La minaccia interna: che cosa occorre per essere presi sul serio?

Albert Einstein definì la pazzia come “fare la stessa cosa continuamente aspettandosi risultati diversi”.

Dopo più di un decennio di rafforzamenti della security su più livelli, consistente in politiche, procedure e tecnologia focalizzata nel ridurre il rischio che i passeggeri nascondessero esplosivo o altri articoli proibiti a bordo, abbiamo ampiamente fallito nel rispondere alla minaccia più pericolosa: l’insider.  

Nonostante questo non sia qualcosa di ignoto ai professionisti e alle autorità della sicurezza aerea, la maggior parte delle contromisure aeroportuali non si sono evolute nel rispondere alla natura adattativa e intelligente della minaccia.

Sappiamo che abbiamo bisogno di un controllo dei dipendenti al 100% e a campione. Invece stiamo continuando a fare la stessa cosa aspettandoci risultati diversi.

L’Aviazione Rimane il Target di Scelta. Se si pensa come pensa il nostro avversario, sembrerebbe logico muoversi verso un ‘soft’ target, invece di continuare a focalizzarsi sul settore dell’aviazione. Attacchi terroristici come quello a Charlie Hebdo a Parigi, in cui 12 persone furono uccise e altre 11 rimasero ferite, sembrerebbe una scelta logica.  I target, inclusi gli uffici del settimanale satirico francese, una società di produzione di segnaletica ed un supermercato kosher sono indicativi dei possibili luoghi che potrebbero attrarre l’attenzione dei terroristi. In un’ulteriore dimostrazione di capacità e potenziale, uomini armati e suicidi ispirati o diretti dall’ISIS colpirono ancora Parigi, colpendo una sala concerti, uno stadio, bar e ristorante quasi contemporaneamente, uccidendo 130 persone e ferendone a centinaia. Nonostante il successo di queste operazioni, il settore dell’aviazione rimane altamente desiderabile secondo i periodici online prodotti da alcune organizzazioni che considerano probabile un attacco.

Il principale obiettivo di un assalto asimmetrico è quello di raggiungere una ‘utilità di attacco’ desiderata, riguardante il come e dove colpire. La ‘utilità’ di un attacco è la stima delle conseguenze rispetto al valore dei target come interesse nazionale o internazionale, e l’impatto politico che l’attacco avrebbe sull’audience verso cui è rivolto. Le dichiarazioni di routine di responsabilità per gli attacchi sono significative delle mire delle organizzazioni per un aumento di notorietà e un riconoscimento globale. L’utilità più efficace per il terrorista è la paura. Ciò è particolarmente evidente quando prendiamo in considerazione aeroporti e aerei come potenziali target. Sono stati investiti bilioni per proteggere l’aviazione, tuttavia la nozione di un attacco riuscito incoraggia le società a credere che, nonostante gli investimenti in security, non si sarà mai salvi.  

L’intento è incoraggiare un popolo a chiedere un cambiamento in qualsiasi attività politica a cui si opponga un terrorista, fino ad includere paesi esca ad una guerra.

Sempre attento alle conseguenze, l’utilità pesa in modo significativo nel processo in cui il terrorista seleziona il target, le possibili strade di attacco, le metodologie e l’esecuzione.

Ogni edizione della rivista online di al-Qaeda della Penisola Araba (AQAP), Inspire, descrive dettagliatamente i metodi per compromettere le varie contromisure della sicurezza aeroportuale e le sue tecnologie.

In un recente articolo intitolato “La Bomba Nascosta – Che cosa l’America Non si Aspetta,” il pezzo offriva istruzioni per “Infrangere le Barriere della Security” affermando, “Ogni Sistema di sicurezza, sia esso umano o meccanico, ha dei punti deboli che possono essere infranti purché tu ne conosca i dettagli e i meccanismi”. Erano offerti, con istruzioni ed illustrazioni esplicite, le procedure per compromettere i metal detector (sia fissi sia mobili), i rilevatori di odori (sia biologici, sia le unità cinofile, e quelli non biologici come i rilevatori di esplosivi), le ispezioni manuali e i macchinari di controllo per immagini. Sono fornite al lettore tutte queste considerazioni per una penetrazione operativa, con il presupposto che l’opzione più efficace ed efficiente non è disponibile: un insider con conoscenza e accesso.

Lezioni imparate: due attacchi separati nel 2010 rivelarono due nuove considerazioni di sicurezza: la presenza della minaccia interna e la vulnerabilità del cargo insieme ai voli passeggeri da attaccare. In settembre AQAP rivendicò la propria responsabilità per l’abbattimento di un aereo cargo dell’UPS dopo il decollo dall’aeroporto di Dubai. Poco dopo quell’incidente, due bombe nascoste all’interno di cartucce di stampanti furono introdotte nella catena della fornitura e scoperte all’aeroporto britannico di East Midlands e a Dubai. In entrambi i casi i dispositivi presumibilmente compromisero i vari livelli di sicurezza come risultato di accesso e conoscenza delle contromisure aeroportuali, suggerendo il coinvolgimento di qualcuno che fosse straordinariamente familiare con i sistemi di sicurezza adottati.

Di crescente preoccupazione è anche la minaccia di americani che si iscrivono nei ranghi dei foreign fighters. Sono stati arrestati tre uomini del Minnesota che intendevano raggiungere l’ISIS o al-Shabaab ed è stata rilasciata la notizia che tutti lavoravano all’aeroporto ST. Paul di Minneapolis. Di conseguenza tutti avevano tesserini per l’accesso alle aree sterili e anche più sensibili dell’aeroporto, cioè quelle aree di accesso agli aerei, al cargo e ai bagagli. Per fortuna l’aeroporto non era il target e questi uomini erano più determinati a volare all’estero che infliggere un danno nel loro punto di partenza. Potremmo non essere altrettanto fortunati la prossima volta.

La natura adattativa e intelligente della minaccia è stata chiaramente dimostrata nell’abbattimento riuscito del volo 9268 della Metrojet, un volo passeggeri russo, sulla penisola del Sinai. Il dispositivo esplosivo, seppur rudimentale, era composto dalla lattina di una bevanda, un detonatore ed un interruttore, e si è rivelato letale, poiché lo schianto ha ucciso tutte le 224 persone a bordo.  Nonostante le iniziali dichiarazioni del contrario da parte del governo egiziano, la bomba è stata nascosta sull’aereo da un insider. Come prevedibile, lo Stato Islamico dell’Iraq e del Levante (ISIL) ha rivendicato la propria responsabilità per l’attacco.

Più di recente ad un individuo a bordo della Daallo Airlines in Somalia due persone vestite da dipendenti aeroportuali hanno dato un computer portatile contenete esplosivo.  Lo scambio è avvenuto dopo il controllo del passeggero all’aeroporto di Mogadiscio, da dove il volo è partito. L’ordigno è esploso a pochi minuti dal decollo, provocando una rottura nella fusoliera, uccidendo il passeggero che trasportava il dispositivo e ferendone altri due. Grazie al fatto che la bomba è esplosa a 11.000 piedi invece che a 30.000, l’aereo ha potuto atterrare in modo sicuro nell’aeroporto da cui era decollato. Possiamo dire che un terrorista è morto; comunque la questione rimane: chi ha costruito la bomba e dove si trova?

La sfida delle contromisure interdisciplinari per la comunità della sicurezza non è tanto cercare gli oggetti quanto cercare le persone pericolose.

Nel caso della Metrojet c’è stato almeno un complice all’aeroporto di Sharm el-Sheikh.

E’ meno importante preoccuparsi del fatto se un terrorista può nascondere dell’esplosivo in una lattina di soda che preoccuparsi di chi porterà quell’oggetto attraverso la security e come lo farà.  

C’è una cosa che sappiamo per certo: la sicurezza che ‘funziona come un orologio’ offre una vulnerabilità significativa. La conoscenza della localizzazione dei checkpoint della sicurezza, i protocolli e la tecnologia usata per controllare il personale aeroportuale, lascia essenzialmente la porta del retro aperta a potenziali violazioni. Ciò comincia con l’assunto, forse brutto, che gli aeroporti sono sottoposti a regolari prove di vulnerabilità. I contesti cambiano così come la minaccia e, quando quest’ultima oltrepassa la precedente, i risultati possono essere letali. Le prove di vulnerabilità fatte da validatori indipendenti spesso rivelano opzioni di penetrazione innovative non note prima agli operatori aeroportuali. Negare che “l’elemento umano” sia un’opportunità per approfittarsi del sistema è il modo più efficace per ridurre il rischio di venire a compromesso. Da tempo abbiamo detto che occorre uno sforzo internazionale per determinare come le persone che lavorano in aviazione siano controllate. Comunque, per essere efficace, questa struttura internazionale dovrebbe essere dinamica quanto la minaccia e consistere in controlli di background ripetuti, procedure di checkpoint randomizzate e dispiego di personale di security, con tecnologia a supporto. Il fatto è che gli avversari adattano il loro comportamento col tempo dell’operazione, rendendo l’attività criminale difficile da anticipare o prevenire. Le tecnologie interdisciplinari esistono e sono utilizzate dalle autorità per ottimizzare la riduzione a corto e medio tempo del crimine, con la consapevolezza che lo screening al 100% dei dipendenti può essere affrontata al meglio. Basate sull’analisi comportamentale, queste tecnologie anticipano le reazioni degli avversari e generano delle strategie di sicurezza in tempo reale. Ciò supporta le procedure dei checkpoint di sicurezza dei dipendenti che vengono collocati in luoghi non preannunciati, equipaggiati col giusto numero di personale di security e usando delle procedure che variano. La procedura di screening è ottimizzata quando supportata non dalla routine, ma da controlli di background a campione del personale aeroportuale durante tempi predeterminati dell’anno. Controlli su regolari e ripetute mancanze e mandati di arresto dei dipendenti sfociano sempre in qualcosa di nuovo.  Questo rappresenta una sfida nei confronti del probabile attentatore: localizzazione sconosciuta dello screening di sicurezza, dispiego e procedure di supporto. Comprensibilmente, ci sono sempre pretese di budget e limiti di personale del settore della sicurezza. C’è una certezza; il settore dell’aviazione continuerà ad essere preso di mira.

Allo stesso modo o forse più preoccupante è il fatto che il miglior modo per raggiungere un successo nell’attacco è assumere un dipendente.

Non abbiamo bisogno di un’altra tragedia per dimostrare che questo è possibile e reale e che dobbiamo investire sforzi e risorse nel sapere con chi stiamo lavorando e quali sono le loro intenzioni nei nostri confronti.