Tu chi sei? La domanda che cambia ogni analisi di sicurezza

Mentre molti cercavano di capire chi fosse dietro agli attacchi attribuiti all'Iran, io continuavo a pormi una domanda diversa: perché proprio quei bersagli?

Guardare oltre la notizia

Qualche giorno fa mi sono imbattuto in un video che parlava delle attività cyber attribuite all'Iran dopo gli attacchi americani e israeliani contro infrastrutture militari e di intelligence iraniane. Il video raccontava di dispositivi cancellati da remoto, dati personali pubblicati online, infrastrutture critiche compromesse e personale militare localizzato attraverso informazioni apparentemente innocue. Nulla di particolarmente nuovo per chi segue da anni il mondo della sicurezza, dell'intelligence o delle operazioni informatiche.

Quello che ha catturato la mia attenzione, però, non erano gli hacker, le attribuzioni o le inevitabili discussioni geopolitiche che accompagnano ogni episodio di questo tipo. Ciò che trovavo interessante era il processo mentale che emergeva dietro quelle operazioni.

In fondo, chi si occupa di sicurezza sviluppa inevitabilmente una sorta di deformazione professionale. Mentre molti osservano un evento e cercano di capire chi sia stato, il consulente tende a fermarsi un passo prima e a porsi domande diverse. Come si è arrivati a quel risultato? Perché è stato scelto proprio quel bersaglio? Quali caratteristiche lo rendevano interessante? Quali vulnerabilità sono state individuate e sfruttate?

In altre parole, l'attenzione smette di essere rivolta esclusivamente all'attaccante o al risultato finale e si sposta sull'intero meccanismo che ha portato a quel punto. Chi ha compiuto l'azione e quale effetto abbia ottenuto sono informazioni importanti, ma in molti casi rappresentano dati di fatto. Il vero valore, soprattutto quando si parla di prevenzione, sta nel comprendere la logica, la strategia e il percorso che hanno reso possibile quell'evento.

La prima domanda

Ed è proprio mentre ascoltavo quel video che mi è tornata in mente una domanda che faccio spesso all'inizio di una consulenza e che, non di rado, lascia il cliente leggermente spiazzato.

"Tu chi sei?"

Non è una domanda anagrafica e non serve a rompere il ghiaccio. Non mi interessa il nome della persona che ho davanti e nemmeno sapere immediatamente quali telecamere abbia installato, quale software utilizzi o quale sistema di allarme protegga i suoi uffici. Mi interessa capire chi è, quale attività svolge, quale ruolo occupa nel proprio contesto, quali informazioni gestisce, quali relazioni possiede, come si muove, quali dipendenze ha e, soprattutto, quale valore potrebbe rappresentare agli occhi di qualcun altro.

Perché è proprio qui che nasce uno degli errori più comuni quando si parla di sicurezza.

La maggior parte delle persone parte dalla domanda sbagliata.

"Da chi devo difendermi?"

È una domanda comprensibile. Del resto è naturale immaginare un hacker, un concorrente, un truffatore, un ladro, un dipendente infedele o magari persino un governo straniero. Il problema è che questa domanda arriva troppo presto. Prima ancora di chiedersi da chi ci si debba difendere, bisognerebbe comprendere perché qualcuno dovrebbe essere interessato a noi.

Perché prevenire è meglio che curare

Le minacce esistono sempre. Sono ovunque. Ciò che cambia è il motivo per cui una determinata minaccia potrebbe decidere di interessarsi a una determinata persona, azienda o organizzazione.

Ed è proprio qui che entra in gioco uno dei principi più semplici e, allo stesso tempo, più ignorati della sicurezza: prevenire è meglio che curare.

Gran parte della sicurezza non consiste infatti nel reagire a ciò che è già accaduto, ma nel comprendere in anticipo quali condizioni potrebbero permettere a un problema di manifestarsi. In fondo, una vulnerabilità corretta oggi costa quasi sempre meno di una crisi gestita domani.

Non bisogna essere speciali per diventare interessanti

Un imprenditore che sta sviluppando una tecnologia innovativa potrebbe essere esposto a rischi che lui stesso non vede. Non soltanto per ciò che la sua tecnologia è stata progettata per fare, ma per ciò che potrebbe diventare. Talvolta il fondatore vede un prodotto, l'investitore vede un'opportunità commerciale e il concorrente vede una minaccia di mercato, mentre una persona con esperienza nel mondo della sicurezza potrebbe riconoscere immediatamente applicazioni dual-use, possibili interessi strategici, implicazioni militari o attenzioni indesiderate che nessuno all'interno dell'azienda aveva preso in considerazione.

Ma sarebbe un errore pensare che questo riguardi soltanto chi sviluppa qualcosa di rivoluzionario.

Anzi, spesso accade esattamente il contrario.

Molte aziende lavorano da decenni in settori apparentemente ordinari. Producono componenti, gestiscono infrastrutture, forniscono servizi specialistici o occupano una posizione ben precisa all'interno di una filiera industriale. Non stanno sviluppando tecnologie futuristiche, non si percepiscono come particolarmente sensibili e spesso ritengono di non avere nulla che possa attirare l'attenzione di qualcuno.

Eppure basta un cambiamento geopolitico, una crisi internazionale, una nuova dipendenza strategica o un conflitto per modificare completamente il modo in cui altri iniziano a guardarle.

Ed è forse questo uno degli aspetti più affascinanti e sottovalutati della sicurezza: esistono persone, aziende e organizzazioni che non hanno la minima idea di essere interessanti. Non perché siano ingenue o incompetenti, ma perché osservano il mondo dalla prospettiva del proprio settore, del proprio mercato e della propria esperienza.

Chi si occupa di sicurezza, invece, è costretto a guardare anche oltre quei confini e a chiedersi quali interessi, connessioni o implicazioni possano esistere al di fuori del campo visivo del cliente.

In altre parole, il rischio non dipende soltanto da ciò che sei oggi.

Talvolta dipende da come altri decidono di guardarti domani.

Cosa c'entra una società medicale con l'Iran?

Ed è proprio qui che quel video ha rappresentato uno spunto di riflessione particolarmente interessante.

Tra i soggetti colpiti figurava infatti anche una realtà del settore medicale.

E lì mi sono immaginato la reazione di molte persone.

Cosa c'entra un'azienda che opera nel mondo della sanità con una crisi che coinvolge Iran, Israele, Stati Uniti, petrolio e programma nucleare?

La risposta è che c'entra eccome.

Non perché qualcuno fosse in grado di prevedere quel preciso attacco, quel preciso gruppo o quel preciso momento. Un consulente non è un indovino e la sicurezza non consiste nel predire il futuro. Consiste piuttosto nel comprendere quali caratteristiche rendano un soggetto interessante per una vasta gamma di attori e di scenari differenti.

Personalmente, se qualcuno anni fa mi avesse chiesto se una realtà legata alla sanità, ai dispositivi medici o al funzionamento degli ospedali potesse diventare bersaglio di attività ostili, la mia risposta sarebbe stata probabilmente sì. Non perché avrei previsto l'Iran, ma perché una struttura che svolge una funzione critica per la società possiede caratteristiche che la rendono interessante per una moltitudine di soggetti diversi, ciascuno con motivazioni, capacità e obiettivi differenti.

Il nemico cambia. Il meccanismo rimane.

Ed è qui che emerge la differenza tra cercare di indovinare chi colpirà e cercare di comprendere come si potrebbe essere colpiti e, di conseguenza, come ci si potrebbe difendere.

Nel primo caso si rincorre una minaccia.

Nel secondo si analizza un sistema.

E sono due approcci completamente diversi.

Se domani scoprissimo che dietro quell'operazione non c'era l'Iran ma un altro Stato, un gruppo criminale o una struttura di intelligence differente, il ragionamento cambierebbe ben poco. Perché il punto non è il nome dell'attaccante. Il punto è che qualcuno ha individuato una vulnerabilità, ha riconosciuto il valore di un bersaglio e ha costruito una strategia per sfruttarla.

Cambiano gli attori.

Non cambia il meccanismo.

Direttore d'orchestra e comandante

Molti professionisti osservano il problema dalla prospettiva della propria specializzazione. L'installatore osserva gli impianti, l'esperto informatico guarda i sistemi digitali, il legale si concentra sulle responsabilità e l'investigatore sulle informazioni disponibili. Tutti svolgono un ruolo importante e tutti vedono una parte del problema.

Qualcuno, però, deve osservare l'intero quadro.

Da un lato il consulente assomiglia a un direttore d'orchestra. Non perché coordina semplicemente una serie di specialisti, ma perché deve comprendere quale risultato finale si stia cercando di ottenere e come elementi apparentemente scollegati possano influenzarsi reciprocamente. Come il direttore cerca armonia e qualità nell'esecuzione finale, il consulente cerca equilibrio ed efficacia nell'intero sistema di sicurezza.

Dall'altro assomiglia a un comandante. Non nel senso romantico che spesso si attribuisce alla parola, ma in quello più pragmatico. Deve comprendere quali siano le minacce realmente rilevanti, stabilire priorità, allocare risorse limitate e decidere dove concentrare tempo, attenzione e investimenti per ottenere il massimo risultato possibile.

La differenza tra osservare e comprendere

Per questo motivo le minacce più pericolose raramente sono quelle che occupano le prime pagine dei giornali.

Molto più spesso nascono dall'intersezione tra tecnologia, comportamenti, abitudini, informazioni, relazioni e contesto. Diventano visibili soltanto quando qualcuno osserva il quadro completo e possiede l'esperienza necessaria per interpretarlo.

Perché vedere il quadro non basta.

Serve aver osservato centinaia di situazioni differenti, aver studiato incidenti reali, aver analizzato errori, aver visto crisi evolversi in modi inattesi e aver sviluppato quella capacità che consente di collegare elementi apparentemente insignificanti fino a trasformarli in una storia coerente.

La sicurezza non inizia dal nemico

Forse è proprio questa la differenza tra chi osserva una notizia e chi lavora nella sicurezza.

Il primo cerca il responsabile, il secondo cerca il meccanismo.

Il primo guarda ciò che è accaduto, il secondo cerca di capire come evitare che accada di nuovo.

Per questo motivo, quando inizio una consulenza, raramente la prima domanda riguarda la minaccia, il sistema da acquistare o la tecnologia da installare.

Prima cerco di capire chi ho davanti, perché soltanto comprendendo chi sei, cosa rappresenti, quali vulnerabilità possiedi e quale valore puoi avere agli occhi di altri, è possibile iniziare a ragionare seriamente sulla sicurezza; tutto il resto viene dopo.

E forse è proprio questo che quel video mi ha ricordato ancora una volta.

La sicurezza non inizia dal nemico.

Inizia dal bersaglio, e soprattutto dalla comprensione del sistema.

E molto spesso inizia con una domanda apparentemente semplice:

"Tu chi sei?"

Fonti utilizzate

Video originale che ha ispirato l'articolo

• Facebook Reel (fonte primaria indicata nell'articolo):
  https://www.facebook.com/share/v/18eUgxJrv8/

Approfondimenti e verifiche

• TechCrunch – US accuses Iran's government of operating hacktivist group that hacked Stryker:
  TechCrunch - Handala / Stryker attack

• FBI FLASH – Government of Iran Cyber Actors Deploy Telegram C2:
  FBI FLASH 20260320-001

• TechTarget – CIOs must now model war as an enterprise risk:
  TechTarget analysis on Stryker attack

• Cybersecurity Dive – Stryker attack raises concerns about role of device management tool:
  Cybersecurity Dive - Stryker and Intune analysis

• TechCrunch – CISA urges companies to secure Microsoft Intune systems after hackers mass-wipe Stryker devices:
  TechCrunch - CISA advisory after Stryker attack