linee guida

Come evitare altre minacce ransomware al Paese: le misure per aziende e PA

Seguendo alcuni accorgimenti tratti dalle principali linee guida e standard di settore, legati sia alle componenti hardware e software, sia alla formazione del personale, è possibile ricondurre il livello di rischio derivante da un attacco ransomware al di sotto di una soglia accettabile. Ecco come

Pubblicato il 06 Ago 2021

Lorenzo Damiano

Analista Hermes Bay

Matteo Taraborelli

Analyst/Consultant

ransomware misure

Alla luce del recente attacco ransomware che ha colpito il Centro di Elaborazione Dati (CED) della Regione Lazio, viene da chiedersi quali misure un’organizzazione possa adottare al fine di ridurre i rischi connessi ad eventi di questo tipo.

Le misure da seguire in PA e aziende contro ransomware

È innanzitutto opportuno specificare che non esiste una protezione sicuramente efficace contro le minacce informatiche. Ciononostante, seguendo alcuni accorgimenti tratti dalle principali linee guida e standard di settore, legati sia alle componenti hardware e software, sia alla formazione del personale, è possibile ricondurre il livello di rischio derivante da un attacco ransomware al di sotto di una soglia accettabile. 

Regione Lazio, tutti i punti aperti dopo il backup ritrovato

Sofware di sicurezza aggiornato

Oltre agli accorgimenti che saranno suggeriti, è bene tenere a mente che la sicurezza di ogni organizzazione passa attraverso l’utilizzo costante di firewall e di software antivirus, da aggiornare, insieme alle sue definizioni dei virus, ogniqualvolta sia possibile al fine di proteggere i sistemi in uso quanto meno dalle minacce note.

Hardware

Relativamente alle componenti hardware, è sempre opportuno redigere e aggiornare costantemente un inventario dei dispositivi autorizzati, e garantire che questi ultimi utilizzino configurazioni standard di sicurezza in linea con le policy adottate dall’organizzazione, indipendentemente dal fatto che essa sia una Pubblica Amministrazione o una società privata.

In tal modo è possibile ridurre i rischi legati all’utilizzo di dispositivi non autorizzati e/o non sicuri. Ciò risulta tanto più rilevante in considerazione del massiccio ed improvviso ricorso alle modalità di lavoro agile a causa della pandemia.

L’utilizzo da parte dei dipendenti dei dispositivi, personali o aziendali, sotto reti domestiche con l’eventuale collegamento tramite rete VPN estendono a dismisura la potenziale superficie di attacco, complicando la difesa dei punti di accesso e delle reti che altrimenti sarebbero gestiti a livello centralizzato.

Architettura zero trust su accessi

Per ovviare a tali problematiche, la direzione intrapresa dalle aziende è quella di implementare un’architettura zero trust – ad esempio limitando e isolando i privilegi account, applicando 2FA almeno agli account admin- , permettendo così di prevenire accessi di attori malevoli, nonché rilevare agevolmente intrusioni e limitare i danni derivanti da eventuali violazioni.

Inventario software

Strettamente collegate a quanto appena affermato, anche le componenti software rivestono un ruolo centrale nella sicurezza di un’organizzazione ed è quindi opportuno elaborare e aggiornare periodicamente anche un inventario dei software autorizzati, che specialmente in ottica smart working devono essere limitati ai soli strumenti di lavoro.

Di pari passo al costante aggiornamento di tale inventario, è necessario verificare regolarmente che tutti i sistemi operativi in uso siano aggiornati all’ultima versione disponibile. Analogamente, anche tutti i software devono essere ciclicamente aggiornati all’ultima patch rilasciata. Solo in tale modo, infatti, è possibile proteggere i sistemi in uso dalle vulnerabilità 0-day non appena il produttore del sistema operativo o del software sia riuscito a individuarle e risolverle.

Linee guida Agid

Alcune dei suggerimenti riportati sono da considerarsi obbligatori per le Pubbliche Amministrazioni, come prescritto dal documento “Misure Minime di Sicurezza ICT per le pubbliche amministrazioni” redatto da AgID e aggiornato nel 2017. Ciononostante, i controlli di sicurezza ivi contenuti possono essere adottati anche da organizzazioni private al fine di migliorare il livello di sicurezza cyber. 

Il backup a regola d’arte

Sarebbe inoltre opportuno, per ogni organizzazione, provvedere alla realizzazione di un backup di tutti i propri dati.

Realizzando una o più copie di tutto il proprio sistema sarà infatti possibile, anche in caso di attacco e di criptazione dei dati, eseguire un’operazione di ripristino. Tuttavia, specialmente per fronteggiare i rischi derivanti da attacchi ransomware, o in generale da minacce informatiche che possono essere rilevate anche dopo diversi giorni dall’inizio dell’attacco, sarebbe opportuno effettuare anche copie fisiche isolate dalla rete (su disco/nastro). Difatti, qualora il sistema fosse stato compromesso, le eventuali copie di backup effettuate successivamente alla data dell’attacco potrebbero essere passibili di cifratura e quindi inutilizzabili ai fini del ripristino dei sistemi.

Per rendere ancora più efficiente tale procedimento, il livello di ridondanza del backup dovrebbe essere sempre proporzionato alla complessità dell’organizzazione e le copie di backup, che possono essere archiviate in luoghi fisici differenti, dovrebbero essere generate almeno con cadenza giornaliera. Al fine di garantirne l’immediata fruibilità e un maggiore livello di sicurezza, le copie di backup possono essere archiviate in un sistema cloud.

La necessità di dotarsi di un’infrastruttura cloud sicura e all’avanguardia è già stata cristallizzata anche nel Piano Triennale per l’informatica nella Pubblica Amministrazione 2020-2022. 

Un cloud efficiente e sicuro

Paradigmi che sono già risultati validi per le organizzazioni private verranno quindi applicati anche alla Pubblica Amministrazione. I sistemi cloud stanno diventando sempre più una scelta obbligata per la conservazione sicura dei dati, per la loro elaborazione e per l’offerta di servizi digitali. In particolare, una soluzione cloud efficiente è in grado di fornire una serie di benefici sia alle PA che ai cittadini:
• Sicurezza: centralizzando i sistemi e riducendo la frammentazione sarà possibile investire su sistemi più avanzati e sicuri facendo leva sull’economia di scala.
• Risparmio: una volta effettuata la transizione sarà possibile beneficiare di una riduzione dei costi di gestione e manutenzione delle risorse hardware, nonché di una diminuzione delle spese per eventuali incrementi di capacità.
• Scalabilità: sarà possibile adeguare costantemente la potenza dei sistemi a seconda della mole di lavoro richiesta, evitando così disservizi dovuti a eventuali sovraccarichi.
• Qualità: potendo erogare applicativi e servizi secondo la formula “as-a-Service” sarà possibile aggiornare costantemente l’offerta per i fruitori e agevolare l’apporto di miglioramenti qualitativi.

Formazione e competenze

Infine, ma non meno importante, un ulteriore fattore di fondamentale importanza da considerare è l’awareness del personale. Ogni dipendente, infatti, potrebbe utilizzare password non sicure, aprire allegati mail sospetti o cliccare su link malevoli. Se questo è vero per quanto riguarda le PMI, nelle quali la formazione del personale è necessaria, ma anche relativamente semplice a causa del limitato numero dei dipendenti, è vero soprattutto per quanto riguarda le Pubbliche Amministrazioni e per le grandi aziende, che possono annoverare anche decine di migliaia di dipendenti. Per tali realtà la formazione del personale diventa un obbligo imprescindibile.

Dal momento che i dipendenti, se non periodicamente e adeguatamente formati, possono costituire un punto di accesso ai sistemi di un’organizzazione, ordini di grandezza simili possono comportare un grande aumento dell’esposizione al rischio.
Nell’epoca della digitalizzazione, l’erogazione di corsi di formazione e specializzazione per tutto il personale, dai neoassunti ai top manager, deve quindi diventare una priorità per tutte le organizzazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati