giornalisti e contractor della difesa americani, inglesi, irakeni e israeliani. L’obiettivo possiamo catalogarlo nella classe del vantaggio politico, sociale in quanto le persone spiate fanno parte di settori critici come quello militare, governativo, sociale. Inoltre l’attacco ha impattato anche dal punto di vista psicologico/morale sulle persone in quanto sono state sottratte informazioni sensibili. Impatto con punteggio 4 molto alto;
4) Vittima: Gruppo Benetton; in questo caso l’attività di spionaggio condotta contro la Benetton ha consentito agli attaccanti di sottrarre i bozzetti della collezione di abbigliamento “0-12” e di replicare gli abiti finiti in vendita nei negozi siriani. L’impatto possiamo classificarlo nella categoria di vantaggio economico, strategico, competitivo. Si assegna un punteggio 2 basso;
131
5) Vittima: Operazione Putter Panda; in questo caso l’attacco è rivolto verso ambienti militari, governativi e contractor della difesa. Impatto politico sociale. Inoltre gli USA hanno accusato i cinesi di spionaggio industriale quindi impacco anche sul vantaggio economico e competitivo strategico. Impatto con punteggio 4 molto alto;
6) Vittima: Sistemi Scada di oltre 1000aziende del settore Energy; sono stati colpiti i sistemi SCADA di oltre mille aziende. Tra le molte aziende colpite vi sono quelle collegate a settori critici quali petrolio, elettricità, gas e acqua. Impatto 4 molto elevato ma l’impatto potrebbe arrivare anche a 5 in quanto il petrolio è la risorsa al centro di guerre e controversie e quindi a questo punto si coinvolgerebbe l’intero sistema con impatto catastrofico;
7) Vittima: Dipartimento di Stato USA; oltre alla compromissione della rete non classificata della Casa Bianca avvenuta nel 2014, è stata scoperta la penetrazione nel sistema di posta del dipartimento di stato all’interno del quale gli hacker hanno mantenuto l’accesso per diversi mesi conducendo l’attività di spionaggio. L’attacco definito il peggiore di sempre ha costretto l’amministrazione a bloccare i sistemi e a re-installarli da zero. Impatto politico-sociale. Impatto con punteggio 4 molto alto;
8) Vittima: OPM-Office of personnel management; l’agenzia incaricata di effettuare i controlli sugli impiegati governativi è stata attaccata e ciò ha causato la sottrazione di informazioni sensibili relative a tutti i dipendenti federali andando a toccare i livelli secret e top secret e sottraendo 1 milione di impronte digitali. Il direttore dell’agenzia ha dato le dimissioni Impatto politico-sociale grave e anche impatto psicologico/morale sulle persone. Impatto 4 molto alto;
9) Vittima: Adups Technology; in questo caso su 700milioni di macchine commercializzate in tutto il mondo sono state installate delle backdoors che raccoglievano informazioni relative a IMEI, IMSI, MAC address, operatore telefonico, sms, registro chiamate ed ogni 72 ore queste informazioni venivano inviate ad un server in Cina. L’impatto è
132
principalmente sulle persone in termini di controllo degli utenti quindi psicologico/morale. Impatto 3 medio;
10) Vittima: Democratic National Committee; sono state pubblicate 19252 email del partito democratico che contenevano informazioni compromettenti sul favoritismo del partito alla candidatura di Hilary Clinton sfavorendo Barney Sanders. Impatto politico-sociale ma anche psicologico-morale delle persone in quanto questo scandalo, che ha occupato i media per mesi, ha influito molto sull’esito delle elezioni. Si parla addirittura di Psycological Operations a dimostrazione della possibilità di interferire con mezzi cyber nella vita democratica delle nazioni. Impatto 5 catastrofico.
Per quanto riguarda la probabilità che si verifichi un attacco di “cyber-espionage” abbiamo visto prima che è 3. Sintetizzando tutti i dati di probabilità ed impatto nella tabella seguente possiamo ottenere l’esposizione al rischio.
3.4.3 Esposizione al rischio “cyber-espionage”: “probabilità x impatto”
VITTIMA PROBABILITA’ IMPATTO ESPOSIZIONE AL
RISCHIO
Numerose organizzazioni ed aziende USA 3 4 12
JP Morgan Chase 3 3 9
Operazione Newscaster 3 4 12
Gruppo Benetton 3 2 6
Operazione Putter Panda 3 4 12
Sistemi Scada di oltre mille aziende del settore Energy
3 4/5 12/15
Dipartimento di Stato USA 3 4 12
OPM-Office of personnel management 3 4 12
Adups Technology 3 3 9
133
3.5 Analisi della probabilità e impatto della tipologia di rischio