Sedici ore, in diretta streaming, negli ultimi giorni di agosto

Tra il 31 agosto e il 3 settembre 2024 due adolescenti hanno smontato il parco tecnologico dell'organizzazione che muove Londra, e ne hanno trasmesso in diretta una parte mentre lavoravano. Il 16 luglio, alla Woolwich Crown Court, il giudice Turner ha condannato Owen Flowers, 18 anni, di Walsall, e Thalha Jubair, 20 anni, di Bow, nell'est di Londra, a cinque anni e sei mesi ciascuno, una pena che incorpora già una riduzione del 15 per cento per le ammissioni di colpevolezza presentate a giugno. Entrambi sono stati processati per il loro ruolo nell'intrusione ai danni di Transport for London, l'ente responsabile della metropolitana, degli autobus e delle strade che milioni di persone usano ogni giorno.

La National Crime Agency non ha descritto questo come un caso ordinario. Paul Foster, vicedirettore dell'agenzia, ha parlato della più grande azione penale per crimini informatici mai portata davanti ai tribunali britannici, e ha inquadrato il gruppo che c'è dietro come la minaccia informatica più significativa per il Regno Unito. I due si collocano dentro la rete informale che i ricercatori chiamano Scattered Spider, lo stesso insieme associato all'attacco a MGM Resorts nel 2023 e all'ondata che ha colpito i retailer britannici nel 2025. Al solo Jubair viene contestata la compromissione di 120 reti appartenenti a 47 organizzazioni statunitensi, un'attività collegata a oltre 115 milioni di dollari di pagamenti in riscatti.

Ciò che rende il caso degno di un'ora di attenzione da parte di qualsiasi operatore non è la pena. È l'aritmetica che ci sta sotto. TfL non ha pagato un riscatto. Nessun pagamento estorsivo, nessuna trattativa, nessun trasferimento di criptovaluta verso un gruppo che aveva già dimostrato di saper entrare. L'organizzazione ha rifiutato, ha ripristinato, e ha comunque messo a bilancio un conto di circa 29 milioni di sterline, circa 33 milioni di euro. Quel numero è il prezzo onesto di questo attacco, ed è il numero che deve stare nella vostra pianificazione, perché è ciò che succede quando la risposta alla richiesta è no.

Non hanno sfondato la porta. Hanno telefonato all'helpdesk

La via d'ingresso non aveva alcuna componente esotica. Gli attaccanti hanno acquisito credenziali parziali da forum criminali, quel materiale frammentario che si accumula da anni di violazioni scollegate tra loro e che costa pochissimo. Le credenziali parziali non sono un accesso. A trasformarle in accesso è stato il passo successivo: phishing e ingegneria sociale rivolti alle persone, e un helpdesk che si poteva convincere a resettare l'autenticazione a più fattori dopo che uno degli attaccanti si era finto un dipendente. Il secondo fattore ha fatto esattamente ciò per cui era stato progettato. È stato semplicemente consegnato dal processo che esiste per aiutare il personale rimasto fuori dai sistemi.

Questa è la parte scomoda, perché il controllo che ha ceduto non compare su nessuno schema di architettura. Le organizzazioni comprano l'MFA e poi archiviano il rischio come trattato. Il rischio residuo vive nel percorso di recupero, e il percorso di recupero è un essere umano sotto pressione di tempo il cui mestiere è essere utile, valutato sulla velocità con cui smaltisce la coda, e che non ha alcun modo affidabile di dimostrare che la voce ansiosa al telefono appartenga al nome sul ticket. Ogni sistema di identità blindato al mondo esce di fabbrica con una via di eccezione, e quella via di eccezione è presidiata da qualcuno che viene misurato sulla rapidità.

Le indagini forensi mostrano un caso costruito su cose ordinarie più che su cose ingegnose. Un portatile Acer appartenente a Flowers conteneva i log degli accessi a infrastrutture remote, video e screenshot dell'attacco stesso, fogli di calcolo con le credenziali dei dipendenti di TfL, e registrazioni di pagamenti in criptovaluta che corrispondevano a ordini di cibo a domicilio recapitati al suo indirizzo. La stessa macchina portava tracce che rimandavano alle intrusioni presso gli operatori sanitari americani SSM Health e Sutter Health. Le persone che sono costate 29 milioni di sterline a un'autorità dei trasporti si facevano portare la cena nell'appartamento da cui stavano operando.

Ventottomila persone, una sola coda, nessuna scorciatoia

Ecco dove sono finiti davvero i soldi. Circa 28.000 dipendenti di TfL hanno dovuto presentarsi di persona in un ufficio perché le loro password venissero resettate da un altro essere umano in grado di vederli in faccia. Non un link via email. Non un portale self-service. Non una telefonata all'helpdesk, perché l'helpdesk era precisamente ciò di cui si era abusato. Quando è il sistema di identità stesso a essere sospetto, ogni canale remoto per dimostrare la propria identità eredita quel sospetto, e l'unico strumento che resta e che un attaccante non può falsificare su larga scala è la presenza fisica. È questo il motore del costo, ed è un problema di logistica con addosso l'etichetta della sicurezza informatica.

Fate il conto sulla vostra organizzazione, perché è spietato e nessuno lo fa in anticipo. Prendete il vostro organico. Dividetelo per il numero di persone che potreste plausibilmente identificare di persona in un'ora, su tutte le sedi che gestite, in un giorno in cui i sistemi sono fermi e al personale non si possono mandare le istruzioni per email. Quel quoziente è il vostro tempo di ripristino, e non si accorcia perché avete comprato un prodotto migliore. I 148 sistemi colpiti di TfL erano il perimetro tecnico. Ventottomila identità erano il perimetro operativo, ed è il secondo numero quello che ha fissato il conto.

Lo strascico verso i clienti è durato molto più a lungo dell'intrusione. L'attacco in sé ha coperto tre giorni alla fine di agosto. L'emissione delle travel card con foto non è tornata prima del 4 dicembre 2024, oltre tre mesi dopo, insieme ai disservizi su accessi agli account, portali clienti, applicazioni di terze parti collegate e macchine emettitrici di biglietti. Sette milioni di utenti hanno visto esposte le proprie informazioni. Un'intrusione misurata in giorni ha prodotto un'interruzione di servizio misurata in mesi, e qualsiasi consiglio di amministrazione che ragioni sui tempi di fermo partendo dalla durata dell'attacco sta leggendo il lato sbagliato della cronologia.

Solo la seconda condanna del suo genere

Il dettaglio giuridico conta più di quanto sembri. Flowers e Jubair sono stati condannati ai sensi della Section 3ZA del Computer Misuse Act 1990, la disposizione riservata agli atti non autorizzati che causano, o creano il rischio di, un danno grave di natura materiale. È soltanto la seconda condanna mai ottenuta in base a quella norma. Per 35 anni la legge ha prodotto soprattutto imputazioni per accesso abusivo e danneggiamento; la fattispecie del danno grave è rimasta quasi teorica. Ora è dimostrabilmente utilizzabile, ed è stata usata su un attacco contro i trasporti e non contro un ospedale o una centrale elettrica.

Leggetelo come un segnale su dove la magistratura britannica ritiene che passi la linea. La Section 3ZA esiste per le conseguenze sul mondo fisico e sulla vita di un paese, e una rete di trasporto pubblico si è qualificata. Qualsiasi operatore il cui blocco interromperebbe il funzionamento ordinario di una città dovrebbe dare per scontato che lo stesso ragionamento valga per un attacco ai suoi danni, il che taglia in una direzione utile: lo Stato ora tratta un'intrusione in quel tipo di infrastruttura come un reato di danno grave, ed è disposto a passare anni a costruire il fascicolo che lo dimostra.

Fissa anche un punto sulla deterrenza che i proprietari dovrebbero leggere con onestà. Cinque anni e mezzo per 29 milioni di sterline di danni e sette milioni di record esposti è una pena vera, arrivata quasi due anni dopo l'attacco, a carico di due persone di una rete che ha continuato a operare per tutto il tempo. L'azione penale è una conseguenza, non un controllo. Punisce chi l'ha fatto molto tempo dopo che il vostro ripristino è finito e i vostri soldi sono spesi, e niente in questa sentenza avrebbe accorciato la coda di TfL nemmeno di un'ora.

Quattro domande per il vostro service desk questa settimana

Il vostro helpdesk può resettare l'autenticazione a più fattori sulla base di una telefonata? Se sì, avete la vulnerabilità di TfL, qualunque cifra costi il vostro stack di sicurezza. Il rimedio è procedurale più che tecnico: pretendere un percorso di verifica che il chiamante non possa fornire a partire da frammenti rubati, per esempio la conferma tramite un responsabile su un canale noto e affidabile, un riscontro video con il fascicolo del personale, o la presenza fisica per gli account privilegiati. È più lento e il personale si lamenterà. Quella lamentela è il controllo che funziona.

Quanto tempo vi serve per re-identificare tutti? Fate la divisione. Se la risposta supera le due settimane, decidete adesso quali ruoli vengono ristabiliti per primi, perché il giorno in cui accadrà farete quel triage di corsa con un dirigente alle spalle. Mettete per iscritto l'ordine mentre è tutto calmo e noioso, e tenetelo da qualche parte che sopravviva alla perdita dei sistemi che descrive.

Che cosa si rompe per i vostri clienti, e per quanto tempo dopo che siete tornati puliti? Il ripristino interno di TfL e il suo ripristino pubblico sono stati due eventi diversi, a tre mesi di distanza. Individuate i processi che toccano i clienti e che dipendono da dati che dovreste ricostruire o riverificare, e quantificateli separatamente dal ripristino tecnico. È lì che vive il danno reputazionale, ed è lì che il numero smette di sembrare un costo IT e comincia a sembrare fatturato.