Premessa
Nell’articolo precedente è stato trattato il tema del controllo dell’azienda nel suo insieme, per definire lo stato globale corrente, le condizioni di contorno e prendere decisioni oculate, sia strategiche, sia tattiche e sia operative. L’azienda di oggi è sempre più fondata su strumenti digitali, perciò In questo articolo tratteremo il tema del controllo della cibersicurezza (o cyber security) entro l’azienda o l’organizzazione, prendendo spunto dalla presentazione, avvenuta online il giorno 03/02/2021, del rapporto 2020 di Osservatori Digital Innovation sullo stato della cibersicurezza in Italia.
Ricordiamo che “la cibersicurezza è tutto ciò che protegge l’azienda e gli individui da attacchi intenzionali, violazioni o incidenti nei contesti tecnologici, e dalle loro conseguenze” (definizione da COBIT) e quindi comprende la sicurezza globale dei sistemi informatici, dei sistemi tecnologici ad essi connessi (reti, operational technology e automazione industriale, internet delle cose in genere…) e delle informazioni in essi contenute: oggi praticamente la totalità delle informazioni in azienda.
Il panorama è desolante, con un grande aumento dei reati informatici nel 2020 rispetto al 2019. E in più, il dato stupefacente è che la maggior parte dei problemi sorgono per causa umana. Ad esempio, perché qualcuno ha aperto un allegato “strano” di un messaggio di posta o ha installato una app “insolita” sul proprio smartphone… e questo è stato poi usato come cavallo di troia per attaccare il sistema informatico aziendale. E la necessità, in tempi brevissimi, di dover approntare tutto quanto serve per il lavoro a distanza, per non bloccare l’operatività aziendale, ha ampliato estensione e complessità dei sistemi informatici delle aziende e, nello stesso tempo, ha anche espanso la cosiddetta “superficie d’attacco”, ossia le possibilità di attacchi informatici.
La situazione
Le persone costrette a lavorare in remoto hanno di solito impiegato la propria connessione di casa e metodi di accesso remoto ai propri sistemi lavorativi.
In alcuni casi questi sistemi erano quelli interni all’azienda e non il cloud, utilizzati mediante strumenti di desktop remoto, non sempre configurati al meglio per consentire un accesso in sicurezza. Questo ha aperto la strada ad attacchi concentrati con incursioni entro le aziende.
Altre tipologie di attacco sono avvenute in modo indiretto, usando i dispositivi di casa, di solito agganciati alla stessa rete domestica attraverso cui il lavoratore da remoto accedeva ad internet e poi alla propria azienda, sfruttando il fatto che di solito questi sistemi erano configurati in modo meno protetto e più “aperto” dei normali dispositivi e PC presenti entro le aziende. Questo è ampliato dal fatto che spesso gli utenti che lavorano da casa si sentono più “al sicuro” rispetto all’azienda e pongono meno attenzione alle minacce, che nel frattempo sono anche cresciute in numero e sofisticatezza. E magari usano anche lo stesso PC di lavoro per accedere a siti, non adeguatamente sicuri, in modo “personale”…
Nello stesso tempo si è avuta l’esplosione dell’uso del cloud e molte aziende hanno usato proprio tali sistemi per consentire ai propri dipendenti di accedere alle informazioni aziendali. Ma spesso questo è stato allestito in fretta, magari senza l’adozione di appropriate politiche di gestione delle credenziali di accesso, aprendo così la strada ad altri attacchi. Si stima che nei prossimi anni circa metà degli incidenti di sicurezza con il cloud saranno dovuti ad errate configurazioni, soprattutto quelle in cui vengono attribuiti privilegi di amministratori di sistema agli utenti che non ne hanno diritto.
Inoltre, l’espansione dell’uso di strumenti IoT (Internet delle cose) e la creazione di nuovi servizi su cloud ha richiesto la scrittura un numero di righe di codice sorgente stimato in circa 100 miliardi nel solo 2020. Questa enorme complessità, foriera di fragilità, ha aperto nuove strade ai criminali informatici, come purtroppo dimostrato dal caso SolarWinds, società americana produttrice del sistema di monitoraggio reti Orion, il cui server di aggiornamento è stato oggetto di un attacco con compromissione degli aggiornamenti del software di Orion. In questo modo pirati informatici, probabilmente provenienti dalla Russia, hanno potuto trasformare i sistemi Orion, infettati dall’aggiornamento contenente il virus, in cavalli di troia verso le reti dei clienti di SolarWinds.
La consapevolezza: perché la sicurezza è necessaria
Ancora troppe aziende, piccole ma non solo, quando si tratta di prendere decisioni e investire per la propria sicurezza cibernetica, partono dal presupposto: “ma noi siamo piccoli, non siamo il pentagono… chi può avere interesse ad attaccare noi?”.
Ma è un presupposto sbagliato, perché si basa su una idea del crimine informatico non corrispondente alla realtà. Il crimine informatico è una industria illegale, redditizia e molto ben organizzata. Il crimine informatico ha sposato i modelli di business di Internet e si è organizzato per sfruttarli al meglio. In primo luogo l’obiettivo di un attacco criminale è quello di fare soldi, con minor fatica possibile e nel modo più rapido possibile.
Per questo il modello che i criminali informatici usano maggiormente (e che conduce alla maggioranza degli attacchi) è quello della “pesca a strascico”. Un possibile attacco di questo tipo è:
- i pirati informatici producono un malware (ossia un software malevolo) che si possa propagare attraverso diversi mezzi (ad esempio, posta elettronica, siti web infetti, porte di comunicazione aperte, come quelle di servizi come telecamere di sorveglianza, ecc.);
- lo propagano su Internet, ad esempio attraverso una campagna massiva di spam ben fatto e sofisticato, attraverso cui il messaggio malevolo sembra provenire da un indirizzo presente nella nostra rubrica; a tal proposito, bisogna osservare che al mercato nero dello spam un indirizzo email valido costa molto poco (anche un millesimo di euro, per cui inviarlo a 100.000 persone significa investire appena 100 euro);
- statisticamente una percentuale, non sempre bassa, di coloro che ricevono questo spam aprono l’allegato infetto; a questo punto, il malware cerca di mandare una copia di se stesso a tutti gli indirizzi in rubrica prima di scatenare la sua azione, di solito quella di crittografare tutti i dati che riesce a trovare, non solo sul PC infettato, ma all’interno di una intera rete aziendale; i malware degli ultimi anni sono molto sofisticati e fanno ricerche della presenza di backup connessi alla rete, quindi ad esempio sistemi di cartelle condivise, NAS, array di nastri e attaccano per primi i file qui contenuti;
- una volta bloccato l’accesso ai dati il malware comunica alla vittima l’avvenuto disastro e il riscatto da pagare ai pirati informatici per rientrare in possesso dei propri dati.
Gli attacchi di questo tipo sono rivolti a 360°. Ai pirati informatici non interessa chi è la vittima, non interessano i danni provocati, ma soltanto di fare soldi con i riscatti, pagati in criptovalute non rintracciabili. I pirati investono soldi (non moltissimi) nella creazione del malware (spesso fabbricato da altri pirati, su commissione) e nello spargimento inziale, tramite spam o altri canali e vogliono ottenere il massimo dei guadagni dal massimo numero di vittime possibili. Con questo approccio sono stati attaccati aziende, enti pubblici, scuole, ospedali. In Germania nell’autunno 2020 una persona è morta a causa del blocco dei sistemi informatici di un ospedale attaccato da malware di questo tipo.
Per cui iniziamo a chiederci cosa può succedere alla nostra azienda, ai nostri dati, al nostro lavoro ed alla nostra continuità operativa di servizio verso i nostri clienti nel caso in cui un attacco di questo tipo ci arrivi addosso.
Siamo preparati? Abbiamo il backup dei dati e dei sistemi? Disponiamo di una procedura di recupero dati e ripristino delle funzionalità? In quanto tempo possiamo completare il ripristino? Svolgiamo delle prove di recupero e ripristino periodicamente, così come si fanno le prove antincendio? Cosa ci garantiscono i contratti con i nostri fornitori? Che accessi fanno i nostri fornitori ai nostri sistemi?
Nel 2019 un’azienda multinazionale metalmeccanica fu attaccata in modo simile ed il malware portò alla distruzione dei dati e delle immagini dei server virtuali che li contenevano. Poco male, dissero i responsabili, abbiamo il backup di tutto. Vero, peccato che nessuno avesse mai fatto la prova del ripristino. Infatti, dopo avere ripristinato i server virtuali, fu necessario procedere al ricollegamento dei componenti applicativi fra loro, cosa che nessuno aveva mai provato. Furono necessari 15 giorni di lavoro per recuperare la piena funzionalità di tutti i sistemi, con 10 giorni di blocco totale della produzione, ed un danno stimato di 12 milioni di euro… L’azienda non ha mai dato pubblicità alla cosa.
Creare la consapevolezza
La sicurezza non è un fattore che si può demandare a solo strumenti tecnologici. Il semplice antivirus non basta. Molti degli attacchi più recenti sfruttano anche debolezze psicologiche degli utenti, ad esempio usando come veicolo mail che apparentemente offrono informazioni utili per i problemi sanitari in corso o che sembrano provenire da istituzioni come l’Agenzia delle Entrate.
Per questo occorre intervenire in modo globale, valutando la situazione di partenza dell’azienda e agendo di conseguenza:
- Sull’organizzazione, istituendo opportune procedure, tarate sui livelli di rischio dell’azienda e commisurate alle sue dimensioni;
- Sulle persone, con adeguati piani di formazione atti a creare la consapevolezza dei rischi e la conoscenza di metodi operativi per ridurli;
- Sulla tecnologia, applicando le buone pratiche di configurazione e gestione, raccomandate da istiutuzioni e standard normativi come la ISO27001;
- Sulle relazioni fra azienda e fornitori, verificando la relazione, gli aspetti contrattualistici che dovrebbero definire ruoli e garanzie reciproche.
Va aggiunto che tutte le aziende sono anche tenute, in base all’articolo 32 del GDPR, a garantire la resilienza dei sistemi che trattano dati personali per ottenere la riservatezza, l’integrità e la disponibilità di tali dati. Le aziende che operano in settori considerati critici come la sanità, la fornitura di energia elettrica, gas e acqua, sono anche soggette alla direttiva europea NIS, per cui stanno uscendo anche i decreti attuativi da parte dei vari Ministeri. Secondo la NIS, tutti i sistemi informatici devono essere garantiti funzionanti e deve essere garantito il tempestivo pieno ripristino della loro funzionalità in caso di guasto o incidente.
Quindi, gestire la cibersicurezza non è solo una necessità di business ma anche un requisito legale, per cui bisogna ottenere la conformità. Di alcuni aspetti legati a questo ci occuperemo in un prossimo articolo.
Per informazioni ulteriori puoi scriverci o contattarci.