L’azienda Eurolls è stata vittima di un attacco hacker che, sfruttando la condizione di smart working di uno dei dipendenti, ha causato il blocco del sistema operativo e l’accesso ai dati aziendali.
Non sono stati fermati gli impianti produttivi bensì la corrispondenza e il sistema di fatturazione, mentre la ripresa della piena operatività per i 149 dipendenti in Friuli ha richiesto circa un mese.
La conferma della notizia e la descrizione accurata dei fatti sono state fornite da Renato Railz, presidente e fondatore della Eurolls, un’industria con quartier generale ad Attimis e stabilimenti produttivi in Carnia, a Milano, in Messico e Brasile.
Lo stesso Railz ha ammesso la sorpresa di non aver ricevuto richieste di riscatto, per cui non dovrebbe trattarsi di un attacco ransomware. Un elemento, questo, che rende incomprensibile il danno subìto legato all’inoperatività per un mese pieno. Ed è convinto che se i dipendenti fossero stati in ufficio, forse il fatto non sarebbe accaduto.
Indice degli argomenti
Attacco hacker alla Eurolls: i dettagli dell’accaduto
L’azienda Eurolls è una industria che produce rulli in acciaio e carburo di tungsteno per la siderurgia in tutto il mondo, con un fatturato annuo di circa 29 milioni di euro e una quota export pari all’85%.
Il blocco del sistema informatico conseguente all’attacco hacker ha interessato principalmente i sistemi deputati alla corrispondenza e alla fatturazione, causando difficoltà nei rapporti con i clienti. Tuttavia, la produzione dei rulli ha potuto continuare negli stabilimenti produttivi nazionali e internazionali. Al momento dell’attacco, l’azienda era al lavoro su una commessa da 12 milioni di euro vinta negli Stati Uniti che richiedeva l’ampliamento della filale produttiva di Villa Santina.
Tutto sembra avvenuto improvvisamente, con un blocco sistematico e repentino delle infrastrutture informatiche e nonostante i sistemi di sicurezza in essere al momento dell’incidente.
Le attività di incident handling sono state perseguite immediatamente nel tentativo di proteggere i beni intangibili aziendali e blindare la propria rete informatica durante la reazione al danno provocato dall’intrusione.
Tuttavia, a partire dal blocco del sistema operativo, è stato impossibile lavorare, a causa della completa inaccessibilità ai dati dell’azienda. Molti dipendenti sono quindi stati posti in ferie forzate.
L’azienda ha sporto denuncia alla Polizia Postale. Gli specialisti incaricati delle indagini e della risoluzione hanno permesso di ricostituire il patrimonio informativo aziendale, ma i tempi di recupero hanno richiesto un intero mese.
I dettagli legati alle origini e finalità dell’attacco non sono ancora chiari, tanto che l’azienda ha dichiarato ufficialmente come non abbiano ricevuto alcuna richiesta di riscatto. Renato Railz ha confermato che per la risoluzione si sono “affidati a specialisti esterni e interni, consulenti collaboratori e quant’altro, soprattutto informatici” e che sebbene “in azienda fossero presenti sistemi per evitare problemi del genere, l’attacco è stato molto forte, molto virulento e diretto”.
Rendere sicuro lo smart working
La ricostruzione dell’attacco hacker alla Eurolls ha fatto emergere come gli attaccanti abbiano sfruttato la vulnerabilità di uno dei dipendenti che lavorava da casa.
Oggi l’attenzione alla sicurezza informatica in azienda è ancora più sentita, tanto che il presidente della Eurolls intende impegnarsi nell’adozione di sistemi informatici ancora più sofisticati, per ridurre il rischio di una nuova occasione di attacco, soprattutto in relazione alla modalità di lavoro in smart working.
L’obiettivo vorrebbe essere quello di blindare anche gli endpoint delocalizzati dall’azienda e introdurre misure di contenimento delle vulnerabilità che in questa occasione hanno causato l’ingresso degli attaccanti nel sistema aziendale.
Il commento di Alessio Pennasilico (P4I)
“Questo incidente non stupisce”, ha commentato Alessio Pennasilico, Information & Cybersecurity Advisor in P4I, “è molto simile a moltissimi altri incidenti con caratteristiche simili, in molti casi tuttavia con impatti diversi a seconda del contesto. Rafforza, se necessario, che i cyber criminali stanno sfruttando il periodo peculiare che stiamo vivendo tutti, per massimizzare l’efficacia degli attacchi, mirando ai punti deboli”.
Secondo Pennasilico, “l’approccio emergenziale di troppe organizzazioni, che ha portato a remotizzare la maggioranza della forza lavoro senza fare le dovute analisi della variazione del rischio rispetto allo smart/remote working, ha evidentemente offerto il fianco a questo tipo di attacchi proprio rispetto alle postazioni e agli utenti remoti, spesso protetti in modo meno efficace rispetto a quando lavoravano all’interno del perimetro aziendale”.
“Per affrontare queste minacce”, conclude l’analista di P4I, “è quindi necessario analizzare come sono variate le minacce per poter intraprendere la propria strategia di gestione, la più adatta rispetto al contesto anche in rapporto all’organizzazione e ai costi”.
Proteggere l’accesso degli utenti a dati e app: il commento di F5
Paolo Arcagni, Sr. Manager, System Engineering Italy & Iberia di F5 spiega che tutta la dinamica dell’attacco non dovrebbe stupire per la situazione contingente di emergenza verso lo smart working. Sostiene infatti: “Da quello che sappiamo sulla dinamica di questo attacco, gli hacker hanno sfruttato alcune vulnerabilità presenti nel PC di un dipendente che stava lavorando da casa per poi accedere ai sistemi dell’azienda, che da un giorno all’altro hanno smesso improvvisamente di funzionare.
In realtà tutto questo non stupisce; negli ultimi mesi la situazione che stiamo vivendo ha costretto le aziende a correre ai ripari cercando di fornire ai dipendenti tutte le risorse necessarie, sia logiche che fisiche, per poter continuare ad essere produttivi lavorando da casa.
Una situazione di emergenza che ha portato le aziende da una parte a dover prendere decisioni rapide e dall’altra ad accettare compromessi, rischiosi, come quelli di lasciare utilizzare laptop o smartphone personali per accedere ai sistemi senza controllarne a volte nemmeno le impostazioni di sicurezza di base.
Il problema non riguarda solo i dispositivi ma anche le reti e le connessioni che se non sono adeguatamente protette consentono ai criminali di accedere ai sistemi nascondendosi in un traffico dati sempre più elevato, che aumenta la possibilità che tali infiltrazioni non vengano rilevate per molto tempo.
Fondamentale resta quindi, in ogni contesto lavorativo, da casa o dall’ufficio, proteggere e semplificare l’accesso degli utenti alle applicazioni e ai dati analizzando il contesto, fornendo in questo modo un gateway di accesso altamente scalabile”.
L’analisi dell’attacco dal punto di vista del vendor
Nicola Voltan, CEO di Siav, (azienda che fornisce soluzioni software per la gestione dei documenti elettronici e dei processi digitali) sottolinea come l’esigenza di lavorare a distanza abbia costretto molte aziende a garantire, in pochissimo tempo, l’accesso agli applicativi aziendali anche da remoto ai propri collaboratori.
Lo smart working, che per definizione deve consentire agli utenti di poter lavorare da qualsiasi dispositivo e ovunque, è un’opportunità straordinaria, ma impone di adottare particolari accorgimenti in termini di cyber security.
Per questo motivo, continua Nicola Voltan, è necessario investire molto sulla sicurezza delle soluzioni che possono essere adottate in smart working, ed in a partire è necessario garantire la totalmente assenza da vulnerabilità in che sono in grado di compromettere la sicurezza delle informazioni.
In Siav abbiamo una certificazione che lo attesta (la Yarix), ed inoltre abbiamo adottato il Secure Remot Access, per creare connessioni protette, anche da remoto, senza richiedere interventi tecnici sull’infrastruttura aziendale, ma fornendo solo agli utenti e ai dispositivi autenticati l’accesso alle applicazioni interne desiderate, con la massima sicurezza e granularità. Accorgimenti di questo tipo possono contribuire a rendere più protetto il lavoro svolto smart working.
