Il
Controspionaggio (o Counterintelligence) comprende varie
sotto-discipline come la contro-ingerenza, la contro-influenza, ed è un settore
naturalmente non privo di rischi. Trattasi di tutta la gamma di attività volte
a conoscere, comprendere e contrastare intelligence avversarie statali o
agenzie private, per tutelare la sicurezza e gli interessi nazionali, nonché
proteggere le proprie strutture, aziende, industrie, informazioni, operazioni,
ecc.; definito come “L'aspetto della counterintelligence progettato per
rilevare, distruggere, neutralizzare, sfruttare o prevenire atti di spionaggio
attraverso l'identificazione, penetrazione, manipolazione, inganno e
repressione di individui, gruppi e organizzazioni che conducono o sospettate di
condurre attività di spionaggio.” (U.S. DoD, Dictionary of Military and
Associated Terms) e “Il Controspionaggio è intrinsecamente un'operazione
protettiva e difensiva.” (Allen Dulles, ex-Direttore CIA).
Finita
la Guerra Fredda (forse mai propriamente terminata) prese piede un nuovo tipo
di guerra: quella economica, che sconvolse l'ordine mondiale e la natura delle
vecchie agenzie di intelligence, riorganizzatesi verso i fronti tecnologico,
finanziario, commerciale, industriale, ecc., ma senza abbandonare del tutto le
operazioni “tradizionali”. In questo ambiente si è pronti a tutto avvallando
anche le leggi morali, dimostrando ogni giorno che proteggersi con mezzi
limitati è inadeguato alla realtà della guerra economica: infatti alcune
imprese che mirano a diminuire la presenza o l'influenza di un concorrente
d'ingombro oggi sanno come agire nell'ombra e si assiste così a campagne
diffamatorie, offerte pubbliche d'acquisto sfrenate, azioni di guerra
psicologica, fino al sabotaggio; sono emerse quindi agenzie di intelligence
private come Fusion GPS, Control Risks, Kroll Associates, K2 Intelligence,
S&S Global, Black Cube, Consultants on Targeted Security, e tante altre che
tra le loro fila hanno ex agenti CIA, KGB, Mossad, MI5/MI6, ecc., società che
servono da schermo per permettere ai loro committenti di rimanere nell'ombra e
di non essere sospettati e indagati. Un Paese che sa coinvolgere i propri
cittadini, professionisti, esperti, imprenditori, dirigenti aziendali/industriali,
ecc. nella guerra economica può disporre di una forza maggiore rispetto ad
altri attori internazionali creando una vera e propria comunità d'intelligence.
Prendiamo ad esempio il Giappone: lo spionaggio economico/industriale è
diventato attività nazionale, tanto che un buon 50% degli uomini d'affari che
vengono in Europa sono “gatekeeper” che informano le proprie industrie.
Diversamente da altri settori di attività, l'intelligence è una disciplina
sempre in evoluzione dove le cose non sono quasi mai “standard” difronte alle
costanti nuove sfide.
Bisogna
quindi distinguere tra lo spionaggio economico e quello industriale:
1) Spionaggio Economico: chiunque consapevolmente effettua
targeting/acquisizione di segreti commerciali a beneficio di governi, strumentazione
e intelligence stranieri. 2) Spionaggio Industriale: furto di segreti
commerciali tramite la rimozione, copia o registrazione di informazioni
confidenziali/di valore di una compagnia per uso da parte di competitors. Si
parla quindi di sottrazione, furto e trasmissione di Proprietà Intellettuale
(IP, Intellectual Property) e Business Intelligence (BI), facendo
perdere milioni, se non miliardi, di possibile fatturato alle
aziende/industrie. Tantissime grosse aziende (Ford, Google, Microsoft, Intel,
Boeing, ecc.) vengono prese di mira da opportunisti, hackers, competitors e
governi esteri, e la minaccia può essere interna (impiegati licenziati/in
dipartita), interna “inconsapevole” (ex/attuali impiegati con accesso a
informazioni che provocano danni per errore senza intenzione maligna) o esterna
(statali, attori non-statali legati anche a governi esteri, cybercriminali,
intelligence straniere ostili), per lo più per motivi finanziari, ma ce ne
possono essere infiniti. Un esempio di attori statali esterni e la Francia: ha
recentemente ammesso di piazzare dispositivi audio nella 1^ Classe/Business
Class sui voli dell'Air France; Pierre Marion, ex DGSE, alla CNN ha dichiarato
rivolgendosi agli altri Paesi “[...] Ricordatevi che mentre siamo alleati in
materia di difesa, siamo anche competitors economici nel mondo”.
Nei
prossimi articoli tratteremo vari cenni degli aspetti e metodi dello spionaggio
e del controspionaggio economico e industriale, e la protezione dei propri
assetti da detta attività.
Prima
di passare a cenni di storia e ambiti di applicazione della Metodologia CARVER,
è bene distinguere tra Analisi Obiettivi (Target Analysis, T.A.) e
Valutazione Vulnerabilità (Vulnerability Assessment, V.A.) che sono due
differenti approcci per valutare vulnerabilità di un obiettivo/assetto
bersaglio di avversari: la prima è una metodologia offensiva usata per
identificare bersagli in base ai requisiti di forze ostili che siano militari,
intelligence, criminali, terroristi, ecc.; la seconda è usata per identificare
assetti che possono essere a rischio da un avversario, individuati attraverso
l'Analisi Minacce (Threat Assessment). Sia la T.A. che la V.A. sono
effettuate parallelamente, mettendosi nei panni dell'avversario per poi
determinare le vulnerabilità degli assetti.
Che
cos'è quindi la Metodologia CARVER? La Metodologia CARVER (Criticality,
Accessibility, Recoverability, Effect, Recognizability) è il metodo
analitico per valutazione obiettivi e
loro vulnerabilità (e non solo) secondo i criteri: Criticità (singoli
punti critici e grado importanza sistema), Accessibilità (facilità
accesso/efficacia sicurezza), Recuperabilità (tempo/sforzo per
ripristino da attacchi), Vulnerabilità (livello esposizione a attacco,
basato su capacità avversarie), Effetto (scopo/magnitudo/conseguenze
impatto di azioni ostili), Riconoscibilità (abilità avversari di
riconoscere assetti e loro importanza come obiettivi). Con la scala valori (1-5
civile/intelligence e 1-10 militare/operazioni speciali) di ogni criterio, la
matrice CARVER identifica assetti ad alto rischio, li categorizza e prioritizza
valutando vulnerabilità/conseguenze, raccomandando contromisure per vari
scenari ostili per ridurre i rischi. Il CARVER è diverso da altri metodi per le
analisi qualitative-quantitative dei risultati ottenuti, permettendo di
esaminare le relazioni tra bersagli e loro protezione, basandosi su metodologie
offensive-difensive, con approccio metodico-pratico che identifica assetti/beni
più sensibili all'eventualità di un attacco. Il CARVER fu creato dall'Ufficio
Servizi Strategici (OSS, precursore CIA) nella Seconda Guerra
Mondiale con acronimo CARVE (con Recuperability e Espy),
strumento offensivo di puntamento che determina dove bombardare più
efficacemente obiettivi nemici; Espy era la probabilità di
riconoscimento obiettivo. Dal '72 al '75 (Vietnam) il CARVE fu parte importante
del modulo analitico militare. Con l'avvento del terrorismo globale il CARVE
mancava di uno strumento di valutazione vulnerabilità a scopo difensivo,
così la CIA riorganizzò il vecchio reparto SDB (Special Devices
Branch) cambiandolo in SAD (Spec. Activities Division): nel
'76 l'Agente CIA Leo Labaj col suo team di sabotatori esperti
dello Special Activities Branch sviluppano una metodologia che individui
vulnerabilità in un sistema infrastrutturale con fini offensivi-difensivi, la Defense
Against Terrorism Survey, con punteggi basati sul rapporto
probabilità/impatto di attacco: nasce la moderna Matrice CARVER
aggiungendo criteri Effect e Recognizability, trasformando l'ex
CARVE in un nuovo metodo comprendente anche la misurazione di potenziali
impatto, gravità e conseguenze di attacchi terroristici. Il CARVER si
differenzia così dalle numerose metodologie oggi in uso per la sua unicità
nella valutazione sia qualitativa sia quantitativa delle vulnerabilità di un
assetto, struttura, ecc., andando ad evidenziare i bersagli più suscettibili ad
un attacco avversario, basandosi appunto sui risultati matematici dei 6 fattori
chiave. Il rapporto finale redatto dal tecnico incaricato, Professionista
Certificato CARVER (CCAP, Certified CARVER Assessment Professional),
include anche raccomandazioni di soluzioni e contromisure in base alle sue
conoscenze ed esperienze in ambito security. La Metodologia CARVER oggi
è largamente utilizzata principalmente negli Stati Uniti: dal Department of
Defence (DoD), dalla Intelligence Community (IC), dal Department of Homeland
Security (DHS), dal California Department of Water Resources (DWR) e tanti
altri. Tale metodologia tutt'oggi è sempre più utilizzata da esperti e
professionisti civili/militari in tutto il mondo. Il CARVER ha centinaia di
applicazioni nei più svariati ambiti nel mondo civile e non ed è conosciuto e
utilizzato specialmente da: professionisti e consulenti nel campo della
security, ingegneri strutturali, militari, law enforcement e intelligence.
Nei
prossimi articoli tratteremo dei vari ambiti d'applicazione con possibilità,
vantaggi, svantaggi e caratteristiche per ogni campo in cui viene utilizzata la
Metodologia CARVER.
