Erano passati pochi mesi dalla storia del disco arancione quando il telefono ha squillato.
“Davide, venga immediatamente a casa mia. Devo parlarle con urgenza.”
“Può anticiparmi qualcosa?”
“No. È una cosa di cui dobbiamo parlare a voce.”
Quando un cliente che conosci come persona misurata e abituata a gestire trattative internazionali ti dice una cosa del genere, lasci perdere quello che stai facendo e vai. Ho intuito subito che la storia riguardava qualcosa di molto grave.
Qualcosa non tornava, da mesi
Luk mi ha raccontato tutto dall’inizio.
Aveva assunto a Shanghai un nuovo IT manager. Curriculum controllato, referenze in ordine, persona a modo. I primi mesi erano andati bene. Poi, lentamente, erano cominciati i primi segnali strani.
Alcuni dipendenti di Horizons Corporate Advisory erano andati da lui a riferire che il nuovo IT manager faceva domande fuori posto. Non li infastidiva, non li importunava, ma chiedeva cose non pertinenti al suo lavoro. Dove si trovavano i file di progetto di questo cliente? Dove erano archiviate le specifiche tecniche di quel progetto?
Un IT manager ha senso che chieda quali cartelle includere nel backup. Non ha senso che chieda il contenuto di quelle cartelle. Non è il suo mestiere.
Luk aveva ascoltato, aveva tenuto gli occhi aperti. Poi un mattino era andato in ufficio, aveva aperto il PC e aveva digitato la password di administrator del server. Non funzionava. L’aveva digitata di nuovo. Niente.
Ha chiamato l’IT manager.
“Sì, l’ho cambiata. Non ve l’ho ancora comunicata.”
Luk è un uomo paziente, ma ha un limite preciso: “Io sono l’amministratore delegato. Se cambi la password di administrator di sistema, me la devi comunicare immediatamente.”
La nuova password è arrivata subito e la storia sembrava chiusa.
Il mattino dopo ha squillato il telefono di Luk. Era uno dei loro clienti più importanti, confuso e preoccupato: qualcuno, da un paese straniero, aveva cercato di vendergli il progetto di un’apparecchiatura molto particolare. Un progetto che avevano solo loro e Horizons.
Le minacce interne lasciano sempre tracce
L’IT manager è stato arrestato poco dopo.
Le indagini hanno ricostruito tutto. Aveva cambiato la password di administrator di dominio per bloccare l’accesso ai vertici aziendali. Aveva modificato le credenziali del firewall. Aveva lasciato aperte delle porte verso l’esterno: canali silenziosi attraverso cui i dati potevano uscire senza che nessuno se ne accorgesse. E aveva cancellato tutti i backup automatici.
La sequenza era precisa, studiata. Prima esfiltrare i dati. Poi, quando fosse arrivato il momento, cancellare tutto e non lasciare niente da recuperare. Se ci fosse riuscito, Horizons si sarebbe trovata senza dati operativi correnti e senza alcuna possibilità di ripristinarli: una doppia perdita che, per un’azienda che vive di relazioni internazionali, avrebbe potuto significare la fine.
Le minacce interne lasciano sempre tracce digitali, anche quando le persone si muovono con apparente discrezione. Il problema, quasi sempre, è che nessuno le sta monitorando.
Luk, seduto davanti a me, ha aspettato che finissi di elaborare quello che mi stava raccontando. Poi ha detto:
“So che non puoi trasferirti a Shanghai. Ma se vieni una decina di giorni, installi i nuovi server, i nuovi sistemi di sicurezza e riprogetti l’infrastruttura in modo che tu possa poi gestire tutto da remoto.”
Ho accettato. Ed è così che Kaos Informatica è arrivata dall’altra parte del mondo, a Shanghai.
Come si rilevano le minacce interne in tempo
Questa storia ha una particolarità rispetto alla maggior parte degli attacchi informatici che racconto: non è venuta dall’esterno.
Nessun hacker ha bucato un perimetro. Nessuna email di phishing. Nessun malware arrivato da chissà dove. La minaccia era seduta in ufficio, aveva un badge, partecipava alle riunioni.
Gli attacchi interni, che siano condotti da dipendenti infedeli, da qualcuno sotto pressione, o da infiltrati assunti con un curriculum costruito ad arte, sono tra i più difficili da rilevare proprio perché partono da dentro. Chi è già dentro conosce le procedure, sa dove stanno i dati sensibili, sa come muoversi senza dare nell’occhio.
Ci sono alcune pratiche che fanno la differenza concreta quando si parla di minacce interne.
La prima è il principio del minimo privilegio: ogni persona accede solo a quello che serve per il suo lavoro, niente di più. L’IT manager di Horizons non aveva bisogno di accedere ai file di progetto dei clienti. E le sue domande strane hanno iniziato a insospettire proprio perché chiedeva cose che non avrebbe dovuto nemmeno sapere di poter chiedere.
La seconda è il monitoraggio dei log. Cambiare la password di administrator è un’azione che lascia tracce ovunque: nei log del domain controller, nei log del firewall, nel sistema di gestione centralizzata. Se quei log vengono letti, o meglio ancora se generano un alert automatico, qualcuno se ne accorge prima che sia troppo tardi. La domanda da farsi è semplice: la mia azienda ha un sistema di alert automatici sui log?
La terza è la verifica periodica dei backup. In Horizons i backup venivano cancellati in silenzio da settimane. Nessuno controllava che esistessero ancora, perché tutti davano per scontato che continuassero a funzionare.
Due cose non esistono: la garanzia assoluta e il rischio zero. Ma c’è una differenza enorme tra un’azienda che scopre una violazione dopo che il danno è fatto e una che la rileva mentre è ancora in corso. Difendersi dalle minacce interne non significa diffidare di ogni collega. Significa darci strumenti che vedono quello che noi non possiamo vedere.
Luk ha scoperto tutto in tempo, grazie a dei dipendenti che hanno avuto il coraggio di segnalare qualcosa che non tornava. Ma non sempre si ha questa fortuna, e quando non c’è bisogna affidarsi alle tracce digitali che ogni azione lascia.
Se vuoi capire quanto è visibile quello che accade dentro la tua rete, parliamone.
Questa è la seconda parte di una storia che inizia con un disco rigido arancione e finisce con un volo per Shanghai. Se non hai letto la prima parte, la trovi qui.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Imlementare sistemi di monitoraggio e allert automatici
✅Centralizzare la gestione dei log
✅Diminuire sensibilmente il livello di rischio della tua azienda.
Contattaci e parliamone insieme