Il Software Engineering Institute (SEI) ha pubblicato i risultati di una ricerca condotta insieme ai servizi segreti USA relativi ai crimini informatici commessi contro le infrastrutture critiche dagli “insider” cioè da persone che lavorano presso le strutture stesse.
Sulla base dei dati raccolti, il rapporto dal titolo “The “Big Picture of Insider IT Sabotage Across U.S. Critical Infrastructures” (disponibile in PDF), propone sette considerazioni generali su questo tipo di minaccia da cui trarre un modello per la prevenzione dei sabotaggi.
- Esiste una predisposizione personale nel commettere i sabotaggi. Perché posti di fronte alle stesse condizioni alcune persone commettono sabotaggi o favoriscono incidenti e altre no? Il rapporto indica che esistono fattori di predisposizione: fattori psicologici, politici e anche relativi agli skill professionali;
- Il rancore nei confronti dell’azienda o ente presso cui si lavora favorisce il sabotaggio. Spesso la causa degli atti vandalici risale anche ad aspettative non corrisposte dal datore di lavoro (per esempio: mancati riconoscimenti economici o di ruolo);
- Il sabotaggio è di norma una vendetta per problemi familiari, sanzioni ricevute o comportamenti non graditi da parte del datore di lavoro. La maggior parte degli eventi dannosi accade in seguito a eventi negativi e stressante che l’insider affronta nella sua vita privata (divorzio o separazione), pubblica (multe) o professionale (richiamo dal superiore gerarchico);
- Spesso il sabotaggio vero e proprio è preceduto da comportamenti premonitori da parte dell’insider, segnali di cui l’azienda è a conoscenza ma di cui non tiene conto;
- Nella maggior parte del casi l’insider che vuole sabotare compie abusi di tipo informatico (per esempio download di programmi non consentiti o utilizzo abusivo di credenziali altrui) di cui il datore di lavoro non si accorge;
- Il sabotaggio viene di norma preceduto dalla predisposizione di un ambiente IT di attacco che successivamente viene rimosso dall’insider. Tali ambienti di attacco (denominati access path) sono di solito backdoor, password cracker, modem non autorizzati;
- I sabotaggi sono favoriti dalla mancanza di controllo accessi sia a livello di ambienti (stanze, ced, magazzini) che di sistemi informativi (Lan, PC, Web).