Cyber Security: il Pentagono organizza per il personale corsi per diventare hacker

Per innalzare il livello di sicurezza informatica delle proprie infrastrutture, il Pentagono punta sulla formazione del personale e sceglie di certificare "Ethical Hacker" gli addetti al settore della Cyber Security. Ma se fosse un'arma a doppio taglio?

L'annuncio è del 9 marzo scorso. Il Pentagono, costantemente sotto attacco da parte di hacker ubicati nei più sperduti angoli del pianeta, ha deciso di correre ai ripari e per farlo si affida ad un'organizzazione specializzata nel settore della sicurezza informatica: la statunitense Council of Electronic Commerce Consultants (EC-Council) di Albuquerque, specializzata in formazione e certificazioni nel settore dell'IT Security.

"Per battere un hacker devi imparare a ragionare come lui" con questa affermazione Sanjay Bavisi, indiano e co-fondatore e Presidente della EC-Council, sintetizza le motivazioni che hanno portato il Pentagono a scegliere la sua organizzazione per formare i dipendenti del Dipartimento della Difesa che si occupano di sicurezza informatica. Il piano di formazione, appositamente realizzato in funzione delle esigenze e delle indicazioni fornite dal Dipartimento stesso, prevede al termine di specifici percorsi formativi, una certificazione che attesta il possesso delle conoscenze informatiche riconducibili alla sicurezza delle informazioni e alla gestione dei dispositivi di sicurezza informatica.

Non sono state poche le perplessità sollevate, da diverse aree politiche e istituzionali, sulla scelta di adottare per il personale del governo, percorsi formativi mirati alla formazione di "pirati informatici", ma lo stesso portavoce del DoD statunitense, il Tenente Colonnello Eric Butterbaugh, ha affermato che "Le persone del Dipartimento coinvolte nel piano formativo, non si stanno trasformando in hackers. Stanno solo imparando a ragionare come loro per difendere e garantire la rete della loro infrastruttura". E per dare maggior rilievo alla bontà del percorso formativo, a coloro che concluderanno il corso e supereranno l'esame finale, sarà rilasciato un certificato di "Ethical Hacker" dalla stessa EC-Council.

Di sicuro, il problema della sicurezza dei sistemi informatici, soprattutto in funzione della escalation di attacchi subiti dal Governo statunitense negli ultimi mesi, rappresenta per le strutture governative un colossale incubo. Secondo un rapporto del governo americano, nel solo primo semestre del 2009, sono stati condotti quasi 45.000 attacchi informatici contro i sistemi del Dipartimento della Difesa, e nell'intero anno si è registrato un incremento degli attacchi pari al 60%, rispetto al 2008. Ma l'aspetto più singolare forse è quello riconducibile ai costi sostenuti dal DoD per fronteggiare gli attacchi subiti nel 2009: 100 milioni di dollari.

Bavisi è fermamente convinto che la strutturazione di un adeguato sistema di difesa informatica, per qualsiasi organizzazione, non può prescindere dalla questione dell'innalzamento delle competenze professionali del personale addetto. Solo un corso di formazione personalizzato, che si basi sull'apprendimento di quella che definisce "hacking art", comprensiva quindi delle conoscenze tecniche più avanzate utilizzate nei "cyberattack" (dispositivi, strumenti, e trucchi per penetrare le reti informatiche), può essere risolutivo per ridurre il problema cyber attacchi .

Ma non basta. A ciò va aggiunta la conoscenza profonda del "meccanismo mentale" tipico del pirata informatico moderno. La conoscenza della conformazione psicologica e comportamentale dell'hacker, può aiutare a capire quali siano le diverse motivazioni che lo spingono ad attaccare un sistema informatico, di come agisca e quali siano le metodologie adottate per conseguire l'obiettivo prefissato. In sostanza, la creazione di ethical hackers "interni" può essere di aiuto per l'identificazione dei possibili "buchi" o "falle" nell'infrastruttura della rete e dei sistemai presenti nell'organizzazione. Gli ethical hacker agirebbero quindi come spy friends e avrebbero il compito di identificare tutte le possibili minacce e rischi all'interno della struttura.

"Il loro unico scopo è quello di difendere la rete, anche se i mezzi per farlo sono simili a quelli utilizzati da cyberattackers" ha affermato Bavisi. Il piano di formazione per il Dipartimento della Difesa è stato accuratamente personalizzato in funzione delle specifiche esigenze dell'organizzazione governativa, ed è limitata al solo personale che opera nel settore della cybersecurity. La CE-Council dispone di ben 450 partner nel settore della sicurezza informatica e offre i propri servigi ad aziende pubbliche e private da diversi anni. Il corso di formazione prevede 40 ore di docenza frontale e lo studio di oltre 4.500 "pagine di lettura" consigliate, per apprendere tutte le ultime tecniche di attacco utilizzate dagli hacker a livello mondiale. Da notare che il personale che conseguirà il certificato di Ethical Hacker, sarà obbligato a non utilizzare le conoscenze acquisite per fini privati o per strutture diverse da quelle in cui opera. Ed è proprio su questo punto che sorgono le perplessità maggiori. Inoltre lo stesso responsabile della CE-Council conferma che "È possibile insegnare a qualcuno tagliare una mela con un coltello, ma non si può essere certi che il coltello non sia utilizzato per altri scopi!".

E' indiscutibile che un personale in possesso di elevate competenze nel settore della sicurezza informatica, costituisce un elemento di maggiore garanzia e tranquillità per i sistemi informativi di qualsiasi organizzazione a livello mondiale. Se a questo aggiungiamo anche una formazione "psicologica" in grado di aiutare a comprendere la mentalità e le metodologie di azione degli hacker, possiamo sicuramente essere certi che il piano formativo della CE-Council rappresenta un sistema ottimale per la prevenzione degli attacchi informatici. Ma come sappiamo parliamo sempre di uomini, e in quanto tali sensibili a mutazioni psicosociali di ogni genere. Come asseriva lo scrittore risorgimentale Francesco Domenico Guerrazzi "Agli uomini in genere manca la costanza nei propositi, e ciò fa si che le loro imprese quasi sempre rovinino". Speriamo bene…  CONTINUA ...»