Redazione Servizio delle attività informative della Confederazione SIC Schweizerische Eidgenossenschaft Confédération suisse Confederazione Svizzera Confederaziun svizra Servizio delle attività informative della Confederazione SIC Chiusura della redazione Aprile 2015 Copyright PROPHYLAX Servizio delle attività informative della Confederazione SIC Prophylax Servizio delle attività informative della Confederazione SIC Papiermühlestrasse 20 CH-3003 Berna Telefono: +41 (0)58 464 27 82 / www.sic.admin.ch Il presente opuscolo è parte integrante di un’azione di prevenzione e di sensibilizzazione del Servizio delle attività informative della Confederazione SIC Indice 1.Proliferazione3 Controllo delle esportazioni: basi legali4 Paesi a rischio5 Effetti della proliferazione6 Sforzi d’acquisizione8 Come riconoscere gli affari illegali?10 Scambio di conoscenze e proliferazione12 Che cosa fanno le autorità?13 2. Spionaggio economico15 Ricerca legale di informazioni16 Metodi di spionaggio17 Sicurezza nel settore delle tecnologie dell’informazione e della comunicazione (TIC)22 A quali pericoli sono oggi esposte le aziende e le scuole universitarie?23 Con quali misure di sicurezza le aziende e le scuole universitarie possono diminuire la probabilità di successo di un attacco di rete?25 Consigli per l’utilizzo di dispositivi elettronici per chi viaggia all’estero 27 1. Proliferazione D e fin izion e Con il termine «proliferazione» s’intende la diffusione, da un lato, di armi di distruzione di massa e dei loro vettori (missili balistici, missili da crociera e droni) e, dall’altro, di beni d’equipaggiamento, materiali e tecnologie volti alla produzione di tali armi (i cosiddetti beni a duplice impiego). Limitata inizialmente al settore delle armi nucleari, la nozione di proliferazione si estende oggi alle armi biologiche e chimiche di distruzione di massa e ai rispettivi prodotti di base. PROLIFERAZIONE Controllo delle esportazioni: basi legali ▪▪ Legge sul controllo dei beni a duplice impiego (LBDI); RS 946.202 ▪▪ Ordinanza sul controllo dei beni a duplice impiego (OBDI); RS 946.202.1 ▪▪ Ordinanza sul controllo dei composti chimici (OCCC); RS 946.202.21 ▪▪ Ordinanza sul controllo dei composti chimici DFE (OCCC-DFE); RS 946.202.211 ▪▪ Legge federale sul materiale bellico (LMB); RS 514.51 ▪▪ Legge federale sull’energia nucleare (LENu); RS 732.1 ▪▪ Legge federale sulle armi, gli accessori di armi e le munizioni (LArm); RS 514.54 ▪▪ Legge federale sugli esplosivi (LEspl); RS 941.41 ▪▪ Legge federale sull’applicazione di sanzioni internazionali (LEmb); RS 946.231 ▪▪ 18 Ordinanze ai sensi della Legge sugli embarghi 4 PR OPHYL AX | S I C PROLIFERAZIONE Paesi a rischio La proliferazione rappresenta una minaccia per la pace e la sicurezza a livello mondiale. Essa è praticata da Paesi che, per ragioni politico-militari, sono determinati a contrastare l’ordine internazionale o regionale. Tali Stati costituiscono un rischio sia per la stabilità regionale sia per quella internazionale e sono pertanto considerati «Paesi a rischio». Tale categorizzazione non è motivata soltanto tecnicamente, ma ha anche una matrice politica. Oggi sono ritenuti Paesi a rischio gli Stati seguenti: l’Iran, la Corea del Nord, il Pakistan e la Siria. Inoltre, altri Paesi fungono da zone di transito per gli affari importanti in materia di proliferazione. Un’attenzione particolare deve però anche essere prestata alle transazioni commerciali di altri Stati le cui ambizioni nel settore della proliferazione sono note. I programmi di ricerca e di sviluppo delle armi di distruzione di massa e dei loro vettori si trovano a differenti stadi di avanzamento nei diversi Paesi a rischio. Dal punto di vista tecnico-militare tali Paesi intendono sviluppare ulteriormente i programmi d’armamento, al fine di completare i loro arsenali, migliorare la sicurezza d’immagazzinamento e affinare le possibilità d’impiego, la precisione, la portata e l’efficacia dei loro sistemi d’arma. Inoltre, essi mirano a un’ampia indipendenza nella tecnica d’armamento. I Paesi a rischio cercano di procurarsi i processi, i beni e le tecnologie indispensabili alle proprie infrastrutture di sviluppo e di fabbricazione. Per evitare i meccanismi internazionali di controllo, tengono segreta l’utilizzazione prevista. PR OPH Y L AX | SIC 5 PROLIFERAZIONE Effetti della proliferazione La lotta contro la proliferazione è compito della comunità internazionale. A tal fine esistono sul piano internazionale i cosiddetti regimi di controllo delle esportazioni. Per quanto riguarda le armi chimiche e biologiche, sussistono inoltre convenzioni internazionali giuridicamente vincolanti, il cui scopo è la messa al bando mondiale di tali armi. La Svizzera è membro di tutti i regimi e convenzioni sopra citati. La politica svizzera di controllo degli armamenti e di disarmo persegue l’obiettivo di garantire la sicurezza a livello nazionale e internazionale, limitando l’armamento all’essenziale. La Svizzera si impegna affinché segnatamente le armi di distruzione di massa non vengano diffuse (non proliferazione) e vengano completamente eliminate (disarmo). Quale membro dei regimi internazionali di controllo delle esportazioni, la Svizzera funge da solido anello della catena di Paesi che applicano misure contro la proliferazione. 6 PR OPHYL AX | S I C PROLIFERAZIONE Le attività di proliferazione che partono dalla Svizzera possono violare il diritto nazionale o contravvenire agli obblighi internazionali, nonché pregiudicare le relazioni politico-commerciali con l’estero e nuocere alla credibilità della politica svizzera. Ditte, istituti di ricerca e scuole universitarie implicati, anche involontariamente, in attività di proliferazione perdono la loro buona reputazione, possono subire danni finanziari considerevoli od essere oggetto di ritorsioni. Immagine a sinistra: Impianto iraniano per l’arricchimento dell’uranio presso Natanz [WorldView-2 ripresa del 8 marzo 2014] PR OPH Y L AX | SIC 7 PROLIFERAZIONE Sforzi d’acquisizione Le armi di distruzione di massa non sono ottenibili sul libero mercato e le contromisure della comunità internazionale servono a ostacolare gli sforzi d’acquisizione dei Paesi a rischio. Per aggirare tali ostacoli gli attori rilevanti nell’ambito della proliferazione utilizzano da parte loro diversi metodi e reti d’acquisizione tenute segrete: ▪▪ fanno capo ai servizi di intelligence, i cui ufficiali si presentano alle ditte fornitrici in veste di committenti o compratori; ▪▪ ditte statali, in parte o completamente controllate dai servizi di intelligence, si presentano in veste di aziende a scopo lucrativo per ingannare le ditte fornitrici; ▪▪ i consumatori finali si celano dietro il nome fittizio di una ditta o di un istituto universitario; ▪▪ vengono utilizzati nomi di progetti neutri o fuorvianti; ▪▪ gli attori rilevanti nell’ambito della proliferazione fondano una piccola ditta di copertura per un’unica transazione e, concluso l’affare, la sciolgono; simili ditte sono state, tra l’altro, individuate in Nazioni di transito; ▪▪ gli attori rilevanti nell’ambito della proliferazione approfittano dell’in esperienza di certe ditte fornitrici nel settore delle esportazioni; ▪▪ utilizzano società compiacenti presenti nei Paesi di produzione o nei Paesi fornitori per nascondere le acquisizioni illegali nella massa degli affari leciti; Immagine a destra: Una centrifuga a spinta, che secondo indicazioni dell’intelligence sarebbe stata destinata alla produzione in Siria di un ossidante per il combustibile di missili [Fotografia privata] 8 PR OPHYL AX | S I C PROLIFERAZIONE ▪▪ suddividono le acquisizioni in piccole ordinazioni, rendendo difficoltoso il riconoscimento della loro rilevanza in materia di proliferazione; ▪▪ cercano materiale ed equipaggiamenti di ricambio per sostituire i prodotti che si trovano sugli elenchi dei beni soggetti ai controlli delle esportazioni; ▪▪ presentano documenti di esportazione contraffatti o certificati non corrispondenti al vero in merito all’utilizzazione finale. Tale modo di procedere rende difficile alle ditte fornitrici il riconoscimento dell’utilizzazione effettiva del loro prodotto. Particolarmente problematici sono i beni a duplice impiego (dual-use) che ben si adattano ad applicazioni sia civili sia militari. PR OPH Y L AX | SIC 9 PROLIFERAZIONE Come riconoscere gli affari illegali? Spesso non è possibile riconoscere unicamente dall’ordinazione se la merce è destinata allo sviluppo di armi di distruzione di massa. Occorre pertanto verificare accuratamente le modalità di ordinazione, di trasporto e di pagamento. A tal fine è necessaria l’acquisizione di informazioni dettagliate sul Paese di destinazione, sul consumatore e su eventuali intermediari. L’esperienza ha mostrato che i seguenti comportamenti e modi di procedere da parte dell’acquirente possono essere indizi di un affare rilevante in materia di proliferazione: ▪▪ la destinazione finale delle merci è imprecisa o poco plausibile; ▪▪ l’acquirente non può spiegare l’uso previsto del prodotto oppure detto uso presenta forti incongruenze con le specifiche che il fornitore indica per il prodotto; ▪▪ l’acquirente rifiuta di indicare l’uso del prodotto; ▪▪ l’acquirente commercia normalmente con fornitori militari e forse tenta persino di nasconderlo; ▪▪ l’acquirente non dispone delle conoscenze tecniche necessarie; ▪▪ l’identità del nuovo cliente è incerta; ▪▪ si fa capo a intermediari senza un apparente motivo; ▪▪ l’acquirente esige un etichettaggio, un’indicazione o una marcatura particolari; 10 PR OPHYL AX | S I C PROLIFERAZIONE ▪▪ i beni sono inviati per stoccaggio in un deposito doganale; ▪▪ le condizioni di pagamento offerte sono particolarmente vantaggiose (pagamenti in contanti, anticipi eccezionalmente elevati, provvigioni straordinarie); ▪▪ l’acquirente rinuncia all’istruzione e all’assistenza tecnica, nonché alla garanzia; ▪▪ le vie di trasporto previste non sono plausibili; ▪▪ i collaboratori della società acquirente sono inviati in Svizzera per una formazione quando un’istruzione data sul posto sarebbe più pratica e più sensata; ▪▪ i membri di una delegazione non vengono presentati per nome; ▪▪ altri contatti commerciali in Svizzera vengono taciuti. PR OPH Y L AX | SIC 11 PROLIFERAZIONE Scambio di conoscenze e proliferazione La diffusione a livello mondiale di conoscenze acquisite dalla scienza e dalla ricerca è auspicabile e non deve essere impedita o controllata. La situazione è ben diversa se tale diffusione viene sfruttata per scopi rilevanti in materia di proliferazione. Particolarmente problematico è il cosiddetto trasferimento immateriale di tecnologie (Intangible Transfer of Technology, ITT). Esso può verificarsi sia mediante il trasferimento di know how nell’ambito di consulenze specialistiche o corsi di formazione sia mediante la trasmissione di informazioni tecniche non in forma fisica (per esempio e-mail, fax o pagine web). Questo genere di trasferimento di tecnologie è aumentato sensibilmente con la diffusione di Internet e costituisce una particolare sfida per il controllo delle esportazioni, poiché – contrariamente all’esportazione di beni – non è fisicamente controllabile alle frontiere nazionali. Gli attori rilevanti nell’ambito della proliferazione approfittano del libero scambio di informazioni e possono in tal modo impadronirsi, mediante un trasferimento immateriale di tecnologie, di conoscenze tecniche e scientifiche necessarie allo sviluppo di armi di distruzione di massa e dei loro vettori. Inoltre, i Paesi a rischio non esitano a ricorrere ai propri servizi di intelligence per cercare di procurarsi le competenze necessarie, inviando nei Paesi fornitori i loro ufficiali o agenti reclutati, nonché utilizzando altri metodi di spionaggio (cfr. 2. Spionaggio economico). È difficile individuare e combattere, presso istituti di ricerca e scuole universitarie, questi agenti e il loro modo di agire. Per proteggere le informazioni confidenziali o rilevanti in materia di proliferazione e per minimizzare il rischio di perdita di reputazione e credibilità, le istanze interessate devono avere coscienza del problema e adeguare le rispettive misure interne di protezione. 12 PR OPHYL AX | S I C PROLIFERAZIONE Che cosa fanno le autorità? Le ditte e gli istituti scientifici sono in primo luogo responsabili del rispetto delle disposizioni di controllo delle esportazioni. La Segreteria di Stato dell’economia (SECO), in quanto istanza di autorizzazione delle esportazioni, può informare in merito al modo di procedere e ai prodotti che soggiacciono all’obbligo dell’autorizzazione o all’obbligo della dichiarazione (vedi anche www.seco.admin.ch, Politica economica esterna, Controlli delle esportazioni). Altre istanze federali, quali la Direzione generale delle dogane (DGD), il Servizio delle attività informative della Confederazione (SIC) e i servizi informazioni cantonali, nonché il Dipartimento federale degli affari esteri (DFAE), sono coinvolte nell’esecuzione delle suddette disposizioni. Sovente gli ambienti scientifici ed economici non sono in grado di individuare la dissimulazione delle reali intenzioni dei loro partner provenienti dai Paesi a rischio. In tal modo possono inconsapevolmente commettere un reato (per esempio: esportazioni illegali o spionaggio). Per contro, soltanto essi dispongono delle conoscenze necessarie per giudicare se i beni ordinati possono corrispondere, in base al quantitativo e alle specifiche, all’impiego indicato dall’acquirente. A tale scopo il SIC contatta, consiglia e sensibilizza gli ambienti scientifici, economici e industriali con la dovuta discrezione e in un clima di collaborazione. PR OPH Y L AX | SIC 13 2. Spionaggio economico D e fin izion e Con il termine «spionaggio» s’intende l’insieme delle azioni a favore di uno Stato, di una ditta o di una persona che mirano all’acquisizione di informazioni protette o segrete nell’ambito militare, politico, economico, scientifico e tecnologico a scapito di un Paese, di una ditta o di una persona. La violazione del segreto di fabbrica o commerciale e le attività illecite di spionaggio sono contemplate nel Codice penale svizzero (artt. 162, 271, 272, 273, 274 e 301 CP). SPIONAGGIO ECONOMICO Ricerca legale di informazioni OSINT L’acquisizione di informazioni da fonti accessibili al pubblico, definita Open Source Intelligence (OSINT), non è vietata. Occorre però richiamare l’attenzione sul fatto che proprio i servizi di intelligence esteri e le ditte concorrenziali possono individuare, grazie a simili informazioni, possibili bersagli di spionaggio. Il problema consiste, da un lato, nel fatto che il prodotto di una ditta o di un istituto deve essere presentato con grande effetto pubblicitario e, dall’altro, che non dovrebbero essere pubblicati dettagli. Questi potrebbero infatti essere utilizzati dalla concorrenza. Anche in occasione di esposizioni, conferenze e progetti di ricerca internazionali è possibile acquisire, mediante attività di OSINT, informazioni sulle tecnologie, sulla situazione economica delle aziende, sugli investimenti relativi a progetti, sulla ricerca e sullo sviluppo, su clienti, contratti futuri e persone. La valutazione delle pubblicazioni accessibili al pubblico e lo scambio di risultati scientifici conseguiti dalla ricerca generano un’ampia gamma di conoscenze, forniscono preziose indicazioni in merito ai progetti attuali e consentono azioni mirate contro le fonti. Chi pubblica informazioni ha la possibilità di decidere fino a che punto informare in merito a un progetto, un prodotto, un istituto o a una ditta e ai suoi collaboratori. 16 PR OPHYL AX | S I C SPIONAGGIO ECONOMICO Metodi di spionaggio I servizi di intelligence esteri, ma anche attori privati, si servono di diversi metodi di spionaggio. Nell’ombra, continuano a lavorare con mezzi tradizionali quali le attività di Human Intelligence (HUMINT), Signal Intelligence (SIGINT) e Communication Intelligence (COMINT). Mediante attività di HUMINT si scelgono e si ingaggiano informatori, mentre nell’ambito delle attività di SIGINT e COMINT si utilizzano mezzi elettronici altamente sviluppati: l’accesso a reti IT, l’utilizzo di cellulari come apparecchi di ascolto e l’investigazione via Internet figurano fra i moderni metodi di spionaggio. Inoltre, i servizi di intelligence e le imprese impiegano agenzie private (agenzie investigative, fiduciarie o uffici informazioni, ditte di consulenza o ditte di ristrutturazione, ecc.), ma anche hacker per procurarsi dati e informazioni confidenziali. HUMINT Operato sotto copertura Agendo in veste di diplomatici, giornalisti o uomini d’affari, gli ufficiali dei servizi di intelligence esteri entrano in contatto in Svizzera con decisori del mondo politico ed economico. Possono in tal modo raccogliere prime informazioni e contattare persone senza rendersi sospetti. Gli ufficiali dei servizi di intelligence esteri assistono spesso a manifestazioni pubbliche e prendono di mira quelle persone che possono detenere informazioni di loro interesse. Interpreti e traduttori possono anch’essi avere accesso a informazioni confidenziali, così come praticanti e dottorandi possono raccogliere preziose informazioni per i servizi di intelligence esteri. PR OPH Y L AX | SIC 17 SPIONAGGIO ECONOMICO Più di una semplice rappresentanza commerciale diplomatica In particolare membri di rappresentanze commerciali estere che agiscono in veste di diplomatici e sono attivi nei servizi di intelligence cercano di rivolgersi a ditte operanti nel settore delle tecnologie d’avanguardia. Le persone attive nei servizi di intelligence le invitano a partecipare a esposizioni, seminari e congressi internazionali. Mostrano interesse per le questioni interne alle ditte, richiedono offerte molto dettagliate a livello di materiale o chiedono manuali interni all’azienda. Dal contatto leale a quello spionistico Gli ufficiali dei servizi di intelligence esteri instaurano gradatamente un rapporto di fiducia ed eventualmente un rapporto di dipendenza con le persone prese di mira. Inizialmente cercano di ottenere informazioni non classificate e accessibili al pubblico. Con piccoli regali e inviti si conquistano l’amicizia – e la persona presa di mira rivela sempre più informazioni confidenziali. Il rapporto di fiducia si approfondisce e alla fine vengono rivelate anche informazioni segrete. La persona presa di mira è sempre più coinvolta e non è più in grado di togliersi da questa situazione; nel ricordare quali informazioni ha già illecitamente fornito, viene esercitata su di essa una pressione a scopo ricattatorio. Ricatto L’accettazione di denaro, in particolare, compromette e vincola la persona presa di mira all’ufficiale del servizio di intelligence estero. Le possibilità di ricatto possono essere create anche dai servizi di intelligence stessi. In certi Stati, ad esempio, alle persone prese di mira vengono rimproverate violazioni della legge. I rimproveri possono essere motivati o pretestuosi, in occasione ad esempio di un incidente della circolazione. In simili casi, un servizio di intelligence può offrire il proprio aiuto in cambio di informazioni e collaborazione. Le possibilità di ricatto 18 PR OPHYL AX | S I C SPIONAGGIO ECONOMICO possono essere create anche mediante sorveglianza, ad esempio documentando intrecci amorosi, relazioni extraconiugali, illeciti valutari o accettazioni di denaro. Ditte nel mirino Oltre ai metodi di spionaggio summenzionati, nel settore dello spionaggio economico sono usuali i seguenti metodi: ▪▪ visite di delegazioni straniere presso imprese, con o senza accompagnamento di un rappresentante dell’ambasciata; ▪▪ offerte di servizi ad istituti di ricerca, alle università e ad aziende d’armamento; ▪▪ partecipazione ad aziende (joint ventures) e a progetti di ricerca comuni; ▪▪ acquisizione di tecnologie e acquisto di aziende allo scopo di collocare nuovi collaboratori nei settori sensibili; ▪▪ richieste di informazioni presso ex dipendenti che avevano accesso ad informazioni confidenziali. PR OPH Y L AX | SIC 19 SPIONAGGIO ECONOMICO SIGINT Con le attività di SIGINT vengono intercettate, analizzate o manipolate le trasmissioni via computer e con mezzi di telecomunicazione [telefoni (cellulari), fax, e-mail, ecc.] di aziende o privati al fine di procurarsi informazioni utili su obiettivi economici o strategici. Le e-mail e i messaggi via fax possono essere oggetto di sistematiche ricerche attraverso parole chiave e le conversazioni telefoniche possono essere analizzate grazie al riconoscimento vocale automatico. Conclusioni e contromisure Alla luce dell’acutizzarsi della situazione di concorrenza a livello mondiale e di una crescente dipendenza da moderni sistemi di informazione e di comunicazione diventa sempre più importante tutelarsi dall’uso illegale delle proprie conoscenze. Anche una piccola o una media impresa rappresenta spesso, a causa dei suoi progetti innovativi di ricerca e di sviluppo e del know how esistente, un obiettivo da sorvegliare. Con la crescente interconnessione la priorità spetta alla sicurezza dell’infrastruttura in materia d’informazione. L’interruzione delle reti di comunicazione nonché il furto, la manipolazione o la perdita di dati possono diventare un rischio vitale per l’economia, la società e lo Stato. La sicurezza dell’informazione non può fermarsi allo stretto ambito di una ditta o ai confini nazionali. Le imprese attive internazionalmente devono essere consapevoli che sono possibili perdite di informazioni presso succursali, società del gruppo o partner commerciali all’estero. 20 PR OPHYL AX | S I C SPIONAGGIO ECONOMICO Non è possibile una protezione integrale dalla fuga di informazioni; tuttavia misure adeguate possono offrire una protezione efficace e finanziariamente sostenibile. Possono, tra l’altro, essere adottate le misure preventive seguenti: ▪▪ elaborazione e applicazione di un documento programmatico sulla sicurezza dell’informazione e nomina di una persona responsabile che esegue controlli con il supporto della direzione e fa rispettare le misure di sicurezza previste; ▪▪ formazione, perfezionamento e sensibilizzazione dei collaboratori per quanto concerne il pericolo di spionaggio; ▪▪ controlli d’accesso; ▪▪ protezione degli atti cartacei e dei dati computerizzati; ▪▪ definizione dei diritti d’accesso per le raccolte di dati e gli atti sensibili; ▪▪ esame approfondito dei collaboratori prima dell’assunzione; ▪▪ controlli in merito a quali informazioni la ditta o l’istituto pubblica ad esempio su Internet; ▪▪ comportamento corretto e inoppugnabile dei collaboratori nei viaggi all’estero; ▪▪ imposizione delle misure di sicurezza nel settore delle tecnologie dell’informazione e della telecomunicazione. Il SIC, in collaborazione con i servizi informazioni cantonali, aiuta a far luce, a sensibilizzare e a consigliare le ditte e le scuole universitarie in merito allo spionaggio economico. PR OPH Y L AX | SIC 21 SPIONAGGIO ECONOMICO Sicurezza nel settore delle tecnologie dell’informazione e della comunicazione (TIC) Nell’epoca delle reti d’informazione globalizzate la cybercriminalità continua a diffondersi in maniera esplosiva. Il pericolo non è percepito in misura sufficiente. Al contrario, molti lo ritengono un fenomeno unicamente virtuale e quindi innocuo e non reale. Ciò rappresenta un ostacolo alla prevenzione. Il Codice penale svizzero distingue i delitti seguenti: ▪▪ Art. 143: acquisizione illecita di dati; ▪▪ Art. 143bis: accesso indebito a un sistema per l’elaborazione di dati; ▪▪ Art. 144bis: danneggiamento di dati; ▪▪ Art. 147: 22 PR OPHYL AX | S I C abuso di un impianto per l’elaborazione di dati. SPIONAGGIO ECONOMICO A quali pericoli sono oggi esposte le aziende e le scuole universitarie? Spionaggio e furto di dati L’utilizzo delle tecnologie dell’informazione e della comunicazione (TIC) per acquisire informazioni cui non si avrebbe accesso con mezzi comuni ha avuto una rapida crescita negli ultimi anni. Criminali, concorrenti, Stati, terroristi o gruppi indipendenti utilizzano le TIC per accedere a sistemi informatici e ottenere informazioni sensibili. Operazioni di spionaggio o furto di dati eseguite via Internet permettono di aumentare l’anonimato dell’aggressore e di diminuire i costi di acquisizione illegale. Sempre più questi attori ricorrono ad attacchi mirati utilizzando codici nocivi di elevata sofisticazione, impiegando risorse finanziarie e umane notevoli durante un periodo considerevole: questi elementi costituiscono delle minacce avanzate e persistenti (advanced persistent threat, APT). Le imprese e le scuole universitarie non sono più quindi solo confrontate a criminali in erba dotati di capacità limitate, ma sono anche esposte alla minaccia e all’attacco da parte di gruppi organizzati e competenti in materia. La minaccia si è evoluta e così si devono adattare anche le misure di protezione. Raccolta di dati Spesso le imprese si affidano a compagnie esterne per prestazioni in ambito informatico, dando in gestione l’infrastruttura IT e le informazioni ivi contenute a soggetti terzi, le cui attività non possono essere sempre sorvegliate in maniera adeguata. Le comunicazioni necessarie per lo svolgimento di attività economiche e di ricerca (informazioni veicolate tramite reti informatiche o di telefonia mobile, per esempio) possono diventare oggetto di attenzione di Stati terzi dotati delle tecnologie necessarie per catturare in modo indiscriminato e massiccio il flusso di informazioni, che poi analizzano e sfruttano a loro proprio vantaggio o a vantaggio di PR OPH Y L AX | SIC 23 SPIONAGGIO ECONOMICO imprese o organizzazioni concorrenti. Le aziende e le scuole universitarie devono essere coscienti che ogni informazione che esce dalla propria rete potrebbe essere raccolta, analizzata e sfruttata da un’entità terza: di conseguenza assicurare la confidenzialità di un’informazione prima che essa sia veicolata rientra oggigiorno tra i compiti fondamentali di sicurezza. Danneggiamento di dati L’accesso non autorizzato a un sistema per l’elaborazione di dati può avere come obiettivo anche la distruzione di informazioni. Il motivo di simili azioni risiede spesso nell’intenzione di anticipare la concorrenza o di bloccare una trattativa in corso. Le informazioni rappresentano un bene degno di protezione. Il loro valore determina quali misure di sicurezza devono essere adottate. Turbativa di una connessione Internet Rendere una risorsa indisponibile durante un periodo di tempo prolungato può risultare in un danno rilevante per un’azienda o una scuola universitaria. Un tipico esempio è rappresentato da attacchi di diniego di servizio distribuiti (distributed denial of service – DDoS). Questi attacchi mirano a sovraccaricare uno o più elementi dell’infrastruttura colpita in modo da provocare un’insufficienza nella performance. Le imprese che dipendono per la loro funzionalità da un tempo di attività pressoché continuo di un sistema informatico, come ad esempio società che utilizzano il web per realizzare parte o interamente il proprio business, potrebbero pregiudicare i propri guadagni se i loro sistemi informatici non fossero adeguatamente protetti contro gli incidenti di abuso di risorse. 24 PR OPHYL AX | S I C SPIONAGGIO ECONOMICO Con quali misure di sicurezza le aziende e le scuole universitarie possono diminuire la probabilità di successo di un attacco di rete? Protezione dei dati e delle risorse In un’azienda e in una scuola universitaria le soluzioni tecniche quali i firewall, i programmi antivirus e gli aggiornamenti regolari dei sistemi operativi devono costituire la regola. Sono però necessarie ulteriori misure: cifratura del disco duro dei laptop (in particolare se quest’ultimi vengono impiegati al di fuori della sede principale), blocco del collegamento delle prese USB sui computer dell’azienda e separazione (virtuale o fisica) della rete interna e esterna. Inoltre le aziende e le scuole universitarie devono implementare soluzioni per la sicurezza durante la trasmissione dei dati. Le informazioni sensibili devono essere cifrate prima di essere trasmesse sulla rete, così come la trasmissione dei dati dovrebbe circolare su un canale sicuro, come ad esempio una rete privata virtuale (VPN). Le aziende e le scuole universitarie necessitano inoltre di strumenti atti a individuare gli accessi illegali sulla propria infrastruttura di rete. Speciali soluzioni come gli Intrusion Detection Systems (IDS) o gli Intrusion Prevention Systems (IPS) dovrebbero essere implementati per aumentare il grado di sicurezza della rete. D’altro canto per prevenire un abuso delle risorse bisogna ricorrere a soluzioni che proteggano la rete da attacchi esterni; soluzioni che vengono spesso fornite dal proprio provider di rete (anti-DDoS). Regole di comportamento e formazione del personale Nel settore dell’informatica sono necessarie delle direttive che siano applicabili non soltanto durante l’orario di lavoro, ma anche nella vita privata. Nelle direttive PR OPH Y L AX | SIC 25 SPIONAGGIO ECONOMICO interne concernenti l’impiego dei mezzi informatici a scopi professionali occorre definire la posizione dell’azienda o della scuola universitaria in merito all’utilizzo di Internet e disciplinare l’uso della posta elettronica privata sul posto di lavoro. Inoltre, dovrebbero essere proposti dei corsi di formazione e perfezionamento riguardo ai rischi e ai pericoli delle nuove tecnologie. Scelta del partner e delle soluzioni IT Nel momento in cui un’impresa o una scuola universitaria sceglie il proprio partner IT diversi fattori devono essere tenuti in considerazione. La competenza tecnica e la qualità del servizio sono indubbiamente elementi fondamentali nella scelta di un partner. Tuttavia, se si vogliono evitare una trasmissione involontaria di dati o un danneggiamento delle reti IT, le differenti condizioni giuridiche e politiche alle quali il partner IT è sottoposto o l’appartenenza a programmi statali di raccolta d’informazioni sono aspetti decisivi da esaminare al momento della scelta. 26 PR OPHYL AX | S I C Consigli per l’utilizzo di dispositivi elettronici per chi viaggia all’estero Quando vi trovate al di fuori della vostra sede di lavoro abituale, soprattutto quando viaggiate all’estero, potreste diventare un obiettivo interessante di servizi di intelligence stranieri o della concorrenza. Il vostro materiale elettronico (computer portatile, smartphone, tablet o altro) diventa quindi un elemento sensibile, attraverso il quale malintenzionati potrebbero ottenere informazioni a vostra insaputa. Dovete sapere che: ▪▪ un esperto che riesce ad avere un accesso fisico al vostro materiale elettronico può copiare le informazioni in esso contenute se il dispositivo non è adeguatamente protetto; ▪▪ le reti di comunicazione, soprattutto quelle wireless, possono essere facilmente intercettate e ascoltate da persone estranee; ▪▪ un utilizzo incauto dei dispositivi elettronici può facilitare l’accesso a informazioni sensibili da parte di persone non autorizzate. Scenari verosimili ▪▪ Un addetto della dogana vi richiede il vostro materiale elettronico ad un valico di frontiera. Una volta sottratto, non siete più in misura di sapere cosa viene fatto sul vostro dispositivo. Anche degli organi statali possono essere interessati ad avere accesso ai vostri dati privati. ▪▪ Vi trovate all’estero e dovete trasmettere informazioni sensibili attraverso il vostro telefono portatile. Il segnale emesso dal telefono è criptato, ma con tecniche a basso costo è possibile decriptare il segnale e ascoltare la vostra conversazione. ▪▪ In viaggio avete bisogno di collegarvi a Internet per ottenere un’informazione. Sappiate che qualsiasi luogo (Internet café, hotel, aeroporti, stazioni, uffici, luoghi pubblici) può essere predisposto per intercettare la vostra comunicazione. ▪▪ Durante un viaggio di lavoro vi prendete qualche ora per visitare la città in cui vi trovate. Perciò lasciate il vostro materiale elettronico nella stanza d’albergo. Sappiate che in alcuni Paesi le stanze d’albergo vengono perquisite alla ricerca di informazioni interessanti. ▪▪ Durante una conferenza, all’ora della pausa, tutti si alzano per andare a prendere un caffè e lasciano il proprio computer portatile aperto sul tavolo. Sappiate che semplicemente inserendo una chiave USB appositamente preparata è possibile copiare velocemente i documenti contenuti nel vostro PC. Soluzioni da attuare ▪▪ Recatevi all’estero con il materiale elettronico strettamente necessario all’attività che dovete svolgere. La stessa cosa vale per le informazioni contenute nei dispositivi. ▪▪ Consegnate il vostro materiale elettronico solo se siete in misura di seguirlo fisicamente. In questo modo sapete cosa succede con il vostro materiale. ▪▪ Non lasciate mai il vostro materiale elettronico incustodito (per esempio ad un posto di frontiera, nella pausa caffè durante una conferenza o semplicemente per recarvi al bagno). ▪▪ In viaggio di lavoro utilizzate se possibile un computer portatile o un telefono destinato unicamente ai viaggi e che non contiene informazioni sensibili. Al vostro rientro dovete poter formattare il dispositivo senza sforzo. ▪▪ Il disco duro del vostro computer, o almeno i dati in esso contenuto, devono essere criptati. ▪▪ In alcuni Paesi non è permesso entrare con dati criptati. Per ovviare a questo problema viaggiate con un computer senza dati sensibili e, nel momento in cui vi trovate all’estero, collegatevi attraverso una connessione sicura (VPN, Virtual Private Network), scaricate i dati sul vostro computer e, una volta non più necessari, cancellate i dati con un software apposito. ▪▪ I vostri sistemi operativi così come le applicazioni installate sul vostro materiale elettronico devono essere regolarmente aggiornati. ▪▪ Utilizzate una password sicura per proteggere il vostro computer (caratteri alfanumerici in maiuscolo e minuscolo, alternati da simboli speciali). Una password di almeno nove caratteri è consigliata. ▪▪ Non utilizzate periferiche esterne (chiavi USB, dischi duri esterni, fotocamere digitali o altro) che vi sono state prestate o regalate, non permettete a nessuno di inserire una periferica sul vostro computer (ad esempio se si vuole usare il vostro computer per una presentazione). Se siete voi ad avere inserito una periferica su un computer sconosciuto, formattate la periferica prima di riutilizzarla. ▪▪ Utilizzate unicamente telefoni portatili criptati se questo tipo di materiale è disponibile. ▪▪ Cercate di evitare le reti wireless perché generalmente poco sicure. ▪▪ Se non potete accedere a una riunione o a uno stabile con il vostro telefono portatile, non lasciatelo incustodito: togliete la batteria e, se possibile, richiudete il dispositivo in un contenitore di sicurezza. ▪▪ Guardatevi alle spalle: in treno, in aereo o durante una conferenza qualcuno potrebbe mettersi alle vostre spalle con l’intento di spiare il vostro schermo. Al vostro rientro ▪▪ Cambiate tutte le password che avete utilizzato durante il viaggio all’estero; ▪▪ in caso di sospetto fate analizzare il dispositivo e, se dovesse restare ancora un dubbio, formattatelo. Redazione Servizio delle attività informative della Confederazione SIC Schweizerische Eidgenossenschaft Confédération suisse Confederazione Svizzera Confederaziun svizra Servizio delle attività informative della Confederazione SIC Chiusura della redazione Aprile 2015 Copyright PROPHYLAX Servizio delle attività informative della Confederazione SIC Prophylax Servizio delle attività informative della Confederazione SIC Papiermühlestrasse 20 CH-3003 Berna Telefono: +41 (0)58 463 95 84 / www.sic.admin.ch Il presente opuscolo è parte integrante di un’azione di prevenzione e di sensibilizzazione del Servizio delle attività informative della Confederazione SIC