Cosa fare nel momento in cui si sospetta che un dipendente abbia trafugato dei dati aziendali
La minaccia spesso arriva dall’interno. Preoccupati di proteggere l’azienda dai pericoli che arrivano da Internet spesso ci si dimentica che il dipendente infedele è molto più pericoloso di un qualsiasi pirata informatico. O, almeno, molto spesso è lui che trafuga dati che non devono uscire dal perimetro dell’azienda.
Un’attività cresciuta negli anni e che ha alimentato lo sviluppo dell’informatica forense.
Quando parla di pericoli Stefano Fratepietro dell’International Information Systems Forensics Association (Iisfa), protagonista di un interessante workshop durante i giorni di Smau, fa riferimento “alle azioni clandestine tese ad acquisire informazioni di carattere riservato relative ai segreti tecnici ed economici dell’azienda”.
Un’attività che molto spesso arriva dall’interno tramite l’assunzione di qualcuno che in realtà è una spia o il tradimento di un dipendente a seguito di una offerta economica oppure per semplice frustrazione.
Secondo l’esperienza di Fratepietro “Nel 95% dei casi si tratta di tradimento”. Quando però questo accade la prima cosa da fare è congelare la situazione isolare la postazione dalla quale si presume sia stato operato il “tradimento” e rivolgersi immediatamente a un avvocato specializzato che cercherà di ricostruire le operazioni effettuate dal dipendente per dimostrare quanto accaduto in ambito dibattimentale grazie all’ausilio di un Ctp (Consulente tecnico di parte) esperto in materia.
“Fondamentale è non prendere iniziative pratico-informatiche per evitare di sporcare le tracce presenti”. Per cercare di far comprendere come muoversi in una situazione simile Fratepietro racconta del caso dove in un’azienda si sospetta il possesso di un documento informatico confidenziale da parte di un dipendente non autorizzato. Il documento risiede su un server di rete il cui accesso all’utente è vietato.
Il problema è dimostrare che l’utente ha volutamente trafugato un documento di proprietà dell’azienda e l’ha portato all’esterno.
Dopo avere “congelato” la postazione dell’utente è necessario individuare il documento (o le sue tracce) nella postazione usata dall’indagato e capire da dove proveniva.
Per questo bisogna collegare tutti i sistemi utilizzati per l’acquisizione a un gruppo di continuità e collegare la memoria da acquisire solo con dispositivi che accedono in sola lettura (write blocker o sistemi read only) in modo da poter modificare i dati neanche per sbaglio.
A questo punto si calcola l’hash del device (una sorta di firma digitale con l’esatto contenuto del dispositivo) in modo tale da garantire, a seguito di successivi controlli, la mantenuta inalterabilità del device.
Verificata che l’operazione sia andata a buon fine con gli hash di originale e copia che combaciano, si individua il file e se ne cercano le tracce ricostruendo le operazioni effettuate dal sospettato.
Il quesito fondamentale è però quello che riguarda l’eventuale trasferimento all’esterno del documento. In questo caso il dipendente aveva utilizzato una chiavetta Usb che lascia un buon numero di tracce come il numero seriale. Questo ha permesso di individuare la chiavetta e quando è stata utilizzata per prelevare il documento.
Qui termina l’attività degli investigatori digitali che, è il consiglio di Fratepietro, devono passare il tutto alle forze dell’ordine.
E non effettuare invasioni di campo.
