Torniamo a parlare di cyberattacchi, col secondo episodio del mio racconto di finzione “Canditi e cyberattacchi: un caso natalizio per Andrea Kaiser”. Il mio alter ego è alle prese con un caso molto lontano dalle solite pratiche privacy e GDPR… Hai già letto il primo episodio? No? Allora corri a farlo, perché questo è il seguito. Buona lettura!
Canditi e cyberattacchi: un caso natalizio per Andrea Kaiser – Parte 2
«Aprite!» disse una voce maschile «Sappiamo che siete lì! Surici, Kaiser… aprite la porta o dovremo sfondarla!»
I due DPO si guardarono allarmati. Surici era sull’orlo di una crisi di nervi. Kaiser era teso. I pensieri correvano rapidi. “Chi può essere? Lanfranco, in che casino ci hai messi?!” pensò.
«Polizia! Aprite!» riprese la voce.
«Polizia?» sussurrò Surici «Andrea, dobbiamo aprire…»
Kaiser gli fece cenno di no con la testa. Silenzioso, percorse il corridoio che separava il bagno dalla porta e guardò il monitor del citofono. Vide tre uomini vestiti di nero, in passamontagna. Non sembravano affatto poliziotti.
“Non abbiamo scelta” si disse “c’è solo un modo per non farsi prendere…”
Rapido prese i due computer, gli hard disk e i pochi dispositivi a portata di mano e li mise in una grossa borsa. Tutto il resto era al sicuro in un caveau segreto: lui era un DPO serio, le misure tecniche e organizzative erano la base del GDPR. Chiunque fossero quegli uomini, lì avrebbero trovato solo qualche manga e un paio di riviste compromettenti di Surici. Poi tornò dall’amico e gli fece cenno di seguirlo.
Entrarono nell’ufficio di Kaiser e si chiusero dentro a chiave.
«Andrea, cosa vuoi fare?» gli chiese Surici osservando il collega mentre apriva la portafinestra. «Siamo al primo piano!»
«Animo Lanfranco! Non ti ricordi che c’è il ponteggio per i lavori di ristrutturazione? Scappiamo da qui!» disse Kaiser arrampicandosi pericolosamente sulla balaustra.
Fu un miracolo se i due non si ruppero l’osso del collo. Scesero dal ponteggio e raggiunsero l’auto di Kaiser proprio quando i tre energumeni sfondarono la porta dell’ufficio.
«Adesso andiamo da quel nuovo cliente che ti ha contattato, Lanfranco. Dobbiamo toglierci da questa storia, subito!» disse Kaiser premendo l’acceleratore a tavoletta.
Dopo mezzora erano in una delle sale riunioni più avveniristiche che i due DPO avessero mai visto. La XYZ biotecnologic era in tutto e per tutto una multinazionale del settore, anche nelle sue sedi più distaccate, come quella italiana in cui Kaiser e Surici si trovavano in quel momento. Li accolse una donna di mezza età, occhiali, capelli scuri, aria severa.
«Dottor Surici! Non la aspettavamo. E lei deve essere il Dottor Kaiser» disse in perfetto italiano, ma con l’accento losangelino «Piacere di conoscerla, sono la Dottoressa Irene Smith, responsabile della cybersecurity della XYZ. Come mai qui?»
I due le spiegarono brevemente cos’era successo e lei rispose secca «Capisco!» Digitò qualcosa sul telefono e poi riprese «Prego venite con me!»
Entrarono in ascensore e la donna selezionò il piano: -5
Le pareti erano in vetro e Kaiser ebbe la fugace immagine di un dedalo di laboratori sotterranei, personale in tuta bianca e maschera. Pochi secondi e l’ascensore si aprì in un ambiente completamente diverso. C’erano computer ovunque e chine davanti ai monitor, decine di persone lavoravano in silenzio.
«Benvenuti nella nostra area IT o, come la chiamiamo noi, “Fort Knox”» disse la Dottoressa Smith, accennando un piccolo sorriso di sfida «Qui non c’è campo e possiamo parlare senza rischi. Le persone che sono entrate nel vostro ufficio fanno parte dell’organizzazione criminale che sta cercando di accedere ai nostri database. Abbiamo reclutato alcuni dei migliori hacker del mondo per difenderci e probabilmente è per questo che sono passati ai “vecchi metodi” con voi. Volevano entrare nel vostro sistema e infettarci, ma non ci sono riusciti, così sono venuti a farvi una visitina…» disse, come se nulla fosse.
«Mi rendo conto che per voi sia la normalità, Dottoressa Smith» rispose Kaiser «Ma il nostro è un piccolo studio di DPO. È vero, GDPR, AI ACT, NIS 2, ci siamo mossi con largo anticipo per mettere in atto tutte le misure tecniche e organizzative richieste dalla legge, per ridurre al minimo in rischio di data breach, però questa cosa è più grande di noi… non siamo attrezzati!»
«Vede Dottor Kaiser, abbiamo scelto voi perché sapevamo che non guardate solo alla forma, ma anche alla sostanza. Infatti, l’attacco hacker ai vostri sistemi non ha funzionato, o sbaglio? E si trattava di un trojan nuovo e molto complesso…» rispose la dottoressa «Ci servono professionisti come voi, qui in Italia. Persone che conoscono la legge, il contesto locale e la tecnologia. Non potevamo affidare la nostra sede italiana a qualcuno che compila la privacy con i fogli di calcolo… Ci serve chi sappia come gestire una notifica al CSIRT, sia certificato e dimostri di poter gestire velocemente gli attacchi. Come sa, la NIS 2 ci impone di controllare i nostri fornitori – lei li chiamerebbe responsabili esterni – scegliendo tra quelli che dimostrano di fare valutazione dei rischi, che usano la crittografia, controllano gli accessi… e tutte le altre misure che lei conosce meglio di me.»
Kaiser non se l’aspettava. Lusingato, ma sempre guardingo, rispose «Sono contento di vedere che siate al corrente degli adempimenti richiesti dalla legge, ma noi non abbiamo le risorse per investire ulteriormente in sicurezza. Un cliente come voi richiede misure che noi non siamo in grado di avere al momento…»
«Se è un problema economico, guardi la parcella che abbiamo proposto al Dottor Surici» e mostrò a Kaiser il telefono. Sullo schermo, c’era un contratto. Sul contratto, una cifra a 7 zeri. «Se accetta, Dottor Kaiser, avrà tutte le risorse per attrezzarsi e ingrandire il suo studio. Ci pensi bene. Un’occasione di questo tipo potrebbe non ricapitarle più…» gli disse la Dottoressa Smith con aria molto seria.
In quel momento arrivò un ragazzo dall’aria timida. Guardò i due DPO, poi sussurrò qualcosa nell’orecchio della donna, che subito riprese: «Buone notizie! Abbiamo inviato una squadra “di pulizia” al vostro ufficio. Non temete, ora è tutto sotto controllo. Nessuno vi disturberà più.»
Kaiser non seppe cosa pensare. Ringraziò la Dottoressa Smith, disse che avrebbe pensato alla proposta e afferrato per il braccio un Surici dall’aria inebetita – doveva essere sotto shock – lo riportò in macchina e da lì in ufficio.
Arrivarono che era quasi sera. Non c’era nessuno.
Nessuno, tranne il Babbo Natale alto 1 metro che li osservava da un angolo buio. Sembrava avere gli occhi rossi. “Ho le allucinazioni, adesso?” si disse Kaiser “Domani, lo butto!”
Quando furono davanti all’ufficio, sia Kaiser che Surici attesero un attimo prima di decidersi ad aprire. Notarono stupiti che la porta era stata riparata e che dentro era tutto in ordine, anche l’ufficio di Kaiser, nonostante la loro fuga rocambolesca. Rimisero computer e dispositivi al loro posto e si salutarono, storditi.
«A domani Andrea» gli disse Surici «Pensa all’offerta della XYZ, che una cosa così non ci ricapita più…»
Kaiser non disse nulla. L’offerta era allettante, molto allettante, ma aveva l’impressione di essere lì lì per fare un patto col diavolo… Più ci pensava, più sentiva che la cosa non era per lui. Riprese la macchina e tornò a casa.
«Sono tornato!» disse entrando.
«Sono qui!» rispose Luisa. Kaiser seguì la voce e trovò sua moglie in salotto, impegnata in un corpo a corpo col divano. Stava cercando di prendere qualcosa dietro il mobile. «Eccolo!» esclamò trionfante. Teneva tra due dita l’ultimo ago di plastica rimasto dell’albero di Natale.
«Bravissima!» le disse Kaiser, la baciò e andò in cucina.
La fetta di panettone era ancora lì dove l’aveva lasciata.
Kaiser prese l’agognato premio. Si sedette al tavolo, pronto a gustarlo. Al primo morso, però, si sentì osservato.
Alzò lo sguardo e notò qualcosa di strano. Il Babbo Natale alto 1 metro, lo stesso identico pupazzo dell’androne dell’ufficio, era proprio lì, appoggiato contro la credenza della cucina.
Gli occhi rossi sembravano brillare nella penombra.
«Luisa… per caso hai portato a casa un Babbo Natale?»
Kaiser, con una calma glaciale, prese il pupazzo con entrambe le mani e, sotto gli occhi stupefatti di Luisa, lo infilò direttamente nel bidone dell’immondizia.
Tornò al tavolo e disse: «Finalmente, a noi due!»
