Alla luce del recente attacco ransomware che ha colpito il Centro di Elaborazione Dati (CED) della Regione Lazio, viene da chiedersi quali misure un’organizzazione possa adottare al fine di ridurre i rischi connessi ad eventi di questo tipo.
Indice degli argomenti
Le misure da seguire in PA e aziende contro ransomware
È innanzitutto opportuno specificare che non esiste una protezione sicuramente efficace contro le minacce informatiche. Ciononostante, seguendo alcuni accorgimenti tratti dalle principali linee guida e standard di settore, legati sia alle componenti hardware e software, sia alla formazione del personale, è possibile ricondurre il livello di rischio derivante da un attacco ransomware al di sotto di una soglia accettabile.
Regione Lazio, tutti i punti aperti dopo il backup ritrovato
Sofware di sicurezza aggiornato
Oltre agli accorgimenti che saranno suggeriti, è bene tenere a mente che la sicurezza di ogni organizzazione passa attraverso l’utilizzo costante di firewall e di software antivirus, da aggiornare, insieme alle sue definizioni dei virus, ogniqualvolta sia possibile al fine di proteggere i sistemi in uso quanto meno dalle minacce note.
Hardware
Relativamente alle componenti hardware, è sempre opportuno redigere e aggiornare costantemente un inventario dei dispositivi autorizzati, e garantire che questi ultimi utilizzino configurazioni standard di sicurezza in linea con le policy adottate dall’organizzazione, indipendentemente dal fatto che essa sia una Pubblica Amministrazione o una società privata.
In tal modo è possibile ridurre i rischi legati all’utilizzo di dispositivi non autorizzati e/o non sicuri. Ciò risulta tanto più rilevante in considerazione del massiccio ed improvviso ricorso alle modalità di lavoro agile a causa della pandemia.
L’utilizzo da parte dei dipendenti dei dispositivi, personali o aziendali, sotto reti domestiche con l’eventuale collegamento tramite rete VPN estendono a dismisura la potenziale superficie di attacco, complicando la difesa dei punti di accesso e delle reti che altrimenti sarebbero gestiti a livello centralizzato.
Architettura zero trust su accessi
Per ovviare a tali problematiche, la direzione intrapresa dalle aziende è quella di implementare un’architettura zero trust – ad esempio limitando e isolando i privilegi account, applicando 2FA almeno agli account admin- , permettendo così di prevenire accessi di attori malevoli, nonché rilevare agevolmente intrusioni e limitare i danni derivanti da eventuali violazioni.
Inventario software
Strettamente collegate a quanto appena affermato, anche le componenti software rivestono un ruolo centrale nella sicurezza di un’organizzazione ed è quindi opportuno elaborare e aggiornare periodicamente anche un inventario dei software autorizzati, che specialmente in ottica smart working devono essere limitati ai soli strumenti di lavoro.
Di pari passo al costante aggiornamento di tale inventario, è necessario verificare regolarmente che tutti i sistemi operativi in uso siano aggiornati all’ultima versione disponibile. Analogamente, anche tutti i software devono essere ciclicamente aggiornati all’ultima patch rilasciata. Solo in tale modo, infatti, è possibile proteggere i sistemi in uso dalle vulnerabilità 0-day non appena il produttore del sistema operativo o del software sia riuscito a individuarle e risolverle.
Linee guida Agid
Alcune dei suggerimenti riportati sono da considerarsi obbligatori per le Pubbliche Amministrazioni, come prescritto dal documento “Misure Minime di Sicurezza ICT per le pubbliche amministrazioni” redatto da AgID e aggiornato nel 2017. Ciononostante, i controlli di sicurezza ivi contenuti possono essere adottati anche da organizzazioni private al fine di migliorare il livello di sicurezza cyber.
Il backup a regola d’arte
Sarebbe inoltre opportuno, per ogni organizzazione, provvedere alla realizzazione di un backup di tutti i propri dati.
Realizzando una o più copie di tutto il proprio sistema sarà infatti possibile, anche in caso di attacco e di criptazione dei dati, eseguire un’operazione di ripristino. Tuttavia, specialmente per fronteggiare i rischi derivanti da attacchi ransomware, o in generale da minacce informatiche che possono essere rilevate anche dopo diversi giorni dall’inizio dell’attacco, sarebbe opportuno effettuare anche copie fisiche isolate dalla rete (su disco/nastro). Difatti, qualora il sistema fosse stato compromesso, le eventuali copie di backup effettuate successivamente alla data dell’attacco potrebbero essere passibili di cifratura e quindi inutilizzabili ai fini del ripristino dei sistemi.
Per rendere ancora più efficiente tale procedimento, il livello di ridondanza del backup dovrebbe essere sempre proporzionato alla complessità dell’organizzazione e le copie di backup, che possono essere archiviate in luoghi fisici differenti, dovrebbero essere generate almeno con cadenza giornaliera. Al fine di garantirne l’immediata fruibilità e un maggiore livello di sicurezza, le copie di backup possono essere archiviate in un sistema cloud.
La necessità di dotarsi di un’infrastruttura cloud sicura e all’avanguardia è già stata cristallizzata anche nel Piano Triennale per l’informatica nella Pubblica Amministrazione 2020-2022.
Un cloud efficiente e sicuro
Paradigmi che sono già risultati validi per le organizzazioni private verranno quindi applicati anche alla Pubblica Amministrazione. I sistemi cloud stanno diventando sempre più una scelta obbligata per la conservazione sicura dei dati, per la loro elaborazione e per l’offerta di servizi digitali. In particolare, una soluzione cloud efficiente è in grado di fornire una serie di benefici sia alle PA che ai cittadini:
• Sicurezza: centralizzando i sistemi e riducendo la frammentazione sarà possibile investire su sistemi più avanzati e sicuri facendo leva sull’economia di scala.
• Risparmio: una volta effettuata la transizione sarà possibile beneficiare di una riduzione dei costi di gestione e manutenzione delle risorse hardware, nonché di una diminuzione delle spese per eventuali incrementi di capacità.
• Scalabilità: sarà possibile adeguare costantemente la potenza dei sistemi a seconda della mole di lavoro richiesta, evitando così disservizi dovuti a eventuali sovraccarichi.
• Qualità: potendo erogare applicativi e servizi secondo la formula “as-a-Service” sarà possibile aggiornare costantemente l’offerta per i fruitori e agevolare l’apporto di miglioramenti qualitativi.
Formazione e competenze
Infine, ma non meno importante, un ulteriore fattore di fondamentale importanza da considerare è l’awareness del personale. Ogni dipendente, infatti, potrebbe utilizzare password non sicure, aprire allegati mail sospetti o cliccare su link malevoli. Se questo è vero per quanto riguarda le PMI, nelle quali la formazione del personale è necessaria, ma anche relativamente semplice a causa del limitato numero dei dipendenti, è vero soprattutto per quanto riguarda le Pubbliche Amministrazioni e per le grandi aziende, che possono annoverare anche decine di migliaia di dipendenti. Per tali realtà la formazione del personale diventa un obbligo imprescindibile.
Dal momento che i dipendenti, se non periodicamente e adeguatamente formati, possono costituire un punto di accesso ai sistemi di un’organizzazione, ordini di grandezza simili possono comportare un grande aumento dell’esposizione al rischio.
Nell’epoca della digitalizzazione, l’erogazione di corsi di formazione e specializzazione per tutto il personale, dai neoassunti ai top manager, deve quindi diventare una priorità per tutte le organizzazioni.
