Sicurezza fisica

AssetProtection. Se Mister X attacca un outsourcer

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Per le aziende purtroppo non è un’abitudine sottoporsi a test e prove simulate sulla reale efficacia delle misure di sicurezza adottate per proteggere le informazioni sensibili di cui dispongono.  Ecco cosa può accadere.

La scorsa settimana, ne Le persone al centro della Security, ci siamo lasciati con la promessa di condividere alcuni esempi pratici che potessero chiarire meglio il ruolo che gioca la consapevolezza delle persone interne ad una organizzazione nel determinare l’efficacia delle contromisure di sicurezza adottate.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Scena 1

Mancano pochi minuti alle 09.00 e una dipendente ha appena parcheggiato. Sa che dovrebbe già essere seduta alla sua postazione, con il pc acceso. Invece è in ritardo ed il pensiero di una possibile contestazione disciplinare offusca qualsiasi altro pensiero. Frenetica chiude la macchina, oltrepassa l’ingresso principale – quello di rappresentanza, riservato a clienti e manager – e sale rapidamente le scalette che conducono al giardino interno, all’accesso secondario, quello per i dipendenti. Fruga spasmodicamente nella borsa, poi estrarre il badge e lo avvicina al sensore di prossimità che fa scattare la serratura elettronica della porta. Dietro di lei c’è un signore, con un bel vestito grigio scuro e una ventiquattrore nera. Le regge la porta mentre lei entra. Si gira, lo ringrazia. Poi qualcosa spegne il suo sorriso. Prova un senso di colpa. Sa che gli dovrebbe chiedere di fare il giro ed identificarsi in reception, ma in fondo è stato così cortese. Gli augura una buona giornata e corre veloce lungo il corridoio, fino al suo ufficio.

Il signore ben vestito, che da questo momento in poi chiameremo Mister X, è dentro.

Scena 2

Mister X estrae dalla tasca dei pantaloni un badge sul quale sono riportati nome e cognome ed un marchio molto noto. Con precisione lo ferma in bella vista sulla giacca e bussa alla porta dell’ufficio più prossimo. Si presenta cordiale ma sicuro all’impiegato che gli apre e gli chiede dove può trovare l’ufficio presso il quale si svolgono le attività relative all’azienda per la quale lavora. L’impiegato riconosce a colpo d’occhio il marchio – conosce che volume di fatturato rappresenta per la sua azienda – e senza esitare gli indica con precisione il percorso.

Mister X si presenta ancora una volta al responsabile dell’area. Con atteggiamento calmo e buona dialettica illustra il motivo della sua visita chiarendo un esplicito riferimento alle attività di due diligence previste nel contratto. Con un blocco per appunti e una penna passeggia ora tra le postazioni di lavoro e senza alcun timore si avvicina agli schermi degli impiegati raccogliendo informazioni.

Scena 3

In una postazione non molto lontana, sempre Mister X riconosce la ragazza che gli ha aperto la porta d’ingresso e si dirige verso di lei. E’ impegnata in una conversazione telefonica; l’interlocutore è agitato. Lei avverte una presenza alle spalle e si gira. Lui le sorride e le indica il badge senza parlare. Lei ricambia il sorriso e prosegue la conversazione. Nel mentre Mister X appunta sul blocco altri dati, dopo aver guardato con attenzione lo schermo. Non appena terminata la chiamata chiede alla ragazza il motivo della conversazione. Lei gli spiega che si trattava di un cliente che aveva smarrito la propria carta di credito. Lui la ringrazia e la saluta.

Scena 4

Mister X è uscito da dove è entrato. Chiama il numero del servizio di assistenza clienti al quale sa che risponderanno gli stessi impiegati degli uffici che ha appena visitato. Uno squillo, il disco di benvenuto nel servizio, l’operatore numero… “Buongiorno, come posso esserle utile”. Mister  X ora parla in modo concitato, fingendo quasi di piangere. Dice che non riesce ad usare la carta di credito. L’operatore mantiene la calma: chiede alcuni dati per l’identificazione del chiamante. Mister X gli mette fretta, pronunciando a raffica nome, cognome, data di nascita ed il numero della carta di credito; poi gli chiede di sbrigarsi, perché è in una situazione di emergenza. L’operatore digita rapidamente sulla tastiera, ma l’adrenalina è in circolo. Chiede al suo interlocutore di comunicargli anche il codice di utenza. Mister X salta, urlando e piangendo insieme: “mia madre sta morendo”. E farfuglia alcuni numeri. L’operatore controlla la scheda anagrafica, ma una parte di quel codice non risulta corretto. La conversazione è sempre più concitata e l’operatore finisce per compiere l’errore più grave: agitato ed impietosito da Mister X chiede conferma delle ultime 3 cifre del codice, suggerendole. Ovviamente Mister X conferma. Carta sbloccata.

Scena finale

Mister X rientra in azienda, questa volta dall’ingresso principale, con un sorriso beffardo. C’è il responsabile della Security ad accoglierlo. Lui non sorride, è piuttosto preoccupato. Il test di social engineering concordato è stato portato a termine secondo le modalità ed i tempi precedentemente condivisi, evidenziando alcune carenze.

Mister X, auditor ISO 27001, scriverà nel suo rapporto: “Nonostante risultino correttamente configurate le contromisure di carattere fisico (protezione accessi) ed adeguatamente determinate le policy aziendali relative alla Sicurezza delle Informazioni, si raccomanda di valutare la necessità di svolgere ulteriori incontri formativi per rafforzare la consapevolezza dei dipendenti, anche in relazione alle pratiche di social engineering connesse all’ambito operativo”.

Per le aziende non è purtroppo abitudine comune sottoporsi a questo tipo di prove, grazie alle quali è possibile raccogliere evidenze utili e successivamente attivare e rodare meccanismi di sicurezza non più solo formali ma di natura sostanziale. E’ una scelta coraggiosa ma necessaria.

La prossima settimana ripercorreremo insieme gli errori delle persone che avrebbero contribuito al successo di Mister X, se fosse stato effettivamente un attaccante.