Quello che è accaduto tra fine luglio e inizio agosto, quando un ransomware ha colpito il CED della Regione Lazio bloccando il sistema di prenotazione dei vaccini Covid-19, è solo l’inizio di una stagione nuova, il manifestarsi di un fenomeno dagli impatti già considerevoli e in continua e poderosa crescita che ha riacceso la discussione sulla sicurezza delle infrastrutture critiche.
Da uno studio pubblicato nel Rapporto Clusit 2021, emergerebbe che nel corso del 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% e che nel corso del 2020 gli attacchi rilevati e andati a buon fine hanno avuto un impatto alto o critico sull’organizzazione, che l’ha subito, nel 56% dei casi.
Dalla ricerca “The State of Ransomware 2021” di Sophos emergerebbe che a livello globale nel 2020 le aziende colpite da ransomware sono state il 51% e quelle che hanno deciso di pagare richieste di riscatto ai criminali per impedirgli di bloccare i sistemi aziendali e diffondere le informazioni riservate sono state il 32%.
In Italia questi numeri diventano: 31% le aziende colpite da un attacco ransomware negli ultimi 12 mesi e 14% le aziende che hanno recuperato i dati pagando un riscatto. Infine, in un recente report di Trend Micro Research, divisione specializzata in cybersecurity, i Paesi a più alto rischio cyber sono nell’ordine: Stati Uniti, Giappone, Italia, India e Australia.
Il Bel Paese, insomma, è tra gli stati più colpiti al mondo, un bersaglio per gruppi e organizzazioni spesso criminali.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Attacco ransomware alla Regione Lazio: cos’è successo
Secondo la ricostruzione dei media, tornando alla Regione Lazio, un ransomware ha colpito il centro elaborazione dati (CED) che gestisce tutta la struttura informatica della Regione Lazio e i tecnici hanno pertanto disattivato – spengendo i server – il CED.
Per quello che è emerso nelle ore e giornate successive, e partendo dalle statistiche sopra riportate, non si è trattato di un attacco terroristico – come dichiarato nelle prime ore da qualche autorevole esponente politico –, ma di un classico attacco criminale, effettuato a scopo di estorsione.
Uno di quegli attacchi sferrati sempre con maggior frequenza (alcuni studi e ricerche affermano che a livello globale viene lanciato un attacco cyber ogni 11 secondi) e che, nel caso di specie, rientra nell’ambito del diffusissimo attacco ransomware.
Un attacco di questa natura punta a cifrare i dati dell’azienda (questa volta è capitato alla Regione Lazio, ma tante altre sono le organizzazioni “sotto tiro”) per poi chiedere il pagamento di un riscatto per ottenere la chiave di sblocco (decifrazione).
La differenza tra questo attacco e i tanti che quotidianamente colpiscono aziende, istituzioni e imprese sta nel fatto che il bersaglio è un po’ più grosso e il danno potrebbe essere molto più visibile e sensibile. Un attacco, quello all’Ente regionale, che ha riempito le pagine dei giornali e infuocato, assieme al caldo e alle ingiustificabili proteste dei no-vax, la prima decade di agosto.
Resistere agli attacchi ransomware: ecco come valutare le proprie capacità difensive
Sicurezza e infrastrutture: investire in tecnologie e competenze
Gli attacchi ransomware di solito agiscono su due fronti fondamentali di monetizzazione: la minaccia di bloccare l’attività della vittima e la minaccia di disseminare i dati custoditi dalla vittima (con conseguenti disagi e danni di immagine).
Poniamoci una domanda. Come si possono evitare situazioni del genere? A mio parere, occorre investire di più in tecnologia e in competenze.
La necessaria tecnologia difensiva
Dal punto di vista tecnologico, i primi passi da compiere dagli addetti ai lavori, possibilmente esperti, sono ben noti:
- dotarsi di sistemi hardware e software di grande affidabilità e aggiornati (antivirus, firewall, IPS, IDS ecc.);
- ridurre la superficie di attacco, per esempio togliendo gli accessi privilegiati a chi non ne ha strettamente bisogno e dandoli soltanto a chi usa macchine molto protette e non usate per attività personali (navigazione in Internet, uso di software non autorizzato, etc.). Insomma, per tranquillizzare i detrattori dello smart working possiamo affermare che, in questo caso, la modalità di lavoro (a distanza o in azienda) c’entra poco;
- predisporre una procedura di backup seria che offra il massimo isolamento fisico possibile. Il modo migliore per difendere i tuoi dati e scollegarli dalla rete e lo stesso vale per le copie di backup. Effettuare dunque una copia in uno spazio fisico non accessibile.;
- predisporre un piano di gestione del disastro per sapere cosa fare quando un attacco va a segno; perché prima o poi, se si è collegati ad una rete e ci sono persone che operano, l’attacco arriva;
- informare in maniera chiara e trasparente clienti, dipendenti e utenti. E, soprattutto, guidarli nelle fasi successive all’attacco;
- fare tesoro dell’esperienza per migliorare i sistemi di difesa e per rendere l’infrastruttura ancora più sicura.
Investire in competenze e formazione
Dal punto di vista delle competenze, invece, occorre lavorare per rendere gli utilizzatori dei sistemi informativi pronti a gestire con comportamenti corretti i diversi tentativi di attacco.
Attacchi che spesso, e soprattutto nella Pubblica Amministrazione, utilizzano tecniche di social engineering, con azioni che inducono le persone a fornire informazioni personali come password o dati aziendali o a consentire l’accesso a un computer al fine di installare segretamente software dannosi.
Un recente studio di Verizon, Data Breach Investigations Report 2021, ha rivelato che il 69% degli attacchi nella Pubblica Amministrazione sono generati da tecniche di social engineering.
Pensare – come inizialmente nel caso della Regione Lazio si è cercato di fare – di addossare le colpe a un dipendente o a un consulente che per incompetenza o ingenuità si è lasciato ingannare da una di queste tecniche o da una mail di phishing è la solita cultura del capro espiatorio, che serve a poco e che troppo spesso si rincorre per distogliere lo sguardo dalla luna e per non assumersi responsabilità.
Sul tema delle competenze, ricordiamolo, il nostro Paese è agli ultimi posti in Europa. Secondo gli indicatori del Digital Economy and Society Index 2020 (DESI 2020), l’Italia si trova al quart’ultimo posto nella classifica europea della digitalizzazione, in venticinquesima posizione rispetto ai 28 stati membri UE, davanti a Romania, Grecia e Bulgaria. Il punteggio italiano è pari a 43,6 mentre la media europea è a 52,6, ben 9 punti di scarto. Troppi, direi.
Il capitale umano: l’infrastruttura più importante
Analizzando poi la composizione dell’indice balza all’occhio la dimensione del capitale umano: in Italia solo il 42% delle persone tra i 16 e i 74 anni possiede digital skills di base, contro una media europea del 58% (70% in Germania).
Per quanto riguarda le competenze digitali, dunque, l’Italia ottiene un punteggio molto basso, tanto da occupare l’ultimo posto nell’UE.
Anche analizzando le competenze di alto livello, in Italia solo l’1% dei laureati ha conseguito una laurea in discipline ICT, contro una media europea del 3,6%.
A questi dati molto negativi e preoccupanti occorre affiancare quelli relativi all’attrattività del settore pubblico per le figure tecniche con competenze informatiche: essere un dipendente della PA, oltre a garantire una occupazione stabile, offre molto poco altro.
Anche dal punto di vista remunerativo il vantaggio è poco evidente. Lo stipendio tabellare annuo lordo da CCNL per la posizione C1 negli enti locali è di 22mila euro circa e per un D1 è di 24mila euro circa. Nel mercato privato, la remunerazione di uno sviluppare parte da 40.000 euro e in alcuni paesi europei si va molto ben oltre.
Un esperto ICT perché dovrebbe scegliere il settore pubblico quando può accedere ad un mercato del lavoro assai meglio remunerato?
È evidente, dunque, la necessità di lavorare anche su una seconda infrastruttura, quella più delicata e importante, e forse anche la più difficile da costruire e manutenere: il capitale umano.
Sicurezza e infrastrutture: ecco cosa serve
Mi avvio alle conclusioni con una ulteriore osservazione, frutto di alcune dichiarazioni circolate nelle ore successive all’attacco. In molti hanno affermato che il ricorso al “cloud nazionale” può risolvere il problema e rendere le infrastrutture informatiche più sicure e protette.
Il CED della Regione Lazio è quanto di più lontano si possa immaginare dal cloud: è una classica soluzione “on premise”, in loco.
A nulla è servito, dunque, avere “i server in casa”, per scongiurare un attacco da ransomware.
Pertanto, anche in questo caso, prima di parlare di soluzioni di tendenza, spesso frutto della moda del momento, informiamoci e affidiamoci a competenti e a esperti.
E soprattutto investiamo in formazione e in crescita del capitale umano, una infrastruttura sempre più necessaria e fondamentale per respingere virus, malware, disinformazione e minacce.
