La notizia è presto riassunta. Lo scorso 4 giugno è stato confermato un attacco ransomware che ha colpito Synnovis, un fornitore londinese di servizi diagnostici e di patologia digitale.
Oltre alla richiesta di riscatto, il blocco dei sistemi di Synnovis ha avuto ricadute sui propri clienti, ossia molti ospedali londinesi i quali, nella prima settimana dopo l’attacco, hanno dovuto annullare in tutto circa 800 interventi chirurgici e 700 appuntamenti con i pazienti.
Synnovis si è rifiutata di pagare il riscatto e gli hacker – l’attacco è stato rivendicato dal collettivo russo Qilin – hanno pubblicato circa 400 GB di dati trafugati mediante l’offensiva.
Questo è quanto. Le riflessioni che se ne possono trarre, però, non si esauriscono tanto facilmente.
La cyber security, per rubare (decontestualizzandole) le parole a Ivano Fossati, è “ferire e incassare”. È un pugile sul ring che non sa quando sarà colpito dall’avversario e deve tenersi sempre vigile e pronto alla reazione.
Il pugile deve essere sempre pronto e deve avere ben chiaro in mente come reagire: di questo parliamo con l’ingegnere Pierluigi Paganini, Ceo Cybhorus e membro ENISA – Ad-Hoc Working Group on Cyber Threat Landscapes.
Indice degli argomenti
Ospedali, ransomware e crisi totali
Gli attacchi hacker contro gli ospedali cristallizzano i timori più gravi: mettono a repentaglio la vita dei pazienti, dimostrano che gli attaccanti non si fanno troppi scrupoli e, non di meno, espongono a rischi i dati proprio laddove fa più male. Le informazioni più aderenti al concetto di privacy sono proprio quelle che riguardano la salute.
Ridurre al pagamento del riscatto le conseguenze di un attacco ransomware è fuorviante e ogni incursione a danno di infrastrutture critiche lo spiega bene: interventi chirurgici posticipati (nel caso degli ospedali), trasporti soppressi (nel caso di aeroporti, treni, navi, …), intere aree al buio, e via così (di male in peggio).
La sicurezza è come un terremoto (?)
Un terremoto è impossibile da controllare e i movimenti sismici non sottostanno alla volontà dell’uomo. La mancanza di cultura cyber e le misure di cyber security lasche, male implementate o – peggio – del tutto assenti, lasciano il controllo in mano agli hacker. Ovviamente questo paragone – assai tirato per i capelli – è puramente provocatorio, fermo restando che non si può fare della cyber security qualcosa che sfugge completamente al controllo.
Nelle zone ad alto rischio sismico, tuttavia, le autorità sensibilizzano la popolazione spiegando quali comportamenti adottare in caso di terremoto e attuano piani di evacuazione che rivedono con una certa regolarità. Le organizzazioni che non hanno compreso il valore della cyber security non sanno cosa fare quando sono sotto attacco. Pessimi pugili: il punto è capire che non si sa quando l’avversario sferrerà un colpo, non se lo sferrerà.
Nel caso della cybersecurity, oltre al concetto di difesa in sé, come dicevamo difetta anche la propensione alle misure da sganciare quando un’organizzazione è vittima di un attacco. Questo significa lasciare la propria organizzazione in mano ad altri, ossia agli hacker.
Il caso Synnovis lo dimostra in modo deflagrante: l’unica misura tempestiva è stato il non cedere agli hacker, rifiutando di pagare il riscatto che, in alcuni casi, può essere la cosa meno interessante per gli hacker, il cui ego è già gonfiato dalla copertura mediatica dell’offensiva condotta con successo.
I rimedi
Dei rimedi si è parlato a lungo. I media e gli esperti del settore si spendono molto per veicolare i messaggi di primaria importanza. Backup, cultura della difesa, sistemi adeguati alle necessità dell’organizzazione, controllo degli accessi e, a seguire, un elenco lungo di tecnologie e metodi i quali, in definitiva, rimangono per lo più ignorati da chi fa impresa.
Non ci sarà rimedio realmente efficace fino a quando le organizzazioni non comprenderanno che la cyber security non è un costo secco ma un investimento e, di conseguenza, non forniranno adeguata formazione a dipendenti, collaboratori e stakeholder.
L’idea di non spendere denaro per lasciare il destino dell’organizzazione alla mercé degli hacker non ha alcun senso. Ed è un contesto vasto e complicato: un’organizzazione non deve occuparsi soltanto della propria cyber security ma deve sincerarsi che i partner con cui collabora facciano altrettanto.
Per gli hacker la logica di colpire un’entità (Synnovis) per raggiungerne altre in cascata (gli ospedali) è una manna.
Le misure di prima urgenza
In un contesto tanto ampio, le misure di prima urgenza dovrebbero spingere le organizzazioni a concentrarsi su loro stesse. E questo è quasi una panacea, perché funziona sia se l’attacco è mirato all’organizzazione in sé sia se prende di mira un’organizzazione partner e si sparge a macchia d’olio.
L’idea di fondo è quella di isolarsi, pure garantendo l’operatività di base. Lavorare in modo limitato e persino a singhiozzo è comunque meglio di non lavorare del tutto: questo lascia agli addetti alla cyber security il tempo di ripristinare la situazione e, forse persino in prima istanza, scoraggia gli hacker spingendoli a cercare obiettivi diversi.
Abbiamo chiesto all’ingegner Paganini quanto sia balzana l’idea di creare un’architettura di rete “gemella” a quella pienamente operativa la quale, seppure a circuito chiuso (connessa a internet solo per le attività vitali), può garantire la continuità di business.
“Innanzitutto, non parlerei di deterrenza, che nel nostro ambito ha altra valenza, bensì di continuità operativa”, spiega Paganini. “L’idea di avere infrastrutture di rete di backup ad anello chiuso, non connesse a Internet, può effettivamente consentire ad un’azienda sotto attacco di continuare ad operare in particolari condizioni. Queste reti parallele, pure non essendo in grado di erogare tutti i servizi avanzati, garantirebbero comunque un livello minimo di operatività e funzionalità essenziali per le organizzazioni sotto attacco. Inoltre, la capacità di ripristinare rapidamente le funzionalità critiche aumenta la resilienza dell’organizzazione”.
Le controindicazioni riportano all’origine di gran parte dei mali che attanagliano la cyber security: “Ovviamente, l’implementazione di tali soluzioni richiede investimenti significativi e non sempre risponde ai requisiti di sicurezza, continuità operativa e budget delle organizzazioni eventuali bersagli di attacchi”, conclude Paganini.
A differenza di quanto accade sul ring, quando si parla di cyber security farsi mettere alle corde non è mai una strategia pagante: una rete di backup può fare la differenza, anche se non è adatta a tutte le organizzazioni.