Vai al contenuto principale
Articolo
18 marzo 202613 min di lettura
Threat IntelligenceMonitoringPhysical Security

Collegare i segnali online al rischio di eventi fisici

Ritratto di Christopher FitzgeraldChristopher Fitzgerald

Le minacce digitali raramente restano digitali. I team hanno bisogno di un'unica vista che colleghi l'attività ostile online con proteste, criminalità, condizioni meteo ed eventi infrastrutturali nelle vicinanze.

Scena di strada che mostra disordini civili e attività di intervento dei soccorsi

Ecco uno scenario che si verifica più spesso di quanto la maggior parte dei team di sicurezza sia disposta ad ammettere. Un analista segnala un post ostile che prende di mira un dirigente citato per nome. Il post viene registrato, si apre un ticket, e questo rimane in coda di revisione. Nel frattempo il GSOC sta seguendo una protesta che si sta formando a due isolati dall'hotel del dirigente quella sera stessa. Nessuno collega le due cose. Il dirigente entra in mezzo a una folla in cui almeno una persona arrabbiata ha già annunciato online che sarà presente.

Non è un fallimento tecnologico. È un fallimento del flusso di lavoro. E accade di continuo quando il monitoraggio digitale e il tracciamento degli eventi fisici vivono in sistemi separati, con team separati che si parlano a malapena.

Il problema del monitoraggio a compartimenti stagni

Gli analisti digitali vedono l'intento. Vedono cosa dice una persona, quanto è arrabbiata, se il linguaggio sta degenerando. Ciò che di solito non vedono è dove si trova quella persona, cosa sta accadendo fisicamente nei pressi del principal, o se il tempismo coincide con qualcosa in agenda.

I team del GSOC hanno il problema opposto. Vedono cosa succede sul campo: percorsi delle proteste, episodi criminali, impatti meteorologici sugli spostamenti, eventi di controllo degli accessi. Ciò che spesso manca loro è il contesto su chi sta proferendo minacce online, se un determinato account è fissato con il dirigente da mesi, o se la folla che si sta formando vicino alla sede include qualcuno che ha espresso apertamente l'intenzione di fare del male.

Nessuna delle due viste, da sola, è sufficiente per prendere una decisione con fiducia. L'analista che vede il post non sa che sta avvenendo in un momento critico. L'operatore del GSOC che vede la folla non sa che una persona al suo interno sta alzando i toni online da settimane. Il divario tra quei due quadri è il punto in cui gli incidenti accadono.

La ricerca di settore ha costantemente dimostrato che gli attori ostili raramente si limitano a un unico dominio. Chi segnala un intento online compare regolarmente negli ambienti fisici. Chi si comporta in modo minaccioso di persona lascia quasi sempre una traccia digitale. Trattare questi come problemi separati, gestiti da team separati, con dati separati, è il modo in cui le organizzazioni finiscono per reagire a cose che avrebbero dovuto vedere arrivare.

Che cosa serve davvero correlare

L'istinto porta di solito a buttare più dati sul problema. Più feed, più avvisi, più dashboard. Non è quella la risposta. Più dati grezzi senza struttura creano solo una più rapida assuefazione agli avvisi.

Quello che serve è un framework per decidere quali combinazioni di segnali contano, e quando.

Quattro livelli di informazione devono trovarsi nella stessa vista nello stesso momento:

  • Attività del soggetto: che cosa viene detto online, da chi, e sta degenerando? Questo include le piattaforme social, le app di messaggistica, le fonti del dark web e qualsiasi account che in passato si sia fissato sul principal o sull'organizzazione.
  • Contesto degli eventi fisici: che cosa sta accadendo in questo momento nei pressi della posizione del principal? Proteste, manifestazioni, episodi criminali, condizioni meteo severe, interruzioni infrastrutturali, grandi raduni. Ognuno di questi elementi cambia il quadro operativo.
  • Contesto del principal: dove sta effettivamente andando il principal? Percorsi, sedi, hotel, ristoranti, apparizioni pubbliche, variazioni di agenda. È il livello che rende tutto il resto rilevante o irrilevante.
  • Comportamento storico: questo soggetto ha già alzato i toni in passato? Condizioni simili hanno preceduto incidenti in passato? Il riconoscimento degli schemi qui conta enormemente e viene costantemente ignorato.

L'obiettivo non è fondere tutto questo in automatico. È dare agli analisti una sovrapposizione sufficiente per porsi la domanda giusta: questo segnale online diventa più preoccupante alla luce di ciò che sta accadendo fisicamente nelle vicinanze?

Il geofencing cambia il rapporto segnale-rumore

Uno degli strumenti più pratici per collegare il monitoraggio digitale e quello fisico è l'intelligence geolocalizzata tramite geofencing: definire perimetri geografici attorno a sedi, hotel, percorsi di trasferimento e luoghi abituali del principal, per poi filtrare i segnali in ingresso in base al fatto che provengano da quelle aree o vi facciano riferimento.

Un feed generico di monitoraggio dei social media per una città di un milione di abitanti genera un volume enorme di contenuti, quasi nessuno dei quali è operativamente rilevante per ciò che accade stasera. Un feed delimitato da un geofence attorno all'hotel e a un raggio di due isolati attorno alla sede genera una piccola frazione di quel volume, e una proporzione molto più alta di ciò che emerge merita davvero di essere letta.

I post di persone fisicamente presenti nel punto di raduno di una protesta possono arrivare da 15 a 30 minuti prima che l'attività raggiunga i canali di segnalazione ufficiali. Un contenuto geolocalizzato pubblicato da qualcuno vicino all'hotel del principal, che ha anche pubblicato contenuti ostili online, è un segnale di natura diversa rispetto a ciascuno dei due dati preso singolarmente.

Perché questo funzioni, la classificazione basata sull'IA deve collocarsi tra il feed grezzo e l'analista. Senza di essa, persino un feed geolocalizzato durante un grande evento genera più volume di quanto gli esseri umani possano utilmente esaminare in tempo reale. Una classificazione che separa i segnali di sicurezza fisica dal chiacchiericcio generico sull'evento, dagli aggiornamenti sulla folla e dai contenuti locali non pertinenti rende il feed effettivamente utilizzabile.

Come riconoscere la mobilitazione prima che diventi prossimità

La maggior parte dei framework di valutazione delle minacce si concentra su ciò che una persona dice. La domanda più difficile e più importante è se stia facendo qualcosa al riguardo.

Gli indicatori di mobilitazione sono il cambiamento da tenere d'occhio. Un soggetto che passa dall'esprimere un risentimento al fare riferimento a un evento specifico, a una data specifica o a un luogo specifico ha superato una soglia significativa. Chi fa domande sull'agenda del principal, reagisce agli annunci di apparizioni pubbliche o si coordina con altri account attorno a un risentimento condiviso è diverso da chi si limita a sfogare regolarmente la propria rabbia.

Contano anche i segnali di viaggio. Un soggetto che vive in una città e che improvvisamente pubblica di trovarsi nella stessa area metropolitana di un'imminente apparizione del dirigente, senza alcun altro motivo evidente per essere lì, merita un'analisi più attenta. Questo vale in particolare quando il tempismo coincide con un evento annunciato pubblicamente.

Il passaggio dall'intento alla prossimità è il punto in cui il contatto nel mondo reale diventa possibile. Coglierlo richiede di conoscere sia lo schema comportamentale online sia il contesto fisico di dove si troverà il principal. Nessuno dei due elementi, da solo, è sufficiente.

Il problema delle decisioni sugli spostamenti

È qui che la convergenza dimostra davvero il proprio valore. Un team di protezione sta per trasferire un principal attraverso una città. Ha un percorso pianificato. Il GSOC ha segnalato una protesta su una strada. Il monitoraggio digitale ha rilevato un'ostilità elevata da parte di account in quell'area generale. Il meteo è sereno. La protesta appare finora pacifica.

Il percorso è sicuro da percorrere? Un percorso alternativo è preferibile? Bisogna modificare gli orari? Il principal ha bisogno di una copertura aggiuntiva per questo spostamento?

Nessuna di queste domande può ricevere una risposta affidabile da un singolo flusso di dati. Servono la posizione e le dimensioni stimate della protesta, il tono e la traiettoria del chiacchiericcio online, l'agenda del principal e i suoi margini realistici di flessibilità, e una qualche percezione del fatto che questa situazione assomigli o meno a situazioni precedenti che sono degenerate oppure no.

I team che gestiscono l'intelligence digitale e quella fisica da sistemi separati devono ricostruire il contesto da zero ogni volta che devono rispondere a quella domanda. Qualcuno apre lo strumento di monitoraggio dei social, qualcun altro controlla il feed degli eventi, qualcuno chiama il GSOC. Quando il quadro è assemblato, la finestra temporale utile si è spesso già chiusa.

I team che gestiscono entrambi in una piattaforma unificata passano da «segnale interessante» a «ecco cosa significa per il piano di spostamento di stasera» senza quel passaggio di ricostruzione. Non è un guadagno di efficienza marginale. Negli scenari in cui il tempismo conta, è la differenza tra un'azione protettiva e una risposta reattiva.

Costruire indicatori e allarmi che funzionino davvero

Una cosa in cui i GSOC investono costantemente troppo poco è la costruzione di un insieme di indicatori e allarmi definiti, specifici per il profilo del proprio principal e per l'ambiente operativo. La maggior parte delle organizzazioni si accontenta di soglie di allerta generiche invece di costruire requisiti di intelligence su misura per le minacce che affronta realmente.

I requisiti informativi prioritari (PIR) sono un concetto militare che si trasferisce bene all'intelligence di protezione aziendale. Un PIR identifica che cosa serve sapere, nello specifico, per prendere una decisione, anziché limitarsi a monitorare tutto in modo generico sperando che emerga qualcosa di rilevante. Per la protezione esecutiva, un PIR potrebbe definire: quali comportamenti online, combinati con quali indicatori fisici, richiederebbero un cambio di percorso? Quale combinazione di segnali fa scattare un agente aggiuntivo in avanscoperta? Che cosa giustifica l'allerta delle forze dell'ordine?

Quando quelle soglie sono definite in anticipo e abbinate a feed di dati in grado di far emergere davvero i segnali giusti, il processo decisionale sotto pressione diventa drasticamente più rapido. Gli analisti non improvvisano sul momento. Confrontano ciò che vedono con un framework già concordato.

Che aspetto ha davvero l'integrazione interdominio nella pratica

Quando l'intelligence digitale e quella fisica convergono davvero, diventano possibili alcune cose che altrimenti non lo sarebbero.

I profili degli attori ostili possono essere arricchiti in tempo reale. Un soggetto online rimasto in coda di monitoraggio per sei mesi diventa improvvisamente rilevante dal punto di vista operativo nel momento in cui la sua posizione si sovrappone all'agenda del principal. Senza integrazione, quel collegamento viene fatto con ore di ritardo, oppure non viene fatto affatto.

I falsi positivi diminuiscono perché il contesto li filtra. Un post ostile che appare allarmante se preso isolatamente appare diverso quando l'ambiente fisico attorno al principal è tranquillo e il soggetto non mostra segnali di mobilitazione. Il contesto non aggrava sempre le cose. A volte le ridimensiona, il che è altrettanto prezioso per un team che cerca di evitare interruzioni inutili all'agenda del principal.

L'analisi post-incidente migliora. Quando tutto si trova in un unico sistema, si può guardare indietro a quali segnali erano presenti prima di un incidente e capire che aspetto aveva lo schema. È così che si affinano i propri indicatori e allarmi nel tempo, anziché continuare a eseguire lo stesso monitoraggio generico all'infinito.

Il vero problema è il divario nei flussi di lavoro

La tecnologia per il monitoraggio convergente digitale-fisico esiste. Le piattaforme che riuniscono in una vista unificata la social intelligence, i feed di eventi, i dati geolocalizzati e il contesto del principal sono disponibili e già operative nelle organizzazioni che prendono la questione sul serio.

Ciò che è più difficile da correggere è il divario nei flussi di lavoro. I team di sicurezza digitale e fisica spesso riportano a parti diverse dell'organizzazione, usano strumenti diversi e hanno ritmi operativi diversi. Gli analisti di intelligence e gli agenti di protezione non sempre condividono un vocabolario comune su cosa costituisca una minaccia credibile. I passaggi di consegne tra team durante una situazione in rapida evoluzione sono il punto in cui il contesto va perso.

La convergenza non è solo una decisione tecnologica. È una decisione operativa. Richiede di definire in anticipo quale team sia responsabile dell'escalation interdominio, quale sia il percorso di notifica quando un segnale attraversa sia il dominio digitale sia quello fisico, e quali azioni ciascun livello del framework di risposta autorizza.

Sistemate il flusso di lavoro e la tecnologia diventa estremamente potente. Lasciate il flusso di lavoro rotto, e persino la piattaforma migliore si limiterà a far emergere avvisi su cui nessuno agisce in tempo.