Secondo il rapporto del SOC Fastweb 2021, nel 2020 gli eventi totali di security sono in flessione rispetto al 2019, quello che cambia è il punto di fuoco degli attacchi. L’obiettivo è la diffusione attraverso un profilo tecnico medio basso a costi contenti (tramite malware quindi) rispetto a una concentrazione altamente qualificata e molto costosa su un obiettivo specifico generalmente ben difeso e presidiato (DDoS). Gli attacchi su dispositivi personali sono aumentati del 100% e nello specifico l’aumento di questi verso gli end point è stato del 50%. La pesca a strascico, almeno in questa fase storica, sta lasciando il posto a processi di attacco che sfruttano la tecnica di hacking hands-on-keyboard. Quindi nonostante il numero complessivo di eventi dannosi sia più basso, il potenziale dannoso di questa tipologia di eventi è molto più elevato e il ripristino delle attività è molto più complesso. Ristabilire la normalità dopo un attacco ransomware può richiedere anni perché potrebbe trattarsi di un processo che va oltre la semplice decriptazione e il rispristino dei dati. Potrebbe essere necessario ricostruire da zero interi sistemi e bisogna mettere in conto un certo periodo di inattività operativa oltre all’impatto che può avere sull’attività di business.
Come la mitologica figura dell’Uroboro, il sistema criminale prende forza da sé stesso e aumenta la sua influenza in una dinamica potenzialmente infinita. Pe dipingere un quadro significativo della situazione attuale è necessario usare tre colori fondamentali; la tipologia di attacco informatico, le capacità di difendersi da questo attacco e i costi in termini di perdita economica, di credibilità e di operatività che le vittime dovranno affrontare nel caso di attacco riuscito.
Il 31% delle aziende colpito da ransomware
Il dato che deve farci riflettere ce lo fornisce lo “The State of ransomware 2021” di Sohos: nel 2020 il 31% delle aziende sono state colpite da un ransomware, di queste il 34% si è vista crittografare i propri dati perdendone la disponibilità, spessissimo avendoli ancora al loro posto, e di queste il 14% ha pagato un riscatto per riaverne la disponibilità.
Lo stato delle cose è questo e non è solo una fredda statistica per gli addetti ai lavori, è un’evidenza per i board aziendali perché non c’è imprenditore che non conosca un proprio pari che non abbia subito un danno del genere e che non abbia dovuto ricorrere a una remediation molto costosa in ordine di tempo, di risorse economiche e di credibilità sul proprio mercato.
Come testimonia l’ultimo rapporto Allianz, molti degli attacchi sono concentrati sulla supply chain e si concentrano sui fornitori di software/servizi IT usandoli per diffondere il malware (pensate a quello che è successo con Kaseya o Solarwinds), o colpiscono le supply chain fisiche o le infrastrutture critiche, come quello che ha interessato Colonial Pipeline. Per questo motivo il 41% delle aziende Italiane si aspetta un’infezione da un momento all’altro e il 58% del totale ritiene di non avere internamente professionalità o processi adatti per poter prevenire o contrastare quello che purtroppo è considerato un evento a tempo per tutti, una spada di Damocle che pende sulla testa di tutte le aziende Italiane.
Se prendiamo il dato che ci fornisce il rapporto Allianz, il tempo medio per tornare all’operatività dopo aver subito un attacco con un ransomware è di 23 giorni. Per questo motivo, oggi più di prima, è necessario considerare in maniera strutturata quali aree aziendali possono essere veicolo di possibili intrusioni, qual è la situazione attuale e quali processi devono essere messi in campo per superare e colmare le lacune di sicurezza che compromettono ed espongono l’azienda a prevedibili ma dispendiose interruzioni operative. Non è più una necessità di tipo tecnico operativo per rendersi compliant con una norma astratta, ma è una necessità di tutela sulle prospettive del business aziendale, bene primario per la salvaguardia dell’azienda stessa.
Come evitare gli incidenti da ransomware
Un’analisi preliminare sul gap richiede esperienza e competenza, oltre a una imprescindibile dose di rispetto, viste la sensibilità degli argomenti e le ripercussioni che potrebbero scatenarsi da una valutazione iniziale non coerente tra l’atteso del board e l’effettiva postura di sicurezza dell’azienda.
Nell’80% dei casi, gli incidenti da ransomware potevano essere evitati sfruttando processi semplici ma spesso trascurati quali per esempio; backup dei dati, patching regolare dei sistemi, autenticazioni multifattore, corsi di formazione, sicurezza delle informazioni, controllo costante e risposta proattiva e immediata agli eventi di sicurezza. Nello specifico, parlando di backup dei dati e dei sistemi, esistono soluzioni che permettono di gestire in modalità Cloud o Private Cloud l’intero servizio di backup e di disaster recovery, pianificando e stratificando i processi di backup direzionandoli sia localmente che su spazi Cloud direttamente gestiti dal vendor.
Conclusioni
I tempi sono maturi per un cambio generazionale accompagnato da un cambio culturale. Il 2020, oltre agli effetti epidemici organici che abbiamo tutti sotto gli occhi, ha segnato un cambio di prospettiva nel campo epidemico digitale e nello specifico tra quella parte di criminalità digitale organizzata che usa l’estorsione come arma contro la stabilità del sistema che, come una cassa automatica, è sempre più spesso costretto a sottostare alla sottrazione dei propri dati aziendali, pagando un riscatto che va da poche migliaia a diversi milioni di euro/bitcoin senza alcune garanzia di immunità futura.
In un poema del VI secolo si narra che di 100 persone che vanno alla battaglia, 10 si trovano lì per caso inconsapevoli, 80 sono la moltitudine che si fa trasportare dagli eventi, 9 sono i guerrieri che porteranno alla vittoria e 1 è colui che riporterà tutti a casa. Il ruolo delle aziende che offrono soluzioni per la security è affiancare e far evolvere queste ultime 10 figure fondamentali che da sole possono fare la differenza tra molti e portare insieme tutti salvi a casa.