SICUREZZA

Leonardo, a Chieti il centro per la difesa dai cyberattacchi

Il sito è operativo 24 ore su 24. Qui lavorano 180 persone e sono progettati e realizzati i servizi per proteggere le principali organizzazioni in Italia e all'estero

di Gianni Dragoni

default onloading pic
La sala operativa del «Security operation center» (Soc) di Leonardo a Chieti

Il sito è operativo 24 ore su 24. Qui lavorano 180 persone e sono progettati e realizzati i servizi per proteggere le principali organizzazioni in Italia e all'estero


4' di lettura

Su un maxischermo c’è la carta geografica di tutto il mondo di colore giallo. Dalla Russia, dall’Iran, dalla Cina, vengono sparati ininterrottamente fasci di linee tratteggiate rosse, come una pioggia di dardi, che vanno a colpire dei bersagli soprattutto in Europa, Stati Uniti, Arabia Saudita. Altri dardi partono dalla Russia verso la Cina e viceversa.

Siamo nel «Security operation center» (Soc) di Leonardo a Chieti. Una grande sala operativa che costituisce il cuore del centro per la sicurezza informatica (cyber security) del gruppo industriale della difesa e aerospazio. Qui vengono progettati e realizzati i servizi che consentono di mettere in atto i sistemi di gestione della sicurezza informatica, per primarie organizzazioni in Italia e all’estero.

Le linee rosse sparate senza interruzione evidenziano gli attacchi informatici o le minacce dirette a clienti di Leonardo. La grande cartina mondiale è la «mappa delle minacce» lanciate attraverso l’informatica. Gli specialisti di Leonardo sottolineano che da quando c’è stata l’escalation della tensione nelle relazioni tra Stati Uniti e Iran è aumentata «l’attività» di minaccia cibernetica. La Russia è uno dei paesi più attivi. E adesso è aumentata l’attività dall’Iran, contro Stati Uniti e paesi considerati vicini, come l’Arabia Saudita. Nel nostro paese è stato rilevato un incremento degli attacchi di Anonymous Italia, diretti ad obiettivi all’interno dei confini nazionali. Tra le altre sigle che lanciano campagne «malevole» ci sono Turla (Russia) e Muddywater (Iran).

«Il nostro obiettivo non è indagare su questi gruppi ma semplicemente studiare i loro comportamenti al fine di anticiparne le azioni che potrebbero avere conseguenze sui nostri clienti», puntualizzano gli esperti di Leonardo. L’attività nel Soc è divisa in cinque fasi: la prima è l’identificazione («identify»), con scambi di informazioni con il cliente a caccia di iniziative sospette; la seconda è la protezione («protect») del perimetro del cliente, con dei «firewall»; la terza è dedicata a scoprire le azioni malevole («detect»); infine la risposta e il ripristino dell’integrità («respond» e «recover») delle informazioni e dei sistemi attaccati.

Il centro è operativo 24 ore al giorno, tutti i giorni. A Chieti lavorano 180 persone, molti giovani formati già durante gli studi universitari. Il Soc dispone di 150 analisti, 80-90 sono inclusi nell’organico di Chieti, gli altri presso i clienti.

«I dispositivi di telecomunicazioni o i personal computer generano dei Log, delle informazioni, che ci vengono inviate. Ci vengono segnalati dai clienti in media 50mila eventi al secondo. I nostri sistemi di correlazione, che sono dei software, collegano queste informazioni. Se notano correlazioni che appaiono anomale, i nostri analisti le intercettano e vanno a vedere se sono dei falsi positivi o veri incidenti. Più del 60% del lavoro è gestito in automatico grazie ai nostri sistemi di automazione basati su intelligenza artificiale, così gli analisti possono concentrarsi sulle situazioni non conosciute», spiega Aldo Sebastiani, responsabile Cyber security & Digital competence center nella divisione Cyber security di Leonardo.

A fine mattinata, durante la nostra visita, al centro di Chieti sono stati rilevati 375 «incidenti», meritevoli di un’analisi approfondita.

«Il team «respond» e «recover» non si limita a intervenire se ci sono attacchi, fa anche prevenzione con attività di intelligence, per scoprire minacce e avvertire il cliente del pericolo», osserva Sebastiani. Chieti è il centro di eccellenza di Leonardo per la cyber security, all’interno della divisione Cyber, che ha 400 milioni di euro di ricavi, la sede principale è a Genova, altri siti sono a Roma.

Minacce ed attacchi cibernetici diventano sempre più insidiosi, per motivi politici o scopo di lucro (il furto di dati con richiesta di riscatto). Secondo l’ultimo rapporto Clusit, dell’Associazione italiana per la sicurezza informatica, nel mondo ci sono stati 1.552 attacchi gravi nel 2018, +38% rispetto all’anno precedente e +78% rispetto al 2014. Gli attacchi gravi in un’organizzazione fanno sì che i processi principali smettono di funzionare e possono causare una perdita di informazioni. Nel primo semestre 2019 gli attacchi gravi nel mondo sono stati 757.

Dal 2012 Leonardo è partner della Nato per la protezione sovranazionale da attacchi informatici. Garantisce la sicurezza delle informazioni e delle comunicazioni a 75 siti in 29 paesi, tra cui il quartier generale Nato. La difesa è assicurata dai centri di Chieti e da quello gemello in Gran Bretagna, a Bristol.

Leonardo inoltre guida un raggruppamento temporaneo di imprese per i servizi di sicurezza delle infrastrutture per la pubblica amministrazione. In questo ambito Leonardo ha stipulato oltre 142 contratti, con più di 102 clienti: tra cui Consip, Agid, Sogei, Inps, Inail, presidenza del Consiglio, Senato, ministeri della Difesa, dell’Interno, Esteri e Ambiente, Asl in Piemonte, Campania, Lombardia, dell’Aquila, Regione Veneto.

Tra le aziende Saipem ha chiesto protezione a Leonardo dopo un attacco ai server in Medio Oriente subìto a fine 2018. I nomi di molti clienti non vengono rivelati. Dalle mappe luminose del Soc notiamo i Comuni di Roma e di Milano, la Provincia di Viterbo, fino a obiettivi da proteggere in Australia, Brasile e Alaska. Il Soc non dorme mai.

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti