Fra le tante categorie di rischio che possono minare la “salute” aziendale, le minacce cyber ne costituiscono una classe particolarmente insidiosa e, tra queste, il ransomware è probabilmente la più insidiosa di tutte.
La minaccia digitale è pervasiva, in perenne crescita e sembra poter contare su risorse economiche e di personale apparentemente infinite. Nella realtà, nessuno ha risorse infinite, ma è più realisticamente plausibile che i gruppi criminali siano ben organizzati, finanziati e dotati di strumenti sempre innovativi.
Indice degli argomenti
L’errore è sottostimare le capacità dei cyber criminali
Ne consegue anche una percezione di “imbattibilità” e di perenne successo nelle attività criminali, che sembra sempre accompagnare la reputazione degli attaccanti digitali. Una possibile spiegazione è che questa classe di criminali è percepita attraverso un immaginario collettivo e soggettivo e/o solo a valle di una reale danno o perdita subìta, piuttosto che attraverso reali “incontri di persona” (che ovviamente nessuno si augura di fare).
La combinazione di tutti questi elementi, inevitabilmente, porta ad averne una percezione distorta e non aderente alla realtà, in senso negativo, perché l’aura di imbattibilità potrebbe sembrare senza speranza e forse a seguito di questa percezione, molti capitani d’azienda continuano a non agire.
Quando, invece, la percezione è di essere al sicuro secondo il commento “ma tanto che vanno ad attaccare proprio me?”, alcuni AD sottostimano la capacità dei criminali digitali e delle ransomware gang di arrecare danno alla propria realtà aziendale.
In entrambe le casistiche, ne consegue una cronica impreparazione tecnica, pratica, organizzativa e di processo, che oggi come oggi deve essere corretta riportando le sorti del cybercrime a un livello realistico del bilanciamento fra pratiche di attacco e difesa.
Il report ACN su ransomware e suo contrasto
Proprio a questo fine, l’ACN ha emesso un report specifico del CSIRT Italia in tema di ransomware e suo contrasto al quale si aggiungono le tante raccomandazioni di esperti di threat intelligence, forensic e analisti del rischio, riuniti nell’evento organizzato da Cybera e ThreatDown durante il quale sono state fornite le raccomandazioni per la mitigazione e il contrasto attivo di questa piaga criminale.
I dati ACN e del CSIRT Italia sulla minaccia ransomware
Il documento di analisi approfondita sulla minaccia ransomware del CSIRT Italia ne traccia tecniche tattiche e procedure, fornendo anche un insieme strutturato di raccomandazioni di mero ausilio alle attività di risposta ad un incidente di tipo ransomware, risultanti dall’esperienza dell’articolazione operativa dell’ACN nel supporto alla gestione di incidenti informatici.
Il principale problema che accompagna le tante vittime di questo tipo di minaccia è la mancata denuncia e il possibile pagamento dei riscatti, elementi che insieme rendono difficile sia tracciare un quadro completo dell’incidenza di questi attacchi, sia supportare in pieno la vittima per aiutarla ad evitare il pagamento coatto, e spesso inutile del riscatto.
L’Analisi ENISA contenuta nel report “Threat Landscape for Ransomware Attacks” pubblicato nel 2022, ha stimato che circa il 62% delle vittime avrebbe negoziato con gli attaccanti per la corresponsione del riscatto, ma non vi sono garanzie che dopo il pagamento, i diversi problemi generati dall’attacco (dati criptati non accessibili, esfiltrazione degli stessi, segnalazione alle autorità regolatorie per causare multe e aumentare la pressione di pagamento, ricatto di divulgazione dell’attacco a clienti e fornitori per causare danni di reputazione) saranno risolti.
Secondo il Report ACN, “negli ultimi anni il ransomware si è affermato come una delle minacce prevalenti a livello nazionale” tanto che “il numero di ransomware seguiti dal CSIRT Italia è in costante ascesa”.
Il problema è significativo a tal punto che “L’Italia si colloca…(omissis) al quarto posto fra le nazioni europee maggiormente colpite dalla minaccia ransomware (con il 12% dei casi in Europa), preceduta spesso da Gran Bretagna, Germania e Francia”.
I dati fotografano come sia colpito prevalentemente il “settore privato, con le piccole imprese che, spesso per una limitata attitudine ad una cultura della sicurezza, risultano essere la tipologia di target principale degli attaccanti. Analizzando la loro distribuzione in base ai settori di attività economica di appartenenza, il manifatturiero emerge come il settore maggiormente colpito, seguito da altre tipologie di società private, dal comparto della vendita al dettaglio e dall’industria tecnologica”.
Che il problema della minaccia ransomware esista è noto. Meno noto è come si preparano alcuni comparti del sistema nazionale. L’ACN lavora alle misure di implementazione della resilienza nazionale per i soggetti del Perimetro di sicurezza cibernetica nazionale (PSCN) e i soggetti NIS ma la preparazione nelle piccole e medie imprese (PMI con meno di 250 addetti e fatturati inferiori ai 50Me) e nelle PA centrali e locali è lungi dall’essere completa.
Preparazione e predisposizione delle contromisure preventive
Il Report ACN evidenzia nella sezione finale un insieme di raccomandazioni generali per il contrasto attivo e la prevenzione.
A queste linee guida si aggiungono i suggerimenti e le considerazioni dei tanti esperti riuniti nell’evento dal titolo “Cybersecurity: come mitigare i rischi attuali di vulnerabilità, attacchi hacker e ransomware” organizzato da Cybera insieme a ThreatDown a Roma. Fra i partecipanti Pasquale di Tolla dirigente sindacale Silp Cgil della Polizia di Stato, è intervenuto sulle azioni di preparazione in questi ambiti tecnologici, dando evidenza di come “la Polizia di Stato si stia specializzando grazie all’introduzione della figura di ispettore cibernetico e di come a tal proposito sia stata introdotta l’indennità cyber nel contratto di categoria. Ma l’auspicio è che una realistica e reale percezione della minaccia ransomware sia percepita sia a livello di cittadini che di figure politiche per una maggiore efficacia degli interventi legislativi”.
In tal senso si ricorda che la normazione in tema di cyber security è significativa in Italia e copiosa dall’Europa, ma molti degli stakeholder nazionali auspicano la trasformazione di tutta la mole normativa in un testo unico sul modello dell’impianto per la Sicurezza sul lavoro.
Che il “problema di prevenzione non adeguatamente affrontato, sia anche legato ad una mancata preparazione ottimale non solo tecnica sulla cyber security ma anche giuridico legale” è l’attenzione posta da Paolo Reale, Consigliere presso l’ordine degli ingegneri di Roma, esperto e formatore forense che, ricordando la teoria del formaggio svizzero creata da James Reason, (modello/teoria che utilizza fette di formaggio svizzero come analogia per spiegare come si verificano gli incidenti o gli errori n.d.r.), ha sottolineato come un incidente sia il risultato del perfetto inanellarsi di tutti i buchi di preparazione preventiva in tema di sicurezza.
Una mancanza che, al momento sbagliato, può causare una marea nera ovvero un evento cigno nero, che per essere evitato per tempo richiede sinergie operative, di processo, di competenza e naturalmente di tipo tecnico.
Competenze che spesso mancano nelle piccole realtà, negli studi professionali che non sanno valutare il rischio, accettarlo ma nemmeno trasferirlo a mezzo assicurazioni (il che è quantomeno singolare se si considera che sul concetto di rischio, le assicurazioni hanno formato un’intera fetta di mercato n.d.r.).
Il motivo per cui la valutazione del rischio non avviene, chiarisce Mario Pazzagalli esperto di Goverenance, Information Security e Compliance è da ricercarsi nella “cronica ignoranza nel campo dell’Enterprise Risk Management” che affligge tantissime organizzazioni pubbliche e private, ulteriormente peggiorato dalla mancanza di fiducia nei tecnici interni, in pieno stile “nemo profeta in patria” e nella sfiducia nei consulenti di sicurezza chiamati a consigliare e perennemente inascoltati.
Ma per Massimiliano Graziani Ceo di Cybera ed esperto di Cybersecurity e Forensic pluricertificato, non ci sono dubbi sul momento in cui le cose cambieranno: “se la NIS2 prevede anche conseguenze di tipo penale per l’accountability dei responsabili aziendali, allora non appena si verificherà il primo caso di accusa verso il management, tutti gli altri potrebbero veramente iniziare ad occuparsi/preoccuparsi di pianificare gli interventi di sicurezza informatica”.
Uscire dall’empasse verso la resilienza
Per passare veramente all’azione verso una postura resiliente Glauco Bertocchi consulente di sicurezza, formatore e Vicepresidente del capitolo di Roma di ISACA (Information Systems Audit and Control Association) suggerisce di guardare al problema di sicurezza in un’ottica di scenari di rischio plausibili, di elevare la consapevolezza dei decisori e di fare l’esercizio di quantificare il rischio non più con metodi qualitativi (secondo il livello alto medio basso n.d.r.) ma con metodi quantitativi per dare un numero anche realistico al valore del rischio e anche al valore economico dell’impatto (le perdite), elemento che tipicamente solletica l’attenzione dei board di decisori e del management più alto in grado.
Le tecnologie per difendersi dai ransomware
Insieme a queste misure, “l’attenzione alla sicurezza della catena di fornitura (supply chain security n.d.r.) e la creazione di un ecosistema di fornitori sicuri mediante sinergia operativa e di impostazione della sicurezza con l’azienda committente” è il suggerimento di Lorenzo Nicolodi che esperto di sicurezza e threat intelligence, studia le ransomware gang grazie alla piattaforma di monitoraggio da lui sviluppata.
A tutti i precedenti accorgimenti organizzativi, di formazione e di processo è utile anche includere strumenti tecnologici che possano aiutare nel momento del bisogno. Francesco Costantini Sales manager di ThreatDown prodotto EDR/MDR di Malwarebytes invita a muovere i budget verso l’adozione di strumenti specificamente dedicati alla protezione anti-ransomware piuttosto che guardare solo ai classici antivirus.
Si parla di una tipologia di prodotto che possa garantire una detection immediata, una semplice usabilità delle funzioni di sicurezza e che possano avere una controllo della configurazione del server tale, da garantire la rimozione immediata dei file criptati dal ransomware, ricostituendo il set originario di file del sistema operativo (funzione di rollback software fino ad un certo numero di giorni precedenti, per rimuovere tutte le tracce di malware, gli artefatti e le modifiche alla configurazione, per riportare i dispositivi ad uno stato di integrità e prevenire la reinfezione da ransomware. n.d.r.).
Tecnologie di questo tipo possono costituire un valido aiuto dei team tecnici che in una fase di attacco, possono essere soggetti ad alto stress, legato anche all’urgenza e criticità del fattore tempo per gli interventi di mitigazione.
In aggiunta a tutte le precedenti raccomandazioni si ricorda di consultare anche i consigli sulle strategie anti-ransomware raccolte e disponibili nella Guida antiransomware pubblicata a Luglio 2024.
