La polizia britannica ha arrestato un uomo nell'ambito dell'indagine sull'attacco informatico della scorsa settimana che ha colpito Collins Aerospace - la società che fornisce sistemi di check-in negli aeroporti - causando gravi disagi in tutta Europa. La National Crime Agency fa sapere che l'uomo, 40 anni, è stato arrestato ieri con l'accusa di reati ai sensi del Computer Misuse Act.

La pista, secondo quanto reso noto finora dagli organi investigativi dei vari Paesi coinvolti (inclusi Belgio, Francia e Germania, oltre al Regno Unito), è quella di un sospetto ransomware, cioè di un attacco informatico di probabile criminalità comune compiuto a scopo di estorsione da parte di hacker in cerca di un riscatto in denaro. L'arresto riguarda un 40enne fermato nella contea del West Sussex, in Inghilterra meridionale, secondo quanto reso noto oggi dall'agenzia investigativa che coordina le indagini su reati di una certa gravità e complessità internazionale.

L'uomo è accusato di coinvolgimento nell'incursione che ha colpito la rete informatica della società americana Collins Aerospace, i cui effetti si sono fatti sentire per giorni su diversi scali (a cui l'azienda fornisce servizi di software per i check-in e l'imbarco dei bagagli), con conseguenti ritardi sui voli. L'identità dell'arrestato resta coperta dal riserbo e l'importanza del fermo viene al momento minimizzata. “Sebbene questo arresto sia un passo positivo, va sottolineato che il lavoro investigativo sull'episodio accaduto è in una fase iniziale e resta in corso” ha messo le mani avanti Paul Foster, capo del dipartimento criminale della Nca, citato dalla Bbc.

Il software colpito

L'attacco ha sollevato preoccupazioni sulla robustezza dei sistemi alla base delle infrastrutture critiche in Europa. “Siamo a conoscenza di un'interruzione informatica del nostro software Muse in diversi aeroporti” ha dichiarato la RTX, proprietaria di Collins Aerospace, aggiungendo che l'impatto “è limitato al check-in elettronico dei clienti e alla consegna dei bagagli”. Muse, il software colpito, consente a diverse compagnie aeree di utilizzare gli stessi banchi del check-in e gate d'imbarco in un aeroporto, anziché averne di propri.

La Bbc ha riferito che British Airways opera normalmente utilizzando un sistema di backup, ma che la maggior parte delle altre compagnie aeree con voli a Heathrow sono state colpite. L'Agenzia europea per la sicurezza aerea, Eurocontrol, ha chiesto agli operatori aerei di cancellare metà dei loro voli da e per l'aeroporto londinese tra le 4:00 gmt (le 6:00 in Italia) di sabato e le 2:00 di lunedì (le 4:00 in Italia), a causa del disagio. L'aeroporto di Dublino ha dichiarato che, insieme a quello di Cork, ha subito un “impatto minore”, con alcune compagnie aeree che hanno implementato procedure di check-in manuali.

L'Italia non è stata colpita direttamente e solo pochi voli dagli aeroporti di Fiumicino e Ciampino hanno subito ritardi contenuti.

Criminalità o guerra ibrida?

L'azione non è stata al momento rivendicata e la Collins Aerospace non ha fornito una versione ufficiale dell'accaduto. È ancora troppo presto per sapere chi si cela dietro quest'ultimo attacco. Alcuni esperti di sicurezza informatica avevano ipotizzato che si trattasse di un attacco ransomware, ma è importante sottolineare che queste aggressioni possono essere perpetrate anche da attori sponsorizzati da Stati. Più di una volta, i sospetti sono caduti su hacker russi o cinesi. Ma tutti i principali attacchi informatici degli ultimi anni sono stati perpetrati da bande criminali più interessate a estorcere denaro alle proprie vittime, fa notare la Bbc.

L'azienda colpita: 80mila dipendenti nel mondo

I disagi che hanno interessato i principali aeroporti europei sono legati a un'azienda americana di aviazione e difesa, Collins Aerospace, uno dei maggiori fornitori mondiali di prodotti aerospaziali e di difesa e che dota di sistemi di check-in e imbarco per diverse compagnie aeree in diversi aeroporti di tutto il mondo.

Nata nel 2018 dalla fusione di Rockwell Collins e UTCA aerospace Systems, ha il quartier generale a Charlotte, nella Carolina del Nord, ed è una sussidiaria di RTX Corporation. Conta più di 80mila dipendenti, di cui circa 20mila nel settore ingegneristico e ha oltre 250 sedi in tutto il mondo. Il suo portafoglio di vendite si suddivide tra un 65% di natura commerciale e un 35% nel settore della Difesa.

La brochure della società indica 28,3 miliardi di dollari come dato sulle vendite al 2024 e 4 miliardi di dollari in investimenti annuali.  

“Siamo venuti a conoscenza di un'interruzione informatica del nostro software Muse in aeroporti selezionati” ha dichiarato Collins Aerospace in risposta all'episodio. “L'impatto è limitato al check-in elettronico dei clienti e alla consegna bagagli e può essere mitigato con operazioni di check-in manuali” hanno aggiunto dall'azienda.

Cos'è la direttiva NIS2 (Network and Information Security 2), il quadro normativo europeo per la cybersicurezza

Gli aeroporti sono da tempo segmentati e dotati di sistemi di sicurezza a più livelli, ma la dipendenza da provider esterni resta un punto debole strutturale, come spiega il sito ‘CyberSEcuruty360’. Quando l'elemento critico non è interno ma si trova nel cloud di un partner, i margini di contenimento immediato sono ridotti.

Anche se non risulta che i sistemi di controllo del traffico aereo o l'avionica siano stati colpiti, l'attacco è bastato per rendere inutilizzabili i sistemi automatizzati che gestiscono le operazioni di check-in, stampa delle carte d'imbarco e bag-drop, consentendo solo procedure manuali di check-in e imbarco. Questo significa che gli operatori hanno dovuto controllare i documenti, inserire le prenotazioni nei sistemi e stampare carte d'imbarco a mano con la conseguenza di lunghe code e ritardi. Questo perchè i passeggeri arrivano in ritardo ai gate, le procedure di sicurezza richiedono più tempo e le compagnie aeree devono adattare i piani di imbarco.    

L'attacco ha evidenziato ancora una volta la fragilità della catena di fornitura digitale e dimostra l'importanza della direttiva NIS2 (Network and Information Security 2), il quadro normativo europeo per la cybersicurezza che punta proprio a uniformare e rafforzare il livello di sicurezza delle infrastrutture digitali e dei servizi critici in tutti gli Stati membri dell'Ue. La direttiva richiede agli aeroporti di garantire il rilevamento e la mitigazione degli effetti degli incidenti e la continuità operativa e impone requisiti di sicurezza più stringenti.

I disagi

Londra Heathrow, Bruxelles e Berlino hanno registrato sabato e domenica ritardi e cancellazioni. Dalla serata di venerdì, le compagnie aeree sono state costrette a tornare al check-in manuale, con oltre 70 voli cancellati tra sabato e domenica e centinaia di partenze in ritardo. Gli scali hanno invitato i passeggeri a verificare lo stato dei voli prima di partire e a non presentarsi troppo in anticipo, mentre Collins - controllata dal colosso Rtx - ha assicurato di essere al lavoro per ripristinare al più presto la piena funzionalità del sistema. A Bruxelles ogni volo risultava in ritardo fino a quattro ore, a Berlino si segnalavano attese prolungate ai banchi, mentre Heathrow ha rafforzato il personale per gestire l'emergenza, pur sottolineando che il problema “era al di fuori del nostro controllo”.