I notiziari ci informano – quasi ogni giorno – in merito a cyber-attacchi condotti verso obbiettivi strategici e/o politici, sia italiani che europei.
Lo scenario cyber, già pessimo, si è notevolmente aggravato dall’inizio della guerra Russia – Ucraina, con cyber-terroristi che spesso hanno alle spalle strutture e risorse governative.
In questo panorama, abbiamo sperimentato direttamente eventi che sinora non erano immaginabili: anche le organizzazioni “comuni”, cosi come le aziende di piccole dimensioni, sono divenute obbiettivi appetibili per le organizzazioni cyber; questo perché la compromissione di un server o di un servizio IT lo tramuta in uno strumento a disposizione per ulteriori azioni illecite o campagne di attacco verso terzi.
Anzi, abbiamo rilevato come le infrastrutture di aziende meno strutturate siano più “appetibili”, in quanto certamente meno protette.
Nelle ultime settimane abbiamo rilevato specifici attacchi DDOS verso innumerevoli piattaforme WEB, a seguito della diffusione di una particolare tecnica di attacco non complessa da attuare e nello stesso tempo molto efficace, anche alla portata di soggetti con ridotte risorse e competenze.
Il tipo di attacco DDOS – pur essendo di difficile mitigazione – non risulta essere tra i peggiori attacchi che le aziende possono subire; esso ha il “vantaggio” di essere immediatamente visibile (il sito web rallenta vistosamente o si blocca del tutto).
Quindi, i peggiori attacchi sono quelli invisibili, magari condotti da hacker criminali che si intrufolano nel sistema e vi permangono – latenti – anche per mesi, senza che nessuno ne abbia contezza. L’infrastruttura diviene strumento per qualsiasi attività illecita, e la perdita dei dati è probabilmente la conseguenza meno dannosa conseguente. Il criminale è all’interno della infrastruttura informativa aziendale, e spesso potrà far leva per introdursi in altre reti secondarie o addirittura in altre organizzazioni.
In caso di attacco, le contromisure che possono essere attuate nell’immediato – quindi non predisposte in precedenza – probabilmente non avranno la necessaria efficacia; la strategia che proponiamo è quella di prevenire (comportamento proattivo) invece che intervenire a posteriori. Debbono essere progettate contro-misure automatiche di mitigazione o di blocco degli attacchi, in quanto nell’immediatezza dell’attacco non si possono compiere miracoli.
Quindi abbiamo visto che gli attacchi sono destinati a moltiplicarsi – negli ultimi anni lo scenario si è sempre aggravato – e chiunque può esserne il bersaglio.
Specialmente nelle organizzazioni di piccola e media dimensione, registriamo come spesso vi sia una sottovalutazione del rischio, e contestualmente l’adozione di misure generiche che spesso producono più danni che risultati: si ritiene che la sicurezza sia ottenibile comprando scatole.
I vari vendor IT – che molto spesso sono anche gli amministratori del sistema informatico – propongono il classico antivirus, un firewall (economico) mancante delle necessarie funzionalità NGFW (o che nessuno sa implementare), con buona pace della reale sicurezza ITC.
L’aspetto peggiore di queste soluzioni inadeguate deriva dalla generazione di un falso senso di sicurezza dell’azienda.
Nell’immaginario comune, si ritiene che un data breach sia causato da un problema che riguarda essenzialmente strumenti elettronici e sistemi informatici, il famoso “bug del software”.
Questo è assolutamente falso e fuorviante, in quanto – nella stragrande maggioranza dei data breach – il fattore umano è stato l’aspetto prevalente che lo ha determinato.
Quindi, prima di comprare scatole o trasferire servizi in Cloud, occorre analizzare bene l’infrastruttura, valutare le necessità ed i rischi incombenti.
Occorre essere consapevoli che spostare uno strumento in Cloud, pur ritenendosi contestualmente di trasferirne anche la responsabilità, non la si trasferisce: il Titolare del Trattamento permane comunque responsabile anche dei trattamenti esternalizzati, con il risultato di aver introdotto almeno un altro paio di livelli di complessità e di vulnerabilità aggiuntive.
Questa valutazione deve essere fatta da un punto di vista complessivo, e non limitato agli aspetti tecnici (di norma un ruolo tecnico ha una visione parziale, prevalentemente tecnologica). Per questo, talvolta le soluzioni prospettate hanno peggiorato la sicurezza, invece di migliorarla. Inoltre, ogni misura da adottarsi non potrà prescindere dalla condivisione della stessa da parte di tutti gli stake-holders, e dalla loro necessaria formazione sul suo corretto funzionamento.
Talvolta riscontriamo come alcune misure di basso costo (o nullo), non siano state adottate, in quanto non è stata bene inquadrata la problematica sottostante, ne le relative misure di miglioramento e/o mitigazione. Come esempio portiamo la principale misura della crittografia, che è ormai disponibile in tutti gli strumenti informatici recenti.
In caso di attacco, occorre mettere in atto misure immediate di contenimento, oltre ad adottare procedure di computer forensic per fornire alle autorità informazioni e dati tecnici adeguati e certi per svolgere le successive indagini.
Contattateci per una prima valutazione gratuita e non vincolante, in quanto la nostra visione è quella di proteggere al meglio i dati facendo investimenti con il massimo rapporto costo / benefici, possibilmente adottando soluzioni open-source che spesso superano quelle commerciali.
Mai come adesso, la protezione dei dati non è una mero adempimento di normative e regolamenti, ma è necessaria per garantire la continuità aziendale e quindi il futuro dell’azienda stessa.