Le truffe relative ai cyber attack diventano sempre più verosimili per confondere l’utente e impossessarsi dei suoi dati, molti dei quali hanno un gran valore in termini di riscatto successivo e questa attività ha avuto un enorme aumento con l’attività di smartworking degli ultimi mesi in moltissime aziende.
Il phishing è la tecnica di ingegneria sociale che mira all’ottenimento di informazioni personali o riservate e si configura con l’invio di mail che a tutti gli effetti sembra giungere da parte di una banca (in genere la propria) o di un altro ente conosciuto. Ma siccome siamo tutti più consapevoli e più attenti, questa attività è diventata più sofisticata: ora si parla di Spear Phishing, ovvero la personalizzazione di tali mail con dati raccolti da siti di social networking o precedenti attacchi informatici. C’è poi il Whaling, sempre una forma di phishing, ma che punta ad ottenere informazioni di valore economico.
Il Ransomware, di cui abbiamo già trattato in precedenti articoli, si è anch’esso evoluto: gli attacchi recenti non si interessano più tanto ai PC, ma mirano direttamente ai server aziendali che contengono una maggiore quantità di dati e, soprattutto, di dati sensibili. La sua evoluzione è incredibile: ora parliamo di RaaS (Ransomware as a Service), un sistema basato sul concetto di SaaS (Software as a Service), che può essere acquistato dal cyber criminale con “abbonamenti”, ovvero con un modello di business per ogni evenienza – una tantum, abbonamento mensile, compartecipazione agli utili, etc. L’aspetto più rilevante è che può essere comprato e utilizzato anche da chi non ha specifiche e approfondite competenze informatiche (come quelle che possiedono un nerd o un hacker), ma che vuole lanciare o gestire un cyber attack.
Cosa ci dicono tutte queste nuove azioni di cybercrime?
Ci mettono in allerta facendoci chiaramente capire che il cybercrime è un settore in crescita, in forte espansione. Questo è stato causato e aiutato senza dubbio dall’estensione della superficie di attacco con la diffusione dello Smartworking, una condizione quasi forzata a causa dell’emergenza pandemica Covid-19 in tutto il mondo. In realtà, dovremmo parlare di lavoro da remoto o “working from home” perché, se fosse “smart”, i problemi associati a questa modalità di lavoro sarebbero ridotti in maniera significativa: ci sarebbe molta più attenzione all’organizzazione delle attività operative, nonché alla gestione della sicurezza informatica.
Sottolineiamo che il problema di sicurezza non è banale: una ricerca svolta da ESET sostiene un aumento negli attacchi al RDP (Remote Desktop Protocol) di Microsoft di 700% nel 2020.
Solo a titolo informativo, vi riportiamo alcuni esempi recenti.
Il gruppo russo che c’è dietro un’iniziativa Phishing contro una serie di organizzazioni benefiche negli USA dei giorni scorsi, apparentemente era responsabile anche dell’attacco Trojan “SolarWinds” dello scorso anno (dato Microsoft), mentre è di qualche settimana fa la notizia di un altro gruppo che ha attuato un attacco Ransomware molto importante su Colonial Pipeline, il più grande oleodotto negli Stati Uniti, creando panico ed evidenziando la fragilità dell’infrastruttura critica.
Fragilità già note, tanto che l’anno scorso la Commissione Europea ha proposto un aggiornamento alla direttiva NIS (Network and Information Systems) per migliorare la resilienza delle infrastrutture nazionali ed Europee, giudicate in uno studio del 2019 non in grado di affrontare le sfide odierne.
Ma non è solo la infrastruttura nazionale a rischio: infatti più di un gruppo di cyber-criminali ha dichiarato che non si interessa delle organizzazioni pubbliche, ma che preferisce colpire le società private poiché l’obiettivo è di guadagnare, non creare interruzioni di servizi o danni, e la via più veloce è attaccare il privato.
A supporto di queste dichiarazioni, sembra che il gruppo responsabile dell’attacco Ransomware sul sistema sanitario irlandese abbia dato le chiave per decrittare i server senza insistere sul riscatto e che anche l’attacco su Colonial Pipeline sia poi stato considerato dagli stessi cyber criminali un “errore”: hanno indirizzato l’attacco senza aver valutato che era una infrastruttura nazionale.
Dicono che sia una scelta etica, ma crediamo che la loro sia una valutazione prettamente economica: un attacco alle attività statali può generare una reazione più rischiosa (lo stato a volte ha strumenti e possibilità di intervento maggiori rispetto ad una singola azienda), mentre l’attacco contro una società privata può risultare più semplice: non può interrompere le attività per lungo tempo, pena una grande perdita di fatturato; è più probabile che un’analisi costi-benefici porti al pagamento del riscatto.
Abbiamo parlato di casi avvenuti all’estero, ma il nostro bel Paese non è di certo digiuno: secondo le statistiche a disposizione, anche gli attacchi informatici alle infrastrutture Italiane sono raddoppiati nell’ultimo anno; in particolare sia lo studio di Exprivia che quello di Kasperky dimostrano una crescita di oltre il 50% solo nel primo trimestre 2021 rispetto all’ultimo del 2020 e si riportano costi annui attribuibili ad attacchi informatici intorno a 7 miliardi di euro…a fronte di una spesa complessiva annuale per la cybersecurity di meno di 1,5 miliardi investiti … c’è margine per migliorare. Forse spendere un po’ di più in protezione può portare a ridurre le perdite economiche a causa degli attacchi…
Migliorare è necessario, soprattutto se si considera che la maggior parte del danno cagionato è dovuto alla mancata applicazione del “Best Practice”, ovvero: formazione e sensibilizzazione dei dipendenti, periodico aggiornamento dei sistemi e software, una robusta procedura per la gestione degli incidenti …
Fatto questo quadro non proprio garantista, come può proteggersi un’azienda? Come può assicurare il lavoro da remoto, o meglio trasformarlo in Smartworking? La partenza è un’attenta analisi dei rischi potenziali e dei controlli già in essere per evidenziare aree di miglioramento (rafforzamento dei controlli, lo spostamento di risorse da un’area di sovra-controllo ad un’area debole, etc.).
Un po’ come la preda che osserva il nemico e si evolve per autodifendersi, come possiamo fare lo stesso anche noi nel nostro piccolo, nelle nostre aziende? Come possiamo difenderci dai cyber attack?
Il primo passaggio resta sempre chiedersi: i nostri sistemi di accesso (anche) da remoto sono sicuri? Gli aggiornamenti di sicurezza per i vari sistemi e software vengono applicati regolarmente? I colleghi sanno riconoscere una mail di Phishing o cliccherebbero su un link sospetto e/o aprirebbero un allegato da una persona sconosciuta? E se succede qualcosa, abbiamo una procedura che ci permette di gestire l’evento in modo strutturato? Abbiamo dei backup? Siamo sicuri che funzionano?
