Un software malevolo è pronto a criptare le informazioni custodite su un server, a meno che gli esperti di sicurezza dei dati non riescano a scovarlo e a rimuoverlo in tempo. Una vera e propria corsa contro il tempo tra fusi orari diversi. Nel cuore dell’azione, un inquirente di fedpol.
Ore 16.05, sede di fedpol a Losanna. Il commissariato Criminalità economica 2 riceve una comunicazione tramite il canale SIENA di Europol relativa a un sospetto attacco ransomware contro un’azienda IT attiva a livello internazionale con sede nella Svizzera francese. Un ransomware è un tipo di programma malevolo (cosiddetto malware) utilizzato per criptare tutti i file contenuti su un computer. I file così criptati non sono accessibili a nessuno perché la chiave di decrittazione è nelle mani di chi ha sferrato l’attacco. Per decrittare i file, l’autore chiede un riscatto (ransom). Prima di criptare i dati, spesso l’autore li copia per venderli sul dark web.
Se i file venissero criptati per scopi illegali, vi sarebbero gravi ripercussioni non solo per l’azienda ma anche per i suoi clienti. Il ciber-inquirente sa bene che la chiave sta nella rapidità d’intervento.
Ore 16.10, sede di fedpol a Losanna. L’inquirente trasmette la comunicazione SIENA alla competente polizia cantonale. Sette minuti dopo arriva la risposta: i colleghi della polizia cantonale sono impegnati in un altro caso urgente e chiedono il sostegno di fedpol. L’inquirente avvisa l’ufficiale di picchetto. Il tempo stringe. Sarà fedpol a occuparsi del caso.
SIENA (Secure Information Exchange Network Application) è un canale di scambio di informazioni online sviluppato da Europol che consente agli Stati membri dell’Unione europea e ai Paesi associati a Schengen di scambiare in modo sicuro informazioni confidenziali su casi di cibercriminalità. Il canale offre diverse funzionalità per la condivisione delle informazioni relative a un determinato caso e garantisce un adeguato livello di protezione dei dati. SIENA può inoltre essere utilizzato per chiedere supporto tecnico nel quadro di operazioni investigative condotte a livello internazionale.
Ore 16.27, sede di fedpol a Losanna. I malviventi sono riusciti a entrare nella rete dell’azienda. Per accedervi hanno utilizzato una lunga sequenza di numeri e caratteri lasciando qualche traccia digitale. Ma dove? Le indagini hanno inizio.
Ore 16.45, Svizzera francese. Pare che i dati non siano stati ancora criptati. Il malware si nasconde però da qualche parte su un server o un computer dell’azienda. L’inquirente e il responsabile informatico dell’azienda fanno il punto della situazione. Per fortuna anche lui si trova in Svizzera e mette subito in moto il meccanismo previsto dai protocolli di sicurezza dell'azienda per far fronte a questo tipo di situazione. Il capo della sicurezza dell’azienda lavora a Londra. Altro fuso orario: le lancette dell’orologio vanno indietro di un’ora e segnano le 15.45. È quasi l’ora del tè, ma questa volta il tè deve aspettare. Tic tac, tic tac.
Ore 17.22 (16.22 a Londra). In una conferenza telefonica, il capo della sicurezza dell’azienda informa fedpol che è stata predisposta l’organizzazione di intervento: 100 specialisti IT sono pronti a intervenire, alcuni di loro dall’India. Altro fuso orario: a Nuova Delhi le lancette segnano le 21.52. Gli specialisti IT dovranno individuare sul server le tracce della sequenza di numeri e caratteri utilizzata dagli autori. Si prospetta una lunga nottata di ricerche. Tic tac, tic tac.
Ore 17.29 (16.29 a Londra). L’inquirente parla con la responsabile del servizio giuridico dell’azienda, anche lei a Londra: quali sono le possibilità giuridiche? L’azienda sporgerà denuncia? Dove? Chi se ne occuperà? La responsabile del servizio giuridico convoca l’unità di crisi. Perché se l’attacco ransomware dovesse andare in porto, i dati venissero criptati e venisse chiesto un riscatto, allora sì, si tratterebbe di una vera e propria situazione di crisi.
Ore 17.59, sede di fedpol a Losanna. Il commissariato Criminalità economica si riunisce per discutere la situazione. Se fino a quel momento l’obiettivo era prevenire la minaccia adottando tutte le misure del caso, comprese quelle di polizia, ed evitare ogni tipo di danno, ora l’accento si sposta sulle indagini di polizia giudiziaria. Occorre assicurare le tracce digitali lasciate dagli autori. Siccome i server sono dislocati in più sedi, deve occuparsene l’azienda. Eventuali malware riscontrati saranno analizzati da GovCERT, il «Computer Emergency Response Team» (CERT) presso il Centro nazionale per la cibersicurezza (NCSC). Tic tac, tic tac.
Il Centro nazionale per la cibersicurezza (NCSC) è il centro di competenza della Confederazione in materia di cibersicurezza. Riceve le segnalazioni sui ciberincidenti trasmesse dalla popolazione e dal settore economico, le analizza e comunica a chi ha effettuato la segnalazione una valutazione dell’incidente nonché le raccomandazioni su come procedere. Sostiene le polizie cantonali e le autorità federali nella gestione dei ciberincidenti, coordina la collaborazione e lo scambio di informazioni e fornisce il proprio aiuto nelle attività di analisi e di contrasto dei ciberincidenti.
Ore 23.03, India (18.33 in Svizzera). Gli specialisti IT hanno finalmente trovato quello che stavano cercando: su un server si nascondeva veramente un malware, una sorta di porta di servizio che avrebbe permesso ai malviventi di piazzare il vero ransomware. La buona notizia: gli inquirenti e gli specialisti IT sono stati più veloci e sono riusciti a intervenire in tempo. Gli specialisti con cautela hanno isolato progressivamente il server dalla rete e lo hanno spento. Le tracce digitali vengono messe al sicuro. In India, a Londra e presso la sede dell’azienda nella Svizzera francese tirano tutti un bel sospiro di sollievo.
Ore 18.45, sede di fedpol a Losanna. La minaccia è stata sventata. Anche il ciber-inquirente è soddisfatto dell’esito. L’efficienza nello scambio di informazioni e nella cooperazione di polizia nonché la rapidità d’intervento sono state la chiave per evitare che i dati venissero criptati. Questi elementi saranno decisivi anche nelle successive indagini.
Che le indagini possano avere inizio, domani. Oggi, la corsa contro il tempo è stata vinta.