Non si è fatta attendere la risposta degli Stati Uniti d’America all’attacco ransomware all’oleodotto di Colonial Pipeline: il presidente Joe Biden ha infatti firmato un ordine esecutivo per mettere in sicurezza le infrastrutture critiche USA.
L’obiettivo è rafforzare la resilienza di imprese private e autorità federali creando le condizioni affinché siano pronte a fronteggiare minacce cyber che, negli ultimi tempi, hanno colpito in maniera frequente e massiccia gli Stati Uniti.
L’ordine esecutivo di Biden segue l’annuncio di giovedì scorso con cui Colonial Pipeline ha comunicato di aver ripristinato l’intero sistema di conduttore dell’oleodotto, anche se ad oggi la catena di fornitura del prodotto non sembra essere ancora tornata alla normalità. Analizziamone i punti chiave cercando di trarne alcune lezioni utili per rafforzare la propria esposizione cyber prima che accada un grave incidente.
Indice degli argomenti
Come si è arrivati all’ordine esecutivo di Joe Biden
L’oleodotto della Colonial Pipeline sottoposto all’attacco informatico, lo ricordiamo, è uno dei più importanti dell’azienda: esteso per circa novemila chilometri dal Texas fino a New York, si occupa di rifornire il 45% delle richieste di carburante della costa orientale statunitense ed è il principale sostentamento per l’approvvigionamento della città di New York.
Durante l’attacco ransomware, i cyber criminali erano entrati in possesso di circa 100 gigabyte di dati confidenziali e per questo motivo, temendo che queste informazioni consentissero agli attaccanti di sferrare un ulteriore attacco alle parti sensibili dell’oleodotto, l’azienda aveva messo in atto la misura precauzionale più drastica: interrompere ogni attività dell’oleodotto.
Gli impatti di questa scelta non si sono fatti attendere. Non potendo ipotizzare con certezza per quanto tempo l’oleodotto sarebbe rimasto inattivo, la maggiore preoccupazione ha riguardato una eventuale interruzione prolungata che avrebbe provocato un grave problema di forniture delle zone interessate, coinvolgendo milioni di cittadini statunitensi. Cinque giorni dopo l’annuncio dell’attacco, il prezzo medio nazionale per un gallone di gas aveva superato i tre dollari per la prima volta dal 2014.
Il 9 maggio, nella totale incertezza dell’evoluzione della vicenda, il presidente Joe Biden ha dichiarato lo stato di emergenza negli Stati impattati.
Dopo diversi tentativi di risolvere il problema senza cedere al ricatto dei cyber criminali, l’azienda ha capitolato e ha deciso di pagare il prezzo richiesto, ovvero circa 5 milioni di dollari in criptovaluta, in cambio di un software in grado di ripristinare i sistemi.
In realtà, il software che avrebbe dovuto decriptare i file si è rivelato estremamente lento e inefficiente, tanto che l’azienda avrebbe continuato ad utilizzare anche i propri backup per terminare le operazioni e riportare il servizio alla normalità.
È emerso successivamente che l’ azienda avrebbe da tempo stipulato con la compagnia Axa un’assicurazione contro i cyber attacchi.
Il Presidente degli Stati Uniti, nella giornata di mercoledì 12 maggio, ha firmato l’ordine esecutivo con l’obiettivo di rafforzare le difese della sicurezza informatica nel paese.
I punti chiave dell’ordine esecutivo firmato da Biden
In seguito a questo cyber-attacco, considerato da molti uno dei più gravi nella storia degli Stati Uniti d’America, visto il numero di utenti impattati, e sulla base dei numerosi e recenti altri attacchi alla sicurezza informatica subite da alcune importanti infrastrutture statunitensi, il presidente Joe Biden nella giornata del 12 maggio ha firmato un ordine esecutivo teso a stabilire una serie di iniziative per dotare le agenzie federali di migliori strumenti di cyber sicurezza.
Si tratta di un progetto complesso e di vasta portata, che comprende diverse iniziative. Vediamole nel dettaglio.
Condivisione delle informazioni sulle minacce informatiche tra Governo e privati
L’esperienza (termine derivante dal participio presente del verbo “experiri”, che significa provare, sperimentare) è uno di quei fattori, a volte determinante, che ci permette, attraverso l’uso e la pratica, di acquisire quella conoscenza diretta attraverso la quale affrontare situazione che altrimenti potremmo non capire e non sapere risolvere.
Da tempo è opinione di molti che sia proprio la condivisione delle informazioni la chiave per opporsi agli attacchi di sicurezza, in modo da fare tesoro dell’esperienza altrui e prevenire attacchi successivi che sfruttano le stesse vulnerabilità e le stesse tecnologie.
L’ordine esecutivo firmato da Biden chiede ai fornitori di servizi IT di condividere le informazioni sulle violazioni informatiche relative alla sicurezza con il governo federale.
Modernizzare la sicurezza informatica del governo federale
Per poter reagire alle minacce informatiche sempre più sofisticate – dice Biden – il governo federale deve adottare misure decisive per modernizzare il suo approccio alla sicurezza informatica, proteggendo i dati, la privacy e le libertà civili.
Pertanto, bisogna valutare e adottare tecnice di autenticazione più sicure come l’autenticazione a due fattori (Multifactor Authentication), l’architettura a “Zero Trust”, il passaggio a tecnologie basate sul cloud quali il Software as a Service (SaaS), l’ Infrastructure as a Service (IaaS) e il Platform as a Service (PaaS).
D’altro canto, è necessario investire nella tecnologia in generale e nella formazione delle persone. Non bisogna però trascurare la necessità di avere sistemi up-to-date, e quindi identificare una strategia di patch management.
Messa in sicurezza delle supply chain
È urgente – afferma Biden – implementare meccanismi più rigorosi per garantire che i prodotti software utilizzati dalle agenzie federali funzionino in modo sicuro e secondo le aspettative, soprattutto nel caso di servizi “critici” (o “critical software”) come lo sono i servizi di autenticazione e autorizzazione.
Diventa quindi fondamentale avere degli standard di sicurezza di base per lo sviluppo di software venduto e utilizzato dal governo americano. Tra le attività citate nell’ordine esecutivo di Biden troviamo concetti ben noti nel mondo della cyber security, quali quelli alla base della Secure Software Development.
Creazione del Cyber Safety Review Board
Il Cyber Satety Review Board o Comitato di Revisione della Sicurezza Informatica sarà composto da esponenti del governo e di aziende private, e verrà convocato in seguito a un attacco informatico “rilevante”.
Suo compito sarà quello di analizzare l’accaduto e formulare possibili soluzioni, nonchè raccomandazioni e suggerimenti per migliorare la sicurezza informatica e l’efficacia delle misure messe in atto in risposta ai cyber attacchi.
Creazione di un playbook per rispondere agli incidenti informatici
Si tratterebbe di una sorta di “manuale d’uso” che le agenzie federali dovrebbero seguire a seguito di un attacco informatico.
Migliorare il rilevamento degli incidenti di sicurezza informatica
L’ordine esecutivo firmato da Biden richiede di identificare un piano capace di rilevare quanto prima gli incidenti di sicurezza.
La richiesta è quella di attuare soluzione di “Endpoint Detection and Response” e di migliorare la condivisione delle informazioni all’interno del governo federale.
Migliorare le attività investigative
L’idea alla base è quella di creare un “registro eventi di sicurezza informatica” in cui vengano riportati tutte le informazioni relative ad attacchi cybernetici a danno di agenzie federali.
Conclusioni
Quello di Biden sembra un atto assolutamene necessario, visti i numerosi attacchi informatici che negli ultimi anni hanno colpito gli Stati Uniti e che hanno preso di mira gran parte della rete delle agenzie federali e gli stessi dipartimenti del governo americano.
Un atto dovuto, quindi, ma allo stesso tempo tardivo.
Alcune idee contenute all’interno dell’ordine esecutivo, come l’adozione dell’autenticazione a due fattori, la “Zero Trust”, la Secure Software Development, sono tutti concetti ampiamente noti nel mondo della cyber security e implementati da tempo nelle organizzazioni che hanno a cuore la sicurezza delle proprie infrastrutture.
Il “registro degli eventi” è sicuramente un’idea apprezzabile, ma onestamente poco praticabile, essendo gli attacchi informatici ormai estremamente sofisticati ed evoluti. Inoltre gli attacchi si rivolgono sia verso organismi federali ma soprattutto verso aziende private, come nel caso dell’oleodotto della Colonial Pipeline. A quale scopo avere un registro dedicato unicamente agli attacchi informatici delle agenzie federali?
L’ordine esecutivo di Joe Biden: quale lezione per tutti
È indubbio che gli standard di sicurezza sono fondamentali nello sviluppo del software, ma oggi tutte le più note aziende che sviluppano software fanno ampiamente uso di queste tecniche, che vanno dalla security by design, alla valutazione dei rischi sulla base della triade CIA (Confidentiality, Integrity, Availability) e alle loro mitigazioni, alla gestione delle vulnerabilità di sicurezza del software di terze parti, al patch management, alla salvaguardia rispettivamente della sicurezza delle informazioni (ISO 27034, ISO 29151) e della protezione dei dati personali (GDPR – General Data Protection Regulation, regolamento EU 679/2016).
Quindi, niente di nuovo sotto il sole. Semmai saranno le agenzie federali che, nel decidere l’adozione di un software o servizio, dovranno essere in grado di capire quali sono i produttori di servizi e/o software in grado di rispettare questi requisiti e offrire loro il prodotto adeguato.
Altro nodo da chiarire, non facile, è stabilire la suddivisione delle responsabilità fra il National Institute of Standards and Technology (NIST), il Federal Acquisition Regulation Council, FBI, NSA, CIA, nonchè il coinvolgimento degli esperti di sicurezza informatica.
Rimane poi da capire come la richiesta di adozione dei servizi on cloud potrebbe garantire la sicurezza delle agenzie federali. Indubbiamente tali soluzioni permettono di eliminare (o ridurre) i costi di gestione dell’infrastruttura e del personale dedicato al mantenimento della stessa, rendono i sistemi facilmente scalabili e migliorano la disponibilità di risorse, ma la sicurezza di questi ambienti dipende sempre dal tipo di servizi di sicurezza che vengono implementati a fronte di un considerevole investimento e costo economico. E nulla vieta di implementare la sicurezza informatica, investendo tempo e denaro, in soluzioni on premise.
Resta poi un’ultima considerazione da fare. La tipologia dell’attacco condotto contro l’oleodotto della Colonial Pipeline, ha fatto uso, come già detto, della tecnica dei ransomware.
La modalità più diffusa per condurre questo tipo di attacco sono le e-mail di phishing che chiedono di scaricare un certo file o cliccare su un link contenuto nel testo della email stessa. Questo significa che basano il loro “successo” sulla nostra mancanza di “consapevolezza”, che potremmo valutare anche come un eccesso di fiducia o disattenzione.
Alla base di tutto c’è sempre il comportamento umano
Esistono naturalmente altri modi, come veicolare il ransomware attraverso un dispositivo mobile collegato al computer (ad es. una chiavetta USB) o, in maniera più sofisticata, sfruttare la vulnerabilità nota di un software di terze parti presente nel computer del malcapitato utente (che non ha avuto cura di aggiornare il proprio software). Alla base di tutto, quindi, c’è sempre il comportamento umano.
Nel caso dell’oleodotto della Colonial Pipeline, non abbiamo al momento elementi per sapere come sia stato condotto l’attacco (alcune indiscrezioni ipotizzano anche lo sfruttamento di una vulnerabilità non patchata in un server Microsoft Exchange).
Rimane chiaro che l’azienda non aveva messo in campo una governance di security efficace, e non aveva un piano di disaster recovery altrettanto efficace, perchè anche disponendo di backup ha preferito pagare il riscatto (mentre in presenza di un backup completo dei dati, una soluzione è quella di ripristinare da zero i sistemi, pertanto supponiamo che i backup fossero solo parziali).
Certamente si era tutelata stipulando una assicurazione, ma rimane un modo “tradizionale” di trasferimento del rischio, ma resta da chiedersi cosa succederà al prossimo attacco.
Non sappiamo se il software utilizzato era aggiornato alle ultime versioni disponibili, non sappiamo se era stata fatta un’analisi dei rischi informatici. Misure di security a parte, che vanno sempre implementate, verificate e aggiornate, la prevenzione rimane sempre la migliore protezione.
