Il caso Wikileaks insegna a quali problemi si va incontro senza una corretta politica di sicurezza
Davvero dura da digerire la storia di Assange. Una vicenda che lascia l’amaro in bocca, direbbe qualcuno. Una lezione “medicinale”, capace di curare chi finora non si è tutelato abbastanza, aggiungerebbe qualcun altro.
Julian Paul Assange e con lui l’allegra brigata di Wikileaks, da qualche mese, tengono desta l’attenzione del pubblico, fanno tremare i potenti, costringono a riflettere i responsabili e gli addetti alla sicurezza.
Gli episodi della più appassionante telenovela che ha infervorato tanto i cultori del gossip, quanto i più ardimentosi frequentatori del Web, sono ormai patrimonio comune e non meritano ripetizioni e flashback di sorta. Quel che è accaduto, invece, può essere l’input per un sereno esame di coscienza che chiunque in qualunque realtà organizzativa (privata o pubblica, poco importa) dovrebbe sbrigarsi a fare.
Documenti riservati e dossier blindati che stanno allegramente trotterellando verso la temutissima pubblicazione online, come sono usciti dal loro legittimo ambito e come sono finiti nelle mani di una combriccola priva di scrupoli?
Chi pensa di cavarsela rispondendo che Assange è un hacker, cominci con il farsi dieci giri di campo con scarpe da ginnastica tre numeri più piccole del dovuto e reciti Pater, Ave e Gloria una dozzina di volte. Penitenze a parte – qui la faccenda è seria – è bene chiarire che la squadretta di Wikileaks (senza nulla voler togliere ai suoi meriti e demeriti) ha sgraffignato ben poco, ma si è limitata prevalentemente a raccogliere quel che tanti dipendenti insoddisfatti del proprio lavoro o arrabbiati con il capo ufficio hanno pazientemente copiato o memorizzato per un uso fin troppo personale.
Ogni singolo episodio ha la stessa manciata di ingredienti. Il primo è un ambiente di lavoro conflittuale in cui alle patologie acute delle quotidiane tensioni si aggiunge uno stato cronico di disagio che il dipendente riesce sempre meno a controllare. L’odio verso il datore di lavoro o nei confronti dell’intera squadra di appartenenza viene sfogato con due potenziali condotte criminali: il soggetto interno all’azienda o ente può scegliere tra un’efferata azione di sabotaggio tecnologico e una silente manovra di spionaggio industriale o commerciale. In entrambi i casi, a scatenarsi sono gli “insider” (ovvero soggetti interni) appartenenti alla sottoclasse dei “disgruntled” (ossia “incazzati”, nella dizione che prende spunto dall’onomatopeico “sgrunt” tipicamente bofonchiato dai personaggi più arrabbiati nelle pagine dei fumetti).
Sono questi tipini che – in ragione della natura dell’emersa aggressività – decidono se mandare in tilt il sistema informatico aziendale oppure “rubare” giorno dopo giorno tutte le carte scottanti che passano per le mani. Quelli che sono convinti che la vendetta sia un piatto da consumare freddo non esitano a optare per la seconda chance, prediligendo a una rumorosa pistolettata un letale progressivo avvelenamento. Quel che transita sulla scrivania o che è accessibile tramite il sistema informatico non viene sottratto, ma semplicemente copiato in una directory del disco fisso o sempre più spesso su una comoda e poco ingombrante chiavetta Usb.
La mancata predisposizione di un log che registra tutto quel che accade sulle postazioni di lavoro (utilizzo degli scanner e delle porte Usb incluso) e l’assenza di ostacoli all’impiego di periferiche esterne di memorizzazione sono – per l’insider – l’equivalente della sciolina per un discesista di un tempo.
E così viene da chiedersi se il criminale sia quello di Wikileaks, chi ha rubacchiato i file più pepati a disposizione o il collega che in azienda non ha fatto nulla per tutelare il patrimonio informativo e in particolare i dati a più elevata criticità. Mentre ciascuno stilerà la graduatoria dei colpevoli secondo coscienza e personali convinzioni, guardiamo al futuro per vedere cosa salterà fuori dalla cornucopia di Assange. Sarà l’occasione per conoscere l’hit parade delle organizzazioni meno protette e affidabili.
