Dopo quasi due mesi di Lockdown è iniziata la Fase 2: il ritorno, anche se non affrettato, alla normalità presenta, dal punto di vista della cyber security, una serie di sfide e rischi cyber potenziali ugualmente complessi a quelli affrontati nella fase di remotizzazione.
Indice degli argomenti
I rischi cyber della Fase 2: vecchie e nuove sfide
In questi (quasi) due mesi sono state tante le sfide che le aziende hanno dovuto affrontare.
Le aziende, anche le più “old style”, sono riuscite in pochi giorni a trasformarsi in smart company e lo smart working, che troppo spesso è stato bistrattato e mobbizzato, è diventato finalmente protagonista (forzato).
La modalità di lavoro da remoto è stata fondamentale per moltissime organizzazioni al fine di mantenere un adeguato livello di Business Continuity e ha sicuramente impresso una svolta ancora più decisiva nella digitalizzazione del mondo del lavoro, anche laddove ancora si stava “arrancando” da questo punto di vista.
In questi due mesi abbiamo anche dovuto affrontare una recrudescenza del cyber crime che di fatto ha approfittato della situazione di “cambiamento”. Una cambiamento che ha impattato su diversi fronti:
- tecnologico:
- le aziende hanno dovuto adottare nuove soluzioni per garantire ai dipendenti che lavoravano da casa di poter accedere alle risorse aziendali attraverso l’adozione di VPN e Remote Desktop Protocol;
- i personal computer dei dipendenti erano (e ancora lo sono) collegati e interconnessi con i tanti e diversi dispositivi domestici (Smart TV, Wi-Fi, router);
- lo shortage dei dispositivi personal computer ha imposto alle aziende di chiedere ai propri dipendenti di usare i loro computer di casa, spesso condivisi con i propri famigliari.
- sociale:
- la comunicazione interpersonale è stata “stravolta”. La parola incontro è stata bandita e sostituita con videocall e dai vari sistemi di videoconferenza;
- siamo diventati tutti virologi in una ricerca fanatica di informazioni relativamente a cure, vaccini, tamponi e tante sigle associate ad Immunoglobuline e tanto altro;
- abbiamo scoperto l’e-commerce, i servizi digitali e tante mobile app che ci hanno permesso di vivere attraverso l’approvvigionamento di beni alimentari di prima e seconda necessità e allo stesso tempo di sopravvivere alla staticità casalinga permettendoci di viaggiare con la mente in ambienti virtuali.
Pandemia sanitaria e pandemia cyber crime
Questa rivoluzione tecnologica e sociale ha di fatto ampliato le superfici di attacco. Un’opportunità che i criminal hacker non si sono lasciati scappare e ne hanno approfittato attraverso diverse tipologie di attacco:
- sfruttamento delle vulnerabilità dei vari sistemi tecnologici;
- campagne di phishing;
- account take over (furto delle credenziali);
- credential stuffing;
- malware di ogni genere e tipo.
Accanto alla pandemia sanitaria che stanno combattendo in prima linea le tante figure professionali e in seconda linea ognuno di noi, c’è stata un’altra battaglia. Parliamo della pandemia del cyber crime.
I criminal hacker ne hanno approfittato a livello tecnologico e a livello sociale:
- spesso le soluzioni adottate dalle aziende per garantire l’accesso da remoto ai dipendenti erano vulnerabili o c’erano errori di configurazione;
- i personal computer aziendali, operando fuori dal perimetro di protezione aziendale, sono ed erano completamente esposti ad attacchi diretti e indiretti attraverso l’interconnessione di dispositivi casalinghi che hanno spesso un livello di sicurezza non “ottimale”;
- l’utilizzo dei computer personali condiviso, magari condivisi, ha minato l’integrità e confidenzialità dei dati gestiti senza contare che i livelli minimi di sicurezza a livello di antivirus e di impostazione dei browser non corrispondere sicuramente da quelli definiti a livello azienda. In molti casi erano gli stessi computer aziendali condivisi con la famiglia;
- in queste settimane le notizie relative alle criticità dei sistemi di videoconferenza hanno dimostrato i cyber risk a cui siamo esposti;
- la fame e frenesia di informazioni e notizie ci ha spinto a cliccare su link ingannevoli con il rischio di aver scaricato e installato inconsapevolmente malware e virus sui nostri device. In una rete domestica interconnessa il rischio è di aver infettato e compromesso tutti i device presenti nella nostra abitazione;
- la ricerca di prodotti sanitari, beni alimentare o ebook di interesse ci ha fatto iscrivere a siti e-commerce o siti web malevoli compromettendo direttamente le nostre credenziali: mail e password nei migliori dei casi o nei casi peggiori direttamente le nostre carte di credito;
- L’installazione di mobile app da store non ufficiali ha fatto da tramite per malware che hanno copiato tutte le nostre informazioni: dati di accesso all’home banking, e-mail, SMS.
Una partita a scacchi che ha visto in prima linea questa volta direttamente le aziende che sono state costrette non solo a rivedere il loro modello di tutela delle infrastrutture, ma allo stesso tempo hanno dovuto contrastare in una situazione di “difficoltà” un incremento considerevole degli attacchi informatici.
Attacchi che spesso vedevano come vettori o origine dei cyber attack gli stessi dispositivi dei lavoratori che lavorano in smart working.
Il lockdown è terminato, iniziamo la Fase 2. Non ci saranno più questi problemi?
Fase 2: il cavallo di troia del cyber crime
Ora il ritorno, anche se non affrettato, alla normalità, consuetudine e quotidianità presenta, dal punto di vista della cyber security, una serie di sfide e rischi potenziali ugualmente complessi a quelli affrontati nella Fase 1 dello smart working.
La Fase2 per il mondo cyber crime può sicuramente essere paragonata al famoso cavallo di Troia. Stanno rientrando in ufficio i tanti dispositivi e asset digitali che fino ad oggi sono stati esposti a tanti potenziali rischi che abbiamo indicato e citato precedentemente.
Quali sono i possibili rischi?
Proviamo ad indicare i rischi principali che le aziende dovranno o saranno costrette a gestire.
Computer aziendali
i vari dispositivi aziendali esposti alle “intemperie” del cyber crime potrebbero essere state oggetto di botnet o essere portatori sani di un malware dormiente. Connettendoli direttamente nella rete aziendale si potrebbe permettere allo stesso malware di trovare nuovi asset da infettare fino a compromettere in maniera significativa la stessa Business Continuity anche attraverso cryptolocker. I computer aziendali potrebbero non avere effettuato correttamente gli aggiornamenti dei sistemi antivirus così come gli aggiornamenti dei sistemi operativi diventando di fatto sistemi vulnerabili.
Computer personali
L’utilizzo dei computer personali crea la problematica relativamente a come gestire i dati e tutte le informazioni transitate su questi dispositivi per poterli “ripristinare” sulle postazioni aziendali. Le soluzioni possibili sono di fatto di due tipi:
- chiavette USB e repository in Cloud. Due soluzioni che di fatto espongono direttamente l’azienda ad infezione. Immaginiamo, se il computer personale fosse infetto, potremmo di fatto trasferire il malware direttamente tramite la stessa chiavetta USB o attraverso un file trasferito nel repository in cloud, privato o aziendale.
- credenziali di accesso. Come abbiamo indicato precedentemente, in questi mesi di reclusione forzata ci siamo iscritti su tanti e troppi portali di servizi. Il rischio che i nostri dati siano stati trafugati o oggetto di Data Breach è sicuramente da mettere in conto. Spesso sono le stesse credenziali che abbiamo usato o usiamo per accedere alla nostra casella di posta personale oppure aziendale. In alcuni casi sono le stesse coppie di mail e pwd che abbiamo usato per accedere ai vari sistemi di VPN.
I rischi cyber della Fase 2: fuoco amico
Ecco che il rientro se per il dipendente è una piacevole conquista di ritorno alla normalità, per l’azienda invece rappresenta di fatto una nuova sfida.
Se fino a ieri i vari Direttori di Sicurezza, dei sistemi informativi e gli stessi DPO e Privacy Manager stavano contrastando una minaccia cyber che partiva principalmente dall’esterno verso il perimetro aziendale, il ritorno dei computer “in esilio”, aumenta il fronte della battaglia. Dai possibili attacchi esterni abbiamo un concreto rischio di fuoco amico.
Ecco che la minaccia diventa anche interna. Come indicavo, i famosi cavalli di Troia del mondo cyber. Una nuova sfida che richiede un nuovo impegno. Come?
Come Gestire i rischi cyber della Fase 2
Considerata la cornucopia di possibilità di vere e proprie contaminazioni derivanti dal prolungato periodo di permanenza al di fuori del normale perimetro aziendale, quindi, il rientro dovrà necessariamente essere gestito con un approccio strutturato attraverso 3 step:
- sanificazione
- bonifica
- monitoraggio
Sanificazione
Questo step è principalmente mirato ai device. Ha l’obiettivo effettuare e attuare azioni e misure di sanitizzazione dei device che stanno rientrando in azienda attraverso le seguenti azioni di massima:
- verificare che i sistemi antivirus siano aggiornati;
- determinare lo stato di aggiornamento dei sistemi operativi;
- effettuare il cambio delle password di accesso per tutti gli utenti;
- creare un repository in cloud aziendali adottando misure e soluzioni di sandbox per la verifica dei file;
- forzare e pianificare scansioni antivirus degli asset digitali “rientrati” dal lockdown;
- effettuare una attività di software e asset inventory per identificare la presenza di “oggetti” hardware e software non “aziendali”.
Bonifica
L’attività di bonifica ha lo scopo di verificare lo stato di integrità dell’infrastruttura e del framework ICT aziendale attraverso:
- attività di Network Scan della rete interna;
- attività di Vulnerability Assessment della rete esterna;
- attività di penetration test degli asset critici;
- security Assessment dell’Active Directory;
- effettuare una attività di Domain Threat Intelligence e Cyber Threat Intelligence per scoprire se l’azienda è stata oggetto di data breach, furto di credenziali o e-mail.
Monitoraggio
Adottare soluzioni di monitoraggio del traffico della rete interna per identificare eventuali anomalie:
- implementare sistemi di early warning relativamente ai sistemi perimetrali;
- effettuare attività di Domain e Cyber Threat Intelligence periodici;
- pianificare attività di Formazione e Awareness dei propri dipendenti;
- attuare attività di Phishing Attack Simulation.
Cyber crimine e Covid-19
L’ondata di smart working forzato ha sicuramente funzionato, anche di fronte alla pressione di un cyber crime in risalita.
La tendenza ora, con il tenue rientro alla normalità, sarebbe quella di abbassare la guardia, ma questo potrebbe avere conseguenze catastrofiche.
I criminal hacker non hanno dato tregua durante il lock-down e probabilmente stanno aspettando con ansia l’inizio della Fase 2 per attaccare direttamente le aziende.
Anche se la situazione sembra dare una parvenza di normalità, l’imperativo deve rimanere quello di non abbassare la guardia.