Negli ultimi anni, il panorama della sicurezza informatica è stato profondamente segnato da attacchi sempre più sofisticati: il termine cyberwarfare si riferisce non solo a conflitti digitali tra Stati, ma anche all’escalation di attacchi che compromettono infrastrutture critiche e la fiducia nei servizi tecnologici.
Tra i principali esempi ci sono casi storici, recenti blackout nei servizi cloud e incidenti interni che dimostrano l’importanza di sviluppare una cyber resilience robusta.
Indice degli argomenti
Attacchi su vasta scala: l’importanza della resilienza
Negli ultimi mesi, diversi attacchi o disservizi hanno interessato, tra gli altri, alcuni servizi Microsoft. Gli attacchi a Microsoft sono emblematici delle minacce crescenti nel panorama della cyberwarfare.
Nel 2024, un massiccio attacco DDoS (Distributed Denial of Service) ha colpito Azure, interrompendo i servizi cloud per diversi clienti. Questo evento ha evidenziato i rischi associati al sovraccarico delle infrastrutture cloud.
Parallelamente, nel 2023, Microsoft è stata vittima di attacchi di internal hacking che hanno compromesso le email di agenzie governative e clienti sensibili, mostrando come anche i provider più sofisticati possano essere vulnerabili ad attacchi DDoS e di internal hacking che non solo mettono a rischio la continuità operativa, ma sollevano anche interrogativi sulla responsabilità dei fornitori cloud.
Microsoft, ad esempio, ha lanciato un appello per una Cyber Convenzione di Ginevra: un buon punto di partenza per garantire resilienza interna. Ma gli hacker non si fanno scoraggiare da leggi o sanzioni: proteggersi e monitorare gli accessi rimane una priorità assoluta
Internal hacking e vulnerabilità nella supply chain: il caso CCleaner
L’attacco a CCleaner del 2017 rappresenta un caso emblematico di compromissione interna e di distribuzione inconsapevole di malware tramite una supply chain compromessa.
Per mesi, il software, utilizzato da milioni di utenti, è stato un veicolo per diffondere codice malevolo che avrebbe potuto compromettere non solo i sistemi di privati, ma anche quelli di aziende che lo avevano installato.
Il caso CCleaner sottolinea un pattern comune negli attacchi informatici: gli hacker spesso tornano sullo stesso obiettivo più volte. Dopo il successo iniziale, infatti, hanno tentato nuovamente di colpire CCleaner nel 2019, ma senza successo.
Questo conferma che un attacco riuscito segnala agli hacker che un’azienda potrebbe non avere procedure robuste per prevenire incursioni future, trasformandola in un bersaglio ricorrente.
In casi simili, l’obiettivo principale non è necessariamente l’azienda colpita inizialmente, ma i dati sensibili dei clienti.
Il neighbour network attack
Una ulteriore tecnica sofisticata, apparsa nel febbraio 2022, è il neighbour network attack, sapientemente documentata da Volexity, in cui gli hacker sfruttano vulnerabilità in un sistema limitrofo (in un’altra azienda) per accedere al bersaglio finale via Wi-Fi in quanto il cliente bersaglio aveva una sicurezza meno sofisticata negli accessi wireless: una rete aziendale meno protetta potrebbe essere usata come trampolino per violare un’infrastruttura bancaria o energetica.
Non sappiamo, ad esempio, quali dati siano stati sottratti dai clienti di Microsoft o dagli utenti di CCleaner, ma proteggere e monitorare gli accessi è cruciale.
Inoltre, le aziende coinvolte hanno l’obbligo legale e morale di informare i propri clienti di eventuali violazioni, affinché possano prendere misure di protezione.
Cyberwarfare e attacchi a infrastrutture critiche
Alcuni attacchi storici hanno definito l’evoluzione della cyberwarfare:
- Estonia (2007): una serie di attacchi DDoS ha paralizzato le banche e il governo, dimostrando quanto siano vulnerabili le infrastrutture digitali di uno Stato moderno.
- Ucraina (2016): un attacco mirato attraverso il malware Industroyer ha disabilitato le infrastrutture energetiche, lasciando migliaia di persone senza corrente.
Questi eventi non sono solo atti di sabotaggio, ma segnali di come la cyberwarfare sia un’arma strategica per colpire gli avversari senza conflitti fisici.
Vulnerabilità dei servizi cloud e il caso Worldline
La crescente dipendenza dai servizi cloud ha introdotto nuovi rischi. Il down di Microsoft Azure nel luglio 2024, inizialmente classificato come un picco inaspettato di accessi ma causato da un attacco DDoS, ha dimostrato che nemmeno i giganti tecnologici sono immuni da interruzioni.
Questo incidente ha avuto un impatto globale, evidenziando i limiti della scalabilità senza adeguati sistemi di monitoraggio e pianificazione o comunque il fatto che una over dipendenza da servizi cloud rappresenta una vulnerabilità intrinseca alle aziende.
Il caso del data center belga di Proximus, andato a fuoco nel 2023, è un ulteriore esempio di vulnerabilità. La mancanza di un’infrastruttura ridondante ha costretto molti clienti a ricorrere ai propri piani di disaster recovery, rivelando che spesso le aziende ignorano l’importanza di verificare la solidità dei fornitori di data center.
Gli eventi recenti, come l’interruzione dei servizi di pagamento di Worldline durante il Black Friday 2024, confermano che l’affidabilità dei fornitori cloud è essenziale per evitare danni reputazionali e perdite economiche.
Per le aziende, non avere un piano di disaster recovery può essere disastroso, come dimostrato anche dal caso Proximus, ma in questo caso un problema fisico ha reso indisponibile i sistemi di pagamento offerti da Worldline impedendo quindi un corretto svolgimento delle campagne Black Friday per molti esercenti perché Wordline o i clienti stessi non avevano piani di continuità operativa efficaci, con risultanti danni economici (mancate vendite).
Cyber convenzione di Ginevra: una soluzione efficace?
Con clienti come il governo degli Stati Uniti, Microsoft ha evidenziato i rischi di attacchi ai fornitori cloud come possibili atti di cyberwarfare. Tuttavia, l’appello per una Cyber Convenzione di Ginevra solleva interrogativi.
Gli hacker, operando al di fuori della legalità, non sono soggetti a deterrenza legale: sanzioni o convenzioni internazionali non li intimoriscono.
È compito dei fornitori garantire un servizio sicuro e resiliente, senza delegare la responsabilità a organismi sovranazionali.
Verso una cyber resilience totale
Gli eventi descritti sottolineano una lezione chiave: non basta fare affidamento sui fornitori cloud o sulle assicurazioni. È essenziale che le aziende sviluppino una resilienza interna, in particolare nel contesto della cyber resilience, definita come la capacità di mantenere la continuità operativa anche durante e dopo un attacco.
Gli obblighi introdotti dalle direttive NIS2 e DORA impongono alle aziende che gestiscono servizi critici di rafforzare la propria sicurezza e resilienza. È cruciale anche valutare attentamente le SLA (Service Level Agreement) dei fornitori e verificare la solidità dell’infrastruttura su cui si basa il servizio.
Il futuro della sicurezza digitale dipende non solo dalla tecnologia, ma anche dalla governance e dall’implementazione di piani solidi di business continuity.
La sfida non è evitare gli attacchi, ma garantire che non interrompano il funzionamento del business, che si tratti di un cyberattacco, di un problema tecnico o di un disastro naturale.
