Il nome Disney evoca un mondo di intrattenimento per grandi e meno grandi, un modo fatato in cui gli elefanti possono volare, in cui topi, papere e cavalli coesistono e in cui c’è sempre un lieto fine.
La stessa Disney, però, così come ha riportato il Wall Street Journal lo scorso 15 luglio, è stata ancora oggetto di un attacco perpetrato da un collettivo di hacker di nome Nullbuge che si definisce animato da “sostenitori, ricercatori e attivisti impegnati per fare la differenza nella comunità creativa”.
Oltre al recente attacco malware c’è un precedente scomodo che rimanda al 2019 e che a suo tempo aveva già sollevato qualche perplessità sulle capacità di cyber difesa del gigante dell’intrattenimento che, nel 2023, ha vantato un fatturato di 88,83 miliardi di dollari (81,2 miliardi di euro) e che, conti alla mano, può permettersi investimenti corposi per garantire la sicurezza assegnando budget adeguati tanto alle infrastrutture quanto alla formazione di dipendenti e collaboratori.
Con il supporto dell’ingegnere Pierluigi Paganini, Ceo Cybhorus e Membro Ad-Hoc Working Group on Cyber Threat Landscapes – ENISA (European Union Agency for Network and Information Security), snoccioliamo l’accaduto per comprendere se il mondo Disney è veramente incantato quanto tende a fare credere.
Indice degli argomenti
Disney e l’attacco malware
Disney ha avviato indagini per ricostruire l’accaduto, confermando che il malware ha infettato il computer di un manager dell’azienda aprendo così agli hacker la possibilità di accedere al server Slack (un software per la collaborazione aziendale) trafugando 1,1 Terabyte di dati.
L’azienda si è affrettata a comunicare che il leak non ha coinvolto dati sensibili, cercando di minimizzare l’accaduto che, obiettivamente, non può essere minimizzato.
Infatti, la domanda che è opportuno porsi riguarda il grado di consapevolezza dei dipendenti della Disney, tenendo conto del fatto che, in guerra (perché le offensive degli hacker sono atti di “battaglie digitali”) si tende sempre a decapitare le unità combattenti facendo cadere chi le comanda, ossia – in termini aziendali – i manager.
In pratica, occorre comprendere quanto questa violazione contribuisca a delineare le reali capacità di difesa del gigante Disney.
A tale proposito l’ingegner Paganini evidenzia che: “Non sorprende che proprio gli executive delle aziende di ogni dimensione e Paese siano quelli più vulnerabili ad attacchi. Queste figure hanno accesso a informazion sensibili e dispongono di operazioni che potrebbero dare enormi vantaggi agli attaccanti. La realtà è che manca una cultura diffusa sulle minacce cibernetiche e sui rischi connessi. Ancora troppi executive possono non sono completamente consapevoli delle migliori pratiche di sicurezza informatica e spesso considerano le misure di protezione come un’incombenza ed un costo da ridurre. Manca la percezione della spesa in cyber sicurezza come investimento per migliorare la postura e l’efficienza della impresa”.
Scarsa consapevolezza proprio tra le figure aziendali che gli hacker mettono in cima alla lista degli obiettivi preferibili. “L’uso di password deboli o la mancata applicazione degli aggiornamenti di sicurezza sono gli errori più comuni tra i manager, seguiti dalla gestione poco oculata delle proprie credenziali “– continua l’ingegner Paganini. “Teniamo inoltre presente che comportamenti e abitudini determinano una maggiore esposizione delle figure apicali. Gli executive viaggiano di frequente, utilizzano dispositivi mobili e spesso accedono a reti non sicure, il che può esporli a rischi maggiori. Inoltre, sono meno propensi a seguire procedure di sicurezza rigorose rispetto ad altri dipendenti”.
Ancora una volta, al centro dell’intera cyber security appare l’uomo: “Per mitigare questi rischi, le aziende devono implementare politiche di sicurezza adeguate e occorre formare regolarmente gli executive sulle minacce”, spiega Pierluigi Paganini.
Non stiamo dicendo che i malware in quanto tali siano minacce facilmente debellabili, stiamo dicendo che anche la migliore infrastruttura di difesa può crollare sotto il peso dell’inconsapevolezza degli utenti.
Nel caso della Disney, inoltre, la cyber difesa sempre tutt’altro che perfetta, come dimostra quanto è accaduto nel 2019.
L’attacco brute force del 2019
Anche nel 2019, ossia un’era informatica fa, gli attacchi brute force erano più che noti e già in parte leniti se non del tutto facilmente debellabili. Va detto che, nel corso del 2023, le tecniche di questo tipo sono state riviste e affinate dagli hacker ma è anche vero che, nell’economia stessa di questa tipologia di attacchi, le password robuste sono deterrenti di qualità. In questa breve guida abbiamo spiegato come gestire le password.
Diamo quindi per scontato che, nel sempre più ampio panorama delle tecniche adottate dagli hacker, gli attacchi brute force non dovrebbero annoverare tra le vittime aziende con la capacità e le possibilità di difesa della Disney.
Infatti, come evidenzia l’ingegner Paganini: “ Da anni essere vittima di un attacco brute force è considerato una situazione in gran parte prevenibile, la disponibilità di tecniche per mitigare tali attacchi e la facile implementazione dovrebbe mettere le aziende al riparo da brutte sorprese. Tuttavia, alcuni fattori possono contribuire a perché un’organizzazione possa ancora trovarsi vittima di un attacco di questo tipo, come password deboli, mancanza di politiche di sicurezza, errori di configurazione dei sistemi di sicurezza, resistenza al cambiamento soprattutto da parte delle figure apicali, e l’uso di software o hardware obsoleti che non supporta le più recenti misure di sicurezza”.
Cosa rende simili i due attacchi subiti dalla Disney
La risposta breve è lapidaria: Disney dimostra di avere un’infrastruttura per la cyber difesa perfettibile, così come sono perfettibili le politiche che attua e condivide al proprio interno.
La versione più elaborata, affidata all’ingegner Paganini, è: “Ritengo siano attacchi profondamente diversi che però hanno trovato elementi deboli nella postura di sicurezza adottata dall’azienda.
È cruciale per aziende continuare ad investire per essere al passo con le minacce, gli attaccanti adattano le proprie tattiche, tecniche e procedure in relazione all’obiettivo ed alla sua postura di sicurezza. Questo è quanto accaduto nei due attacchi, scenari differenti ma problematiche che andavano evidentemente affrontate con diverso impegno”.
