Analista OSINT: Ruolo, Approcci e sfide nella Cybersecurity

L’analisi delle fonti aperte (OSINT) sta diventando sempre più cruciale in un mondo connesso e complesso. Il ruolo dell’analista OSINT è strategico sia in ambito militare sia nella protezione aziendale, essendo coinvolto nella raccolta, analisi e utilizzo di informazioni pubbliche a fini difensivi e offensivi. Questo articolo esplora il contributo di questa figura alla sicurezza informatica e all’intelligence. Si tratta del settimo estratto dal white paper “Big e Fast Data: tra sfida per la sicurezza e privacy“.

Il ruolo dell’analista OSINT: Chi è e qual è il suo compito?

Il ruolo dell’analista di OSINT è cruciale nell’ambito della sicurezza informatica e dell’intelligence. Questo professionista è responsabile della raccolta, dell’analisi e dell’interpretazione delle informazioni provenienti da fonti aperte e pubbliche su internet e altre piattaforme digitali. L’analista OSINT cerca attivamente informazioni su persone, organizzazioni, eventi o argomenti specifici utilizzando una varietà di strumenti e tecniche di ricerca online. Questo può includere l’analisi di siti web, social media, forum online, blog, database pubblici e altre fonti di informazioni pubbliche. Una volta raccolte, le informazioni devono essere analizzate in modo approfondito per identificare i modelli, le tendenze e le relazioni significative. L’analista OSINT utilizza metodologie e strumenti analitici per valutare l’affidabilità, la veridicità e la rilevanza delle informazioni raccolte.

Come ha giustamente rilevato Giuseppe Galetta, in ambito militare, ad esempio, l’approccio OSINT già si configura come un’attività strategica, divisa tra fasi offensive e difensive. La raccolta di informazioni da fonti aperte costituisce un’azione offensiva, mirata a individuare il payload necessario per supportare le decisioni dei centri di comando. Al contrario, la chiusura dell’accesso al sistema informativo rappresenta un’attività difensiva, finalizzata a proteggere il vantaggio informativo acquisito. Tuttavia, questa chiusura può diventare anch’essa offensiva nel momento in cui l’informazione acquisita viene trasformata in disinformazione o informazione occulta, ingenerando così una situazione di asimmetria informativa a scapito del nemico.

Vale la pena anche sottolineare, come ha notato lo stesso Galetta, Il ciclo dell’OSINT militare (figura 13) si svolge all’interno di un circuito informativo complesso, dove l’analisi delle informazioni raccolte può richiedere ulteriori ricerche e trattamenti, senza necessariamente giungere alla fase finale di disseminazione. La metodologia di raccolta e analisi delle informazioni, come la valutazione strategica di intelligence e l’utilizzo di sistemi di preparazione del campo di battaglia, supporta il processo decisionale militare e orienta le azioni sul campo. Infine, la standardizzazione dei protocolli di estrazione e analisi, unitamente alla generazione di informazioni di valore, sono cruciali per garantire l’affidabilità dei dati e supportare le decisioni operative dei vertici militari[1].

L’ informazioni analizzate vengono elaborate e interpretate per estrarre insight significativi e utili. Questo può includere la creazione di report, mappe concettuali, diagrammi o altri strumenti per visualizzare e comunicare i risultati dell’analisi.

L’analista OSINT, che sia esso militare e/o civile, valuta anche i rischi e le minacce potenziali basati sulle informazioni raccolte e analizzate. Questo può aiutare le organizzazioni a identificare vulnerabilità e adottare misure di sicurezza appropriate per mitigare i rischi. È importante che l’analista OSINT collabori con altri professionisti della sicurezza informatica, intelligence e altre figure aziendali pertinenti per condividere informazioni rilevanti e coordinare azioni appropriate in risposta alle minacce identificate. Questo professionista svolge un ruolo fondamentale nel supportare la sicurezza e la protezione delle organizzazioni attraverso la raccolta, l’analisi e l’interpretazione di informazioni critiche provenienti da fonti aperte e pubbliche.

Approccio difensivo dell’analista OSINT

L’approccio difensivo di un analista OSINT si concentra sulla protezione delle organizzazioni e sulla mitigazione dei rischi associati alla sicurezza informatica attraverso l’analisi delle informazioni provenienti da fonti aperte e pubbliche. Identifica e monitora le minacce potenziali attraverso la raccolta e l’analisi delle informazioni disponibili pubblicamente. Questo può includere la ricerca di attività sospette, vulnerabilità dei sistemi, hacker o gruppi di hacking, violazioni dei dati e altre minacce alla sicurezza.

Basandosi sulle informazioni raccolte, l’analista OSINT valuta i rischi per l’organizzazione, inclusi quelli legati alla reputazione, alla privacy dei dati, alla sicurezza fisica e alla sicurezza informatica. Questa valutazione aiuta a priorizzare le azioni di mitigazione dei rischi. L’analista OSINT monitora costantemente le fonti aperte e pubbliche per individuare nuove minacce o cambiamenti nelle minacce esistenti. Questo monitoraggio permette una risposta rapida alle emergenze e alle potenziali vulnerabilità[2]. L’analista OSINT sviluppa intelligence sulla minaccia basata sull’analisi delle informazioni raccolte.

Questa intelligence fornisce una comprensione approfondita delle tattiche, tecniche e procedure utilizzate dagli attaccanti, consentendo alle organizzazioni di adottare misure preventive e reattive appropriate. Collabora con altri professionisti della sicurezza informatica e con le autorità competenti per condividere informazioni rilevanti sulle minacce e coordinare le risposte alle emergenze.

Questa collaborazione aiuta a migliorare la sicurezza complessiva e a ridurre il rischio di danni causati dalle minacce informatiche. L’approccio difensivo dell’analista OSINT si basa sull’identificazione, valutazione e monitoraggio delle minacce attraverso l’analisi delle informazioni disponibili pubblicamente, al fine di proteggere le organizzazioni da potenziali rischi per la sicurezza informatica.

Approccio offensivo di un analista OSINT

L’approccio offensivo dell’analista OSINT si concentra sull’utilizzo delle informazioni raccolte da fonti aperte e pubbliche per ottenere vantaggi competitivi, raccogliere intelligence e condurre operazioni di influenzamento. L’analista OSINT utilizza una vasta gamma di strumenti e tecniche per raccogliere informazioni su individui, aziende, organizzazioni e altri soggetti di interesse. Questo può includere l’analisi di profili sui social media, la ricerca di dati pubblici, l’analisi di rapporti e documenti disponibili online e altro ancora. Una volta raccolte le informazioni, l’analista OSINT le analizza per identificare modelli, tendenze e relazioni significative. Questo processo di analisi può portare alla creazione di profili dettagliati degli individui o delle organizzazioni target, comprendenti informazioni su interessi, relazioni, attività online e altro ancora.

L’analista OSINT cerca anche di identificare le vulnerabilità e i punti deboli degli individui o delle organizzazioni target. Questo può includere la ricerca di informazioni sensibili esposte online, come password, dati finanziari, informazioni personali e altro ancora, che possono essere sfruttate per scopi offensivi. Basandosi sulle informazioni raccolte e sull’analisi condotta, l’analista OSINT può pianificare e condurre operazioni di influenzamento mirate. Queste operazioni possono includere campagne di disinformazione, attività di manipolazione dell’opinione pubblica, attacchi mirati e altro ancora, al fine di ottenere vantaggi competitivi o raggiungere obiettivi specifici.

Anche nell’approccio offensivo, è importante la collaborazione e la condivisione delle informazioni con altri professionisti della sicurezza informatica e con le autorità competenti. Questo aiuta a migliorare l’efficacia delle operazioni condotte e a ridurre il rischio di essere scoperti o contrastati. Questo approccio si basa sull’utilizzo strategico delle informazioni raccolte per ottenere vantaggi competitivi, raccogliere intelligence e condurre operazioni di influenzamento mirate. Questo richiede competenze avanzate di analisi e una profonda comprensione delle dinamiche del mondo online.

Analisi di rischio su violazioni, minacce di cyberspionaggio e reati da parte dell’analista OSINT

L’analisi di rischio su violazioni, minacce di cyberspionaggio e reati svolta dall’analista OSINT implica la valutazione delle potenziali minacce e vulnerabilità che possono interessare un’organizzazione, individuo o sistema informatico.

L’analista OSINT identifica e analizza le minacce potenziali che potrebbero mettere a rischio la sicurezza informatica dell’organizzazione o dell’individuo. Ciò può includere minacce esterne, come hacker, cybercriminali, gruppi di spionaggio cibernetico sponsorizzati dallo stato, nonché minacce interne, come dipendenti non autorizzati o utenti malintenzionati.

L’analista OSINT esamina le vulnerabilità presenti nei sistemi informatici e nelle infrastrutture dell’organizzazione o dell’individuo, questo include la ricerca di falle di sicurezza, configurazioni errate, software non aggiornato, password deboli e altri punti deboli che potrebbero essere sfruttati dalle minacce identificate e monitora le tendenze e i modelli di attacco nel panorama delle minacce informatiche, include l’analisi di incidenti passati, l’identificazione di tecniche di attacco emergenti e l’osservazione dei comportamenti dei cybercriminali e dei gruppi di spionaggio cibernetico.

Costui valuta l’impatto potenziale delle minacce identificate sulle operazioni, sulla reputazione e sui dati sensibili dell’organizzazione o dell’individuo. Questa valutazione tiene conto delle possibili conseguenze finanziarie, legali e di reputazione associate a una violazione o a un attacco informatico. Nello sviluppo di strategie di mitigazione, basandosi sull’analisi condotta, l’analista OSINT sviluppa strategie di mitigazione per ridurre il rischio e proteggere l’organizzazione o l’individuo dalle minacce identificate, questo può includere l’implementazione di contromisure tecniche, la sensibilizzazione e la formazione del personale, l’adozione di politiche di sicurezza informatica e altre azioni preventive.

L’analista OSINT, inoltre, monitora costantemente il panorama delle minacce informatiche e aggiorna regolarmente l’analisi di rischio per riflettere le nuove minacce emergenti e le vulnerabilità scoperte. Questo processo di monitoraggio continuo è fondamentale per mantenere elevati i livelli di sicurezza informatica nel tempo.

L’analisi di rischio condotta dall’analista OSINT su violazioni, minacce di cyberspionaggio e reati informatici è un processo fondamentale per identificare, valutare e mitigare i rischi per la sicurezza informatica e proteggere le organizzazioni e gli individui dalle minacce online sempre più sofisticate e pervasive. Nel campo dell’analisi di intelligence, il ruolo dell’analista OSINT è fondamentale.

Questi professionisti si occupano di cercare, elaborare, analizzare e diffondere informazioni provenienti da fonti aperte. Tuttavia, il loro compito va oltre la semplice raccolta e divulgazione di dati. L’OSINT offre un prodotto che è stato sottoposto a un processo preliminare di elaborazione tecnica, che include l’eliminazione di duplicazioni, la ponderazione, il raggruppamento e la sintesi dei dati raccolti, oltre alla validazione delle fonti. Questo è cruciale per evitare decisioni basate su informazioni imprecise o errate. In pratica, questo approccio offre due vantaggi distinti.

Questa sinergia tra strumenti tecnologici e competenze umane è cruciale per ottenere risultati significativi e per garantire che le informazioni estratte dalle fonti aperte siano affidabili e rilevanti per le decisioni aziendali. L’analista OSINT gioca un ruolo chiave nella Corporate Intelligence, contribuendo in modo sostanziale alla raccolta e all’analisi di informazioni cruciali. La sua capacità di elaborare con precisione i dati provenienti da fonti aperte, insieme alla sua competenza nel pianificare e coordinare le attività OSINT, lo rende una risorsa inestimabile per qualsiasi organizzazione che miri a prendere decisioni basate su dati accurati e pertinenti.[3]

Competenze fondamentali degli operatori OSINT

Gli operatori OSINT devono possedere una vasta esperienza nella ricerca di informazioni provenienti da fonti aperte, quali siti web, social media, forum, database pubblici e documenti accessibili al pubblico. La familiarità con le varie fonti è cruciale per ottenere risultati efficaci nell’attività OSINT. È essenziale che gli operatori OSINT siano in grado di condurre ricerche avanzate utilizzando motori di ricerca specializzati, comandi booleani e strumenti avanzati per l’individuazione di informazioni rilevanti. La capacità di formulare query complesse e di utilizzare tecniche di ricerca avanzate è fondamentale per trovare informazioni cruciali.

Gli operatori OSINT devono essere in grado di valutare la credibilità e l’affidabilità delle fonti di informazioni aperte. Questo include l’identificazione di fonti autorevoli, la verifica dell’autenticità delle informazioni e la capacità di rilevare potenziali fonti di disinformazione. Una valutazione accurata delle fonti è essenziale per garantire l’affidabilità delle informazioni raccolte.

Gli operatori OSINT devono essere in grado di elaborare i dati raccolti, compresa la rimozione di duplicazioni, la normalizzazione dei dati e la sintesi delle informazioni in formati comprensibili. Questo consente loro di presentare i risultati dell’analisi in modo chiaro e conciso.

La conoscenza di più lingue e la comprensione delle diverse culture sono vantaggi significativi per gli operatori OSINT. Queste competenze consentono loro di comprendere meglio le fonti e le informazioni provenienti da diverse regioni del mondo, migliorando la qualità delle analisi. Gli operatori OSINT devono essere consapevoli delle normative sulla privacy e delle leggi sulla protezione dei dati durante la raccolta e l’uso delle informazioni.

È fondamentale rispettare i diritti delle persone e garantire la conformità alle normative vigenti in materia di privacy ed etica e devono possedere abilità comunicative efficaci per relazionare i risultati dell’analisi e collaborare con altri membri del team. La capacità di comunicare in modo chiaro e conciso è essenziale per garantire una corretta comprensione e condivisione delle informazioni.

Date le continue evoluzioni tecnologiche e delle minacce, gli operatori OSINT devono essere disposti a rimanere costantemente aggiornati sulle nuove tecniche, strumenti e tendenze nel campo dell’intelligence da fonti aperte. Il mantenimento di competenze aggiornate è fondamentale per affrontare efficacemente le sfide in evoluzione nel settore dell’OSINT.[4]

È importante, dunque, per l’azienda elaborare una strategia di sicurezza con un suo framework interno per affrontare le minacce dell’OSINT che richiede una comprensione approfondita delle diverse tipologie di minacce e dei relativi rischi giuridici associati. Le minacce includono tentativi di raccolta illecita di informazioni sensibili, manipolazione dell’immagine, sorveglianza e profilazione, ricerca di vulnerabilità, monitoraggio di progetti, violazione della privacy individuale, manipolazione dell’opinione pubblica e spionaggio industriale.

Per mitigare questi rischi, è essenziale identificare e classificare le minacce, valutare il proprio profilo OSINT, sorvegliare costantemente le fonti aperte, fornire formazione sulle pratiche di sicurezza online, gestire le informazioni sensibili, monitorare le attività online, utilizzare crittografia per proteggere le comunicazioni, collaborare con esperti OSINT e autorità competenti, sviluppare strategie di contromisura, condurre test di sicurezza interni e aggiornare continuamente le politiche di sicurezza. Dal punto di vista giuridico, è importante considerare le normative nazionali e internazionali che regolano le attività OSINT, compresi aspetti come la privacy, la sicurezza informatica, in particolare l’operatore OSINT potrebbe commettere nell’espletamento della sua attività di ricerca questi tipi di reati. Ecco una lista dettagliata:

• Raccolta Illecita di Informazioni Sensibili.

Aspetto giuridico: in base alla normativa italiana, la raccolta illecita di informazioni sensibili è sanzionata dal Codice penale. Violare la privacy altrui può configurare il reato di violazione di segreto d’ufficio (art. 326) o di accesso abusivo a un sistema informatico (art. 615 ter).

• Violazioni della Privacy e Diritto all’Autodeterminazione Informativa.

Aspetto Giuridico: la violazione della privacy è disciplinata dall’art. 167 c.p. Inoltre, il GDPR (Regolamento UE sulla protezione dei dati personali) prevede sanzioni significative per il trattamento illecito di dati personali.

• Cyberstalking e Online Harassment:

Aspetto Giuridico: il cyberstalking può configurare reati di molestia (art. 660) o stalking (art. 612 bis) nel c.p. L’harassment online può essere punito in base a queste disposizioni.

• Attacchi di Phishing Mirati con Informazioni OSINT:

Aspetto Giuridico: l’invio di e-mail fasulle per scopi fraudolenti è configurabile come truffa (art. 640) o accesso abusivo a un sistema informatico (art. 615 ter) secondo la legge italiana.

• Violazioni della Sicurezza Aziendale tramite OSINT:

Aspetto Giuridico: L’accesso non autorizzato o il danneggiamento dei sistemi informatici aziendali è sanzionato dall’art. 635 bis del c.p. Inoltre, il furto di segreti industriali (art. 623 bis) può essere pertinente.

• Attività di Cyberspionaggio utilizzando fonti aperte:

Aspetto Giuridico: Il cyberspionaggio è un reato che può configurare violazioni alla sicurezza dello Stato (art. 270 ter del c.p.). La legge italiana può prevedere sanzioni per attività di spionaggio informatico.

• Identità Falsa e Creazione di Profili Ingannevoli:

Aspetto Giuridico: L’uso di identità fittizie può configurare il reato di falsità ideologica (art. 479) o, in caso di danni, truffa (art. 640) secondo il c.p.

• Attacchi Mirati a Organizzazioni Governative:

Aspetto Giuridico: Il cyberspionaggio contro organizzazioni governative può costituire un’aggressione alla sicurezza dello Stato (art. 270 ter) o danneggiare sistemi informatici di interesse pubblico (art. 615 quater).

• Guerra Informatica o Cyber War:

Aspetto Giuridico: Attività di guerra informatica possono violare diverse norme del diritto internazionale. Infatti, la partecipazione a operazioni offensive di tipo Open Source Intelligence in una Guerra Informatica potrebbe violare diverse norme penali, sia a livello nazionale che internazionale. È importante sottolineare che la legislazione può variare notevolmente tra i paesi e che le violazioni delle norme internazionali sono spesso trattate da organizzazioni sovranazionali. Di seguito sono elencate alcune delle norme penali che potrebbero essere coinvolte:

• Spionaggio Industriale tramite Informazioni OSINT:

Aspetto Giuridico: Il furto di segreti industriali (art. 623 bis) è rilevante in caso di spionaggio industriale. La legge italiana punisce l’accesso e la divulgazione non autorizzati di segreti aziendali.

Sotto un profilo internazionale, invece, occorre menzionare le Convenzioni Internazionali, in particolare:

• Convenzione di Budapest sulla criminalità informatica:

Questa convenzione promuove la cooperazione internazionale nella lotta contro i reati informatici, inclusi quelli legati alla Guerra Informatica. La partecipazione a operazioni OSINT illegali potrebbe violare le disposizioni di questa convenzione.

• Dichiarazioni e Principi Internazionali:

Questa dichiarazione e i principi internazionali possono costituire un reato nell’ambito dell’OSINT se vengono utilizzati in modo illegale o per fini criminali. Ad esempio, diffondere informazioni false o incitare all’odio o alla violenza sulla base di questi principi potrebbe violare leggi contro la diffamazione, l’incitamento all’odio o la sedizione. L’aspetto giuridico dipende quindi dall’interpretazione e dall’applicazione delle leggi specifiche del paese in questione.

• Tallinn Manual sulla Legge Applicabile alle Operazioni di Cyber:

Questo manuale fornisce interpretazioni giuridiche delle leggi esistenti in materia di cyber warfare. L’OSINT può essere coinvolto in operazioni di cyber warfare, e le violazioni delle norme stabilite nel manuale potrebbero costituire illeciti legali.

È essenziale, dunque, per un’azienda e per i suoi operatori svolgere attività di ricerca informativa nel rispetto del quadro giuridico esistente per evitare conseguenze legali, in quanto come si è notato l’azione di ricerca delle informazioni può comportare rischi legali significativi in vari contesti normativi. È fondamentale considerare le leggi specifiche dei paesi coinvolti, poiché possono variare e definire le sanzioni applicabili. Un esempio è dato dalla Direttiva UE 2022/2555 del 14 dicembre 2022, nota come “NIS2 – Normativa in materia di Sicurezza e intelligence”, che evidenzia l’impegno del legislatore europeo sul tema della sicurezza informatica.

Conclusione

Il ruolo dell’analista OSINT è fondamentale per la sicurezza e la protezione delle organizzazioni, contribuendo alla prevenzione delle minacce e alla mitigazione dei rischi legati alla cybersecurity. La capacità di raccogliere, analizzare e utilizzare in modo strategico le informazioni aperte rende questo professionista una risorsa chiave nell’ecosistema digitale odierno.

Nel prossimo articolo esploreremo le “Sfide e strategie di sicurezza nell’ecosistema digitale interconnesso”, un tema cruciale per comprendere come affrontare le minacce sempre più sofisticate del mondo digitale. Ti invitiamo a scaricare gratuitamente e liberamente il white paper “Big e Fast Data: tra sfida per la sicurezza e privacy” per approfondire questi argomenti e ottenere una visione completa delle sfide e opportunità che la Open Source Intelligence rappresenta per la cybersecurity.

Note e Biografia:

[1] Galetta, G. (2023). Il modello Osint in ambito militare: dinamiche di open/closed access nel trattamento dell’informazione a fini strategici. Rivista di Digital Politics, 3(2), 413-442

[2] Pesci, G. (2021). L’Open Source Intelligence nella ricerca dei minori scomparsi e la prevenzione del fenomeno. CIBERSPAZIO E DIRITTO, 22(67), 121-150. Stem Mucchi Editore.

[3] Vilasi, A. C. (2018). The Intelligence Process and the Information Management. Academic Journal of Interdisciplinary Studies, 7(1), 9-18.

[4] Caligiuri, M. (2016). Cyber intelligence: tra libertà e sicurezza. Donzelli editore.

É un esperto di sicurezza informatica, con una formazione che combina conoscenze giuridiche e tecniche. Ha conseguito una laurea triennale in Operatore Giuridico di Impresa presso l’Università degli Studi de L’Aquila, seguita da una laurea magistrale in Giurisprudenza presso l’Università Telematica Pegaso. La sua formazione si arricchisce di quattro master: uno in Criminologia e Studi Forensi, uno in Programmazione e Sviluppo Backend e Frontend, un master in Cybersecurity presso l’Ethical Hacker Academy, e un master di II livello in Homeland Security presso l’Università Campus Bio-Medico di Roma.

Grazie a diverse certificazioni EIPASS, tra cui quella di Data Protection Officer (DPO/RDP), e licenze OPSWAT, ha acquisito competenze avanzate in sicurezza delle reti, protezione delle infrastrutture critiche e gestione dei dati. La sua passione per il mondo informatico e tecnologico e il costante aggiornamento professionale lo hanno reso un punto di riferimento nel settore, incluse aree emergenti come l’intelligenza artificiale.

È autore di due pubblicazioni scientifiche: “Contrasto al Terrorismo: La Normativa dell’Unione Europea” e “La Cyber Security: La Riforma Europea in Materia di Cybersicurezza ed il Cyber- Crime”, entrambe edite da Currenti Calamo.