Il 26 gennaio appena trascorso Marposs, azienda attiva negli apparecchi per le misure di precisione con sede nel bolognese, è stata vittima di un attacco cryptolocker e l’operatività ne ha risentito impattando soprattutto sulla logistica.
Marposs ha fatto ricorso alla cassa integrazione parziale per una settimana circa, facendo rientrare i lavoratori in servizio a mano a mano che la situazione è andata normalizzandosi.
Questa notizia, ripresa da diversi media, è il punto da cui partiamo per valutare la situazione nel suo insieme che, peraltro, travalica le singole imprese andando a ricadere sull’economia reale.
Indice degli argomenti
Gli attacchi, l’economia e la democrazia
Le evoluzioni delle minacce e delle tecniche offensive non sono più questioni che riguardano soltanto attaccanti e vittime. Il cyber crimine, così come insegna la cronaca più recente, mina la sicurezza delle nazioni, l’idea stessa di democrazia e l’economia reale. La continuità delle attività aziendali e la salvaguardia dei posti di lavoro sono conseguenze di un tutto più grande.
La diffusione della migliore cyber cultura possibile è ormai un’emergenza: il caso Marposs dimostra che i criminal hacker sono attori di offese strutturali capaci di mettere in crisi assetti industriali, sistemi economici e persino Stati.
Parafrasando, non è più possibile considerare la cyber security come un processo che riguarda solo le imprese e l’ICT in senso ampio. È uno scudo che protegge le economie e le democrazie e, come tale, ha ricadute anche sociali.
Il parere dell’avvocato Stefano Mele, Partner di Gianni & Origoni e responsabile del Dipartimento Cybersecurity & Space Economy Law, verte in questa direzione: “Gli attacchi alle infrastrutture critiche, alle grandi aziende e alla loro supply chain producono effetti concreti sul sistema economico, rallentando la produzione, interrompendo i servizi essenziali e causando danni finanziari diretti e indiretti. Oltre al costo immediato dell’incidente, bisogna considerare il tempo necessario per ripristinare le operazioni, la perdita di fiducia da parte di clienti e investitori e i costi legali e reputazionali. Ciò, a maggior ragione quando guardiamo agli attacchi ransomware. In un’epoca in cui il digitale è il cuore pulsante dell’economia, un attacco informatico – ivi compreso e a maggior ragione quello ransomware – può avere conseguenze paragonabili a quelle di una crisi finanziaria”.
L’idea di vietare per legge il pagamento dei riscatti
Il 14 gennaio il governo britannico ha avviato una consultazione finalizzata alla volontà di impedire che le strutture pubbliche vittime di ransomware possano pagare il riscatto chiesto dai criminal hacker.
Un’idea che la nostra storia nazionale recente conosce molto bene e rimanda a tempi analogici, quando il governo ha introdotto la legge 82/1991 che rendeva più complesso il pagamento dei riscatti per ottenere la liberazione delle persone sequestrate.
Sembra un paragone tirato per i capelli, se non fosse che è propedeutico ad alcune considerazioni attualissime: il blocco dei beni dei sequestrati e delle loro famiglie è stato soltanto uno dei deterrenti voluti dal legislatore. A corredo sono state introdotte pene più severe per i criminali e sono stati migliorati i metodi investigativi, così come spiega ilPost.
Il crimine non è stato affatto debellato, tant’è che i malviventi hanno progressivamente abbandonato i sequestri di persona preferendo concentrarsi su altre attività criminali, soprattutto su traffici e mercimoni ritenuti meno rischiosi e più redditizi.
L’equilibrio precario delle norme anti-riscatto
Le attività legislative tese a vietare il pagamento dei riscatti vanno valutate in modo neutro e realistico.
Come spiega ancora l’avvocato Stefano Mele, che si è espresso sul tema anche intervenendo durante la trasmissione Progress in onda su SkyTG24: “È un tema complesso. Il legislatore può certamente intervenire per vietare il pagamento di un riscatto a seguito di un attacco ransomware, come già avviene in alcuni Stati americani per enti pubblici e organizzazioni governative, oppure come il Regno Unito sta valutando di imporre ad alcune tipologie di aziende e pubbliche amministrazioni. Tuttavia, imporre un divieto assoluto alle aziende private solleva questioni delicate: da un lato, infatti, si ridurrebbe senz’altro il business delle organizzazioni criminali legate ai ransomware, dall’altro però si costringerebbero le imprese a valutare spesso se rispettare la legge o tentare di salvare la propria operatività. Il vero obiettivo dovrebbe essere mettere le aziende nelle condizioni di non dover mai scegliere tra pagare o soccombere, attraverso una strategia solida di prevenzione e resilienza. Ciò premesso, il mio pensiero è che il pagamento di un riscatto a seguito di un attacco ransomware dovrebbe essere sempre vietato per i soggetti pubblici e privati rientrati nel Perimetro di Sicurezza Nazionale Cibernetica e per quelli definiti come ‘essenziali’ dal Decreto NIS 2”.
Vietare per legge il pagamento dei riscatti può non bastare, è quindi necessario inserire ulteriori misure per la tutela non delle imprese ma dell’intero Paese.
I pro e i contro
Oltre all’ipotesi ventilata dall’avvocato Mele, secondo la quale le imprese potrebbero aggirare eventuali norme anti-riscatto per salvaguardare le rispettive operatività, va anche detto che cedere alle richieste dei cyber criminali non coincide per forza di cose con la soluzione del problema.
Dopo avere pagato il riscatto i criminali potrebbero non consegnare le chiavi per decifrare i file criptati oppure, sapendo che l’azienda ha accontentato le richieste, i criminal hacker potrebbero prodigarsi per colpirla nuovamente in futuro.
Mentre l’elenco dei “pro” è molto breve, si esaurisce di fatto con la ripresa dell’operatività dell’organizzazione sotto scacco, la lista dei “contro” è molto lunga e non può considerarsi esausta sciorinandone i punti deboli. Nasce a monte delle attività del cyber crimine e ha molto a che fare con la postura.
Per ridurre le possibilità di cadere nei tanti tranelli orditi dal cyber crimine occorre partire dall’assunto secondo il quale la cyber security è un investimento teso alla sopravvivenza delle imprese: così come queste investono in macchinari, in tecnologie, in software o nelle reti di vendita, dovrebbero investire anche in formazione del personale e in strumenti hardware e software per garantire una buona resilienza delle infrastrutture e una buona sicurezza dei dati.
Una provocazione
Promuovere le attività di ethical hacking e incentivare il sistema di sgravi fiscali esistente (e perfettibile) inchioderebbe le aziende alle proprie responsabilità. In caso di attacco andato a buon fine, dovrebbero spiegare al mercato e agli stakeholder perché, nonostante gli incentivi, non si sono impegnate sufficientemente nella prevenzione dei reati informatici.
Non bisogna dimenticare che le organizzazioni vittime di attacchi hacker, molto spesso, non possono essere sollevate da responsabilità oggettive. Il crimine esiste e non può essere ignorato e sappiamo anche che le imprese vi sono potenzialmente esposte.
Difendersi nei modi più appropriati è un dovere tanto per i piccoli imprenditori quanto per gli organi dirigenziali delle realtà aziendali più grandi.
