Il 2021 ha mostrato valori in crescita sugli attacchi informatici: +40%, Italia (prima in Europa), registrando numeri ancora impressionanti tanto in termini quantitativi quanto qualitativi pensando ai danni che i diversi eventi (attacchi informatici, indicenti di sicurezza e data breach) hanno procurato.
I cd “pirati informatici” si sono spinti verso una nuova modalità operativa, volta più alla richiesta di riscatto (ransomware +21%) — vera e propria forma estorsiva — che ad altre lucrose attività.
In taluni casi, è stato finanche evidenziato come il “riscatto” sia stato chiesto per ben due volte (perpetrando la cd “double extortion”): una volta al soggetto al quale vengono rubati i dati, ed una seconda volta al “proprietario” dei dati stessi.
Altra “novità” dell’anno è stata rappresentata dagli attacchi alla supply chain (cd catena di fornitura). In altre parole, attaccando un fornitore “debole” si è in grado di raggiungere i clienti dello stesso, compromettendone le informazioni/dati.
Sul tema, hanno fatto scuola gli attacchi come quelli inferti a SolarWinds e Kaseya (due fornitori di piattaforme per la gestione remota dei computer), nonché al colosso automobilistico Volkswagen.
Non tratteremo di questi ultimi casi, volendoci piuttosto concentrare sugli attacchi italiani, per quanto detti eventi abbiano avuto anche una eco nazionale.
Un dato preoccupante consiste nel fatto che molti degli attacchi sono stati (troppo spesso) rivolti verso enti pubblici e, nella fattispecie, in ambito sanitario (+16%).
Anche sul fronte degli account violati, seppure in miglioramento rispetto all’anno 2020, l’Italia si colloca in dodicesima posizione, con circa 11,11 milioni di italiani vittime rispettivamente di furto di dati e credenziali di accesso, pari a circa un soggetto su cinque.
Certo, il fattore “smart working” ha, con tutta evidenza, indebolito una volta di più le misure tecniche favorendo invece i malfattori.
Ma il vero tema è che risulta ancora troppo basso il livello di consapevolezza e di attenzione su questi temi, come avremo modo di sviscerare più oltre.
Indice degli argomenti
Eventi esemplificativi, ma non certo esemplari
Concentriamoci, come detto, sul campo (di azione) nazionale, o per lo meno, il nostro intento è quello di porre l’attenzione – e quindi sensibilizzare su questi temi – circa la risonanza che gli eventi italiani o con risvolti legati al nostro Paese, hanno scaturito.
Per perseguire questo, forse ambizioso, intento prenderemo alcuni esempi di significativi e accertati data breach.
Ecco, di seguito, sotto forma tabellare, i principali attacchi/data breach (a titolo esemplificativo, ma non esaustivo).
Periodo | Società | Settore | Evento |
Aprile | Social network | 500 milioni di utenti totali impattati (non noto il numero di italiani), con furto di dati personali, inclusi quelli relativi alle carte di credito | |
Social network | 533 milioni di utenti totali impattati, con 36 milioni di italiani coinvolti, con furto di dati personali, inclusi quelli relativi alle carte di credito | ||
Aruba | Servizi tecnologici | Esposizione di dati anagrafici, di fatturazione, e di credenziali di autenticazione | |
Agosto | Regione Lazio | Pubblica Amministrazione | Vedi dettagli sotto riportati |
TIM | Telecomunicazioni | Furto di credenziali di accesso, dati anagrafici e di fatturazione | |
Accenture | Consulenza | Trafugati dati (non meglio quantificati) | |
San Carlo | Alimentare | Rubati 65GB di dati (28.000 documenti) e richiesto un riscatto di 3 milioni | |
Settembre | Maggioli | Servizi alla P.A. | Accesso alle piattaforme per la gestione delle sanzioni automobilistiche ed alla gestione amministrativa di centinaia di comuni italiani |
Ottobre | SIAE | Trafugati 70GB di dati (circa 28.000 incartamenti) | |
Novembre | Argos | Energia | Furto di dati relativi a 160.000 utenze |
Mediaworld | Commercio | Blocco dell’infrastruttura con richiesta di riscatto di 50/200 milioni | |
Dicembre | Sogin | Pubblica Amministrazione | Trafugati 800GB di dati relativi agli impianti di smaltimento di scorie nucleari, e chiesti 250.000 dollari di riscatto |
Gruppo Speroni | Industria | Trafugati 850 GB di dati |
Attacchi, incidenti, data breach: le differenze
Ora ci par utile, soffermarci sulle differenze tra questi eventi.
Attacchi informatici
Si tratta di eventi volontari, causati con l’intento di provocare incidenti e/o data breach (danni ai sistemi di elaborazione ed alle informazioni, inclusi i dati personali), al fine di consentire ai malviventi (criminal hacker) di trarne un profitto.
Ne sono un esempio, tutte quelle ipotesi in cui si possa/riesca danneggiare un sistema di elaborazione aziendale al fine di impedire di funzionare onde:
- favorire la concorrenza;
- trafugare dei dati per motivi estorsivi;
- compiere azioni eclatanti per scopi terroristici o semplicemente per far parlare di sé ecc.;
In generale, gli attacchi informatici, se vanno a buon fine, sono causa di incidenti e/o data breach (pur potendo questi ultimi avvenire, comunque).
Incidenti di sicurezza e data breach
Con il termine incidente (informatico) si intende genericamente ogni evento avente un impatto negativo sulla elaborazione delle informazioni.
Per data breach invece si suole specificamente intendere un evento impattante sui dati personali.
In buona sostanza, la differenza sostanziale tra i due termini risiede nella la tipologia di informazione impattata.
Casi emblematici: Regione Lazio e Sogin
Vediamo ora un paio di casi che riteniamo essere stati i più emblematici nell’anno 2021, o comunque degni di nota.
Regione Lazio, tra fatti e perplessità
Se ricordate, poco prima che giungessimo al periodo estivo, la notizia dell’attacco alla Regione Lazio ha conquistato tutti i notiziari e l’attenzione di tutta la nazione. A distanza di mesi la verità, almeno per noi estranei alla faccenda, è ancora abbastanza oscura (forse non a caso). Basandoci sulle ultime versioni dei fatti dichiarati, parrebbe che attraverso un computer utilizzato in smart working dal dipendente di un fornitore, si fosse propagato nella rete della Regione Lazio un malware che ha “infettato” tutti i sistemi raggiungibili (tra questi quelli sanitari), e tra questi anche tutto l’ambiente Cloud, incluse le copie di backup.
L’attacco è avvenuto tramite la diffusione di un malware (per la precisione ransomware, ossia un software malevolo in grado di cifrare i dati al fine di chiedere un riscatto per ottenere la chiave per decifrarli) che ha raggiunto un computer attraverso una e-mail di phishing.
A prescindere dai dettagli della questione, vorremmo sollevare alcune domande alle quali (provare a) dare delle risposte utili alla comprensione del tema:
- È corretto che una semplice disattenzione di un operatore, effettuata su un singolo computer, possa compromettere un intero sistema?
- È normale che un sistema “in cloud” non possa essere ripristinato in tempi ragionevoli?
- È corretto che un evento di questa natura possa definito “cyberattacco”?
- La comunicazione dei media su questo tema è stata efficace?
- Le risposte fornite dalla Regione Lazio sono accettabili?
Purtroppo, la risposta a tutte queste domande è, a nostro avviso, no.
Sogin
Sogin è la società dello Stato italiano responsabile dello smantellamento degli impianti nucleari italiani e della gestione nonchè messa in sicurezza dei rifiuti radioattivi prodotti dalle attività industriali, di ricerca e medicina nucleare.
A tale prestigiosa società, strategica a livello nazionale per la sua attività, sono stati sottratti circa 800 GB di dati.
Dati evidentemente trafugati per fini delinquenziali (estorsione, spionaggio, atti terroristici ecc.).
Come ci si difende da attacchi, incidenti e data breach
Una corretta gestione delle attività di trattamento delle informazioni (i dati personali ne sono un sottoinsieme, lo rammentiamo) è alla base di ogni principio di sicurezza.
Si sente parlare di Sicurezza delle Informazioni, indirizzata dalla norma ISO/IEC 27001 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”. Si tratta di una norma internazionale che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System).
Tale modello di gestione tende a proteggere i sistemi di elaborazione e le informazioni stesse, rispetto a tre fattori:
- riservatezza
- integrità
- disponibilità
Il GDPR pone obbiettivi di sicurezza per i dati personali, rispetto a questi tre fattori, con l’aggiunta di un quarto denominato resilienza dei sistemi.
In concreto, ogniqualvolta che nel Regolamento europeo disposto in materia di protezione dati si parla di sicurezza, ci si ispira alla ISO/IEC 27001, ed alle sue buone pratiche di gestione.
Quest’anno, tuttavia, v’è stato un uso inflazionato del termine cyber-sicurezza o “cyber security”, creando peraltro non pochi problemi di natura interpretativa, agli addetti ai lavori.
Tale termine, infatti, riconduce ad un ambito “riduttivo” rispetto agli obiettivi della ISO/IEC 27001, in quanto si occupa di resilienza, robustezza e reattività dei sistemi di elaborazione, trascurando spesso aspetti essenziali quali quelli relativi alle misure organizzative e non solo tecniche.
In definitiva, dagli attacchi/incidenti/data breach ci si difende mettendo in atto misure di sicurezza tecniche e organizzative, governate da un modello di gestione che tende a consolidarsi e migliorarsi nel tempo (rievocando il cd ciclo di Deming).
Istruzioni per l’uso: come mettersi in sicurezza
Mettere in sicurezza un sistema informatico tutt’oggi è invero una sfida importante, ma non impossibile.
Devono tuttavia sussistere tre fattori fondamentali:
- comprensione ed impegno del management (sia esso privato che pubblico);
- risorse sufficienti (sia in termini di risorse umane che strumentali);
- un modello organizzativo in grado di indirizzare al meglio quanto ai punti precedenti.
Non esistono né sussistono “scorciatoie”, la storia lo insegna da tempo: occorre diligenza e impegno.
Accorgimenti pratici
Suggeriamo anzitutto di fuggire dai cd “pifferai magici” ciarlatani e ciarlieri (lo capirete da quanto parlano a vanvera, che parlano di cybersecurity, portandovi ad acquistare prodotti e servizi che da soli non potranno assicurarvi proprio nulla).
La sicurezza informatica è come la sicurezza di una casa: occorre una buona porta blindata, dei buoni serramenti, e magari un allarme perimetrale, o una telecamera di sorveglianza, per raggiungere il giusto livello di sicurezza. Ma se solo uno degli abitanti della casa si dimentica la porta aperta, o divulga il codice dell’antifurto, sarà sufficiente ciò che è stato fatto a proteggere la casa.
La risposta ovviamente è banale, ma rende molto bene l’idea della fragilità dei nostri sistemi informatici.
Ma non è tutto.
Occorre anche consapevolezza dei rischi, capacità di reazione, sangue freddo (che nasce dall’addestramento).
Se possediamo informazioni “appetibili” cercheranno sempre di sottrarle, e le nostre misure di sicurezza dovranno costantemente adeguarsi.
Cosa fa la differenza allora in questi casi? Una cosa sola: la capacità di investimento.
Se rendiamo invece antieconomico violare i nostri sistemi, questi ultimi con ogni probabilità saranno al sicuro (a parte i casi in cui le violazioni sono atti di terrorismo e/o di guerra cibernetica).
In una battuta: vince chi investe di più, e meglio.
Conclusioni
Se ricordate o per chi ricorda, nel XIV secolo il filosofo e frate francescano Guglielmo di Occam, ha formulato un pensiero (alla base del pensiero scientifico moderno), alla quale vogliamo trarre ispirazione.
Tale illuminato pensatore sosteneva che «A parità di fattori, la spiegazione più semplice è da preferire».
Ne consegue che, alla base di questo pensiero, ci siano tre affermazioni o meglio postulati, e in particolare:
- «Entia non sunt multiplicanda praeter necessitatem.» o “Non moltiplicare gli elementi più del necessario.”;
- «Pluralitas non est ponenda sine necessitate.» o “Non considerare la pluralità se non è necessario.”;
- «Frustra fit per plura quod fieri potest per pauciora.» o «È inutile fare con più ciò che si può fare con meno.».
Alla luce di ciò, con la giusta spinta del management e il necessario apporto economico (non sproporzionato, bensì sufficiente), e con un buon modello di gestione della sicurezza, si può star tranquilli.
Le organizzazioni dovrebbero infatti comprendere come l’unico modo per combattere detta tendenza, sia quella di aumentare la consapevolezza e gli investimenti in questo settore. Non è sufficiente un semplice dispositivo o un semplice software anti-malware, ma si tratta di una costante ricerca di un eccellente livello di sicurezza ottenuto anche a livello organizzativo.
A ben guardare, l’anello debole della catena è dato, ancor più dei computer, dalla presenza di persone non istruite o mal istruite; e l’evento Sogin, su commentato, purtroppo sembrerebbe dimostrare che siamo ancora troppo distanti anche da questo obiettivo; speriamo in un repentino recupero.
