I notiziari ci informano – quasi ogni giorno – in merito a cyber-attacchi condotti verso obbiettivi strategici e/o politici, sia italiani che europei.
Lo scenario cyber, già pessimo, si è notevolmente aggravato dall’inizio della guerra Russia – Ucraina, con cyber-terroristi che spesso hanno alle spalle strutture e risorse governative.
A fine 2023, come risultato di una serie di attacchi cyber sferrati, alcuni ospedali italiani hanno subìto data breach devastanti, ed un grande Cloud Service Provider della PA italiana ha avuto oltre 1500 VMs server cifrate da un ransomware.
ATTENZIONE: SE DOVETE GESTIRE UNA VIOLAZIONE DATI O DETERMINARE CON CERTEZZA SE SIA OCCORSO UN DATA BREACH, CONTATTATE IL NOSTRO TEAM DI GESTIONE DATA BREACH.
In questo panorama già gravissimo, si sono evidenziati eventi che sinora non erano ipotizzabili: anche le organizzazioni comuni, cosi come le aziende di piccole dimensioni, sono divenute obbiettivi appetibili per le cyber-gangs; a parte la palese esfiltrazione dei dati aziendali e la contestuale richiesta di riscatto, che oggi assumono immediatamente evidenza pubbica per le rivendicazioni dei gruppi, occorre ricordare che la compromissione di un server o di un servizio IT – spesso silente – lo tramuta in uno strumento a disposizione del soggetto malevolo per ulteriori azioni illecite o campagne di attacco verso terzi.
Anzi, abbiamo sperimentato nell’ultimo periodo come le infrastrutture di aziende meno strutturate siano più “appetibili”, in quanto meno protette da misure di livello adeguato al rischio, molto aumentato nell’anno trascorso.
Nelle ultime settimane abbiamo anche rilevato specifici attacchi DDOS verso innumerevoli piattaforme WEB, a seguito della diffusione di una particolare tecnica di attacco – non complessa da attuare e nello stesso tempo molto efficace – anche alla portata di soggetti con ridotte risorse e competenze.
Questa tipologia di attacco DDOS – pur essendo di difficile mitigazione – non risulta tra i peggiori attacchi che le aziende possono subire; esso ha il “vantaggio” di essere immediatamente visibile (il sito web rallenta vistosamente o si blocca del tutto).
Quindi, i peggiori attacchi subìti sono quelli invisibili, magari condotti da hacker criminali che si intrufolano nel sistema e vi permangono – latenti – anche per mesi, senza che nessuno ne abbia evidenza. L’infrastruttura diviene strumento per qualsiasi attività illecita, e la perdita dei dati è probabilmente la conseguenza meno dannosa conseguente. Il criminale è all’interno della infrastruttura informativa aziendale, e spesso potrà far leva per introdursi in altre reti secondarie o addirittura in altre organizzazioni correlate (il famoso supply-chain attack).
In caso di attacco, le contromisure che possono essere attuate nell’imminente – quindi non predisposte in precedenza – probabilmente non avranno la necessaria efficacia; la strategia che proponiamo da tempo è quella di prevenire e predisporre (comportamento proattivo) invece che intervenire e disporre a posteriori. Debbono essere progettate contro-misure automatiche di mitigazione e/o di blocco degli attacchi, in quanto nell’immediatezza dell’attacco non si possono certo compiere miracoli.
Quindi abbiamo visto che gli attacchi sono destinati a moltiplicarsi – negli ultimi anni lo scenario si è sempre aggravato – e chiunque può esserne il bersaglio.
Specialmente nelle organizzazioni di piccola e media dimensione, registriamo come spesso vi sia una sottovalutazione del rischio, e contestualmente l’adozione di misure generiche che spesso producono più danni che risultati: si ritiene che la sicurezza sia ottenibile comprando scatole.
I vari vendor IT – che molto spesso sono anche gli amministratori del sistema informatico – propongono il classico antivirus, un firewall (possibilmente economico) mancante delle necessarie funzionalità NGFW (o che nessuno sa configurare adeguatamente), con buona pace della reale sicurezza informatica e – per effetto domino – delle sicurezza generale di tutta la infrastruttura informativa.
L’aspetto peggiore di queste soluzioni inadeguate deriva dalla generazione di un falso senso di sicurezza nell’azienda; abbiamo firewall ed antivirus e siamo a posto!
Inoltre, nell’immaginario comune, si ritiene che un data breach sia causato da un problema che riguarda essenzialmente strumenti elettronici e sistemi informatici, il famoso “bug del software”.
Questo è assolutamente falso e fuorviante, in quanto – nella stragrande maggioranza dei data breach – il fattore umano è stato l’aspetto prevalente che li hanno determinati.
Quindi, prima di comprare scatole o trasferire servizi in Cloud, occorre analizzare bene l’infrastruttura, valutare le necessità ed i rischi incombenti.
Occorre essere consapevoli che spostare uno strumento in Cloud, pur ritenendosi contestualmente di trasferirne anche la responsabilità, essa non la si trasferisce: il Titolare del Trattamento permane comunque responsabile anche dei trattamenti esternalizzati, con il risultato di aver introdotto almeno un altro paio di livelli di complessità e di vulnerabilità aggiuntive, oltre ad aver perso la possibilità di reagire adeguatamente.
Questa valutazione deve essere fatta da un punto di vista complessivo, e non limitato agli aspetti tecnici (di norma un ruolo tecnico ha una visione parziale, prevalentemente tecnologica). Per questo, talvolta le soluzioni prospettate hanno addirittura peggiorato la sicurezza, invece di migliorarla. Inoltre, ogni misura da adottarsi non potrà prescindere dalla condivisione della stessa da parte di tutti gli stakeholders, e dalla loro necessaria formazione sul suo corretto funzionamento. In generale, misure coercitive adottate senza condivisione portano i soggetti a fare di tutto per superarle.
Talvolta riscontriamo come alcune misure di basso costo (o nullo), non siano state adottate, in quanto non è stata bene inquadrata la problematica sottostante, ne le relative misure di miglioramento e/o mitigazione. Come esempio portiamo la principale misura della crittografia, che è ormai disponibile in tutti gli strumenti informatici recenti.
In altre realtà, abbiamo visto alcuni consulenti – non particolarmente competenti negli aspetti tecnologici – riempire i manuali operativi di misure inefficaci e tediose; a cosa serve l’indicazione di bloccare il notebook con il cavo di sicurezza alla scrivania, quando esso è usato prevalentemente in mobilità e sulla scrivania non ci stà mai?
In caso di attacco, occorre mettere in atto misure immediate di contenimento, oltre ad adottare procedure di computer forensic per fornire alle autorità informazioni e dati tecnici adeguati e certi per svolgere le successive indagini.
Contattateci per una prima valutazione gratuita e non vincolante, in quanto la nostra visione è quella di proteggere al meglio i dati facendo investimenti con il massimo rapporto costo / benefici, possibilmente adottando soluzioni open-source che spesso superano quelle commerciali.
Mai come adesso, la protezione dei dati non è una mero adempimento di normative e regolamenti, ma è necessaria per garantire la continuità aziendale e quindi il futuro dell’azienda stessa.