“Sicuramente ci sono diversi livelli di rischio a seconda di chi usa la tecnologia, di quali processi sono coinvolti e della tipologia di dati trattati, ma la gestione del rischio informatico è un problema che dovrebbe toccare tutti, sia in azienda che nella propria vita privata”. Elisa Ballerio è Marketing Manager di CybergOn, la divisione di cybersecurity della Elmec Informatica di Brunello.
Il rischio informatico è balzato in testa alle classifiche delle preoccupazioni delle imprese in tutto il mondo, in pochissimo tempo. Cosa sta succedendo e perché?
Pur considerando che il rischio informatico è un problema che è sempre esistito ed è intrinseco nell’utilizzo della tecnologia, è innegabile che nell’ultimo anno e mezzo ci sia stato un incremento importante del numero di fattori che contribuiscono ad aumentare le criticità. La pandemia ha forzato la digitalizzazione in tutti gli ambiti della nostra vita privata e lavorativa ed è stata un terreno molto fertile per gli attacchi informatici perché ha trovato le aziende totalmente impreparate alla nuova gestione dei processi, aumentando quindi in maniera esponenziale la superficie di attacco e i comportamenti che li facilitano. Alcuni di questi, come l’utilizzo di connessioni Internet domestiche non protette, l’accesso non appropriato a VPN aziendali, la condivisione di credenziali tra colleghi e l’estensione dei privilegi minimi per accedere a documenti aziendali, sono spesso stati la causa di attacchi informatici e del conseguente furto di dati. Inoltre, la democratizzazione del crimine informatico, che ormai è accessibile anche a chi ha competenze minime secondo il modello del Crime-as-a-Service, è causa del crescente numero di gruppi organizzati di criminali informatici che lucrano dalla vendita di informazioni rubate o dal furto diretto di denaro.
Qual è la dimensione del fenomeno? Oltre a quello che si sente nelle cronache c’è dell’altro? L’Italia come si posiziona rispetto ad altri paesi avanzati?
Per dare un’idea del fenomeno, basta ricordare che il World Economic Forum di Davos ha definito il Cyber Crime la terza economia al mondo in termini di PIL prodotto. Una password compromessa può valere fino a 500 dollari e una cartella clinica anche di più. Chiaramente il prezzo dipende sempre dal soggetto e dalla qualità dei dati che vengono trafugati. Tuttavia, anche considerando set di dati venduti a prezzi molto più modici, la vera forza del Cyber Crime è l’economia di scala: nel 2021, solo in Italia, si sono registrati in media 600 attacchi informatici al giorno. Sicuramente troppi per essere trattati singolarmente dalla cronaca, ma è per dare un’idea della portata del fenomeno e della monetizzazione che ne deriva. E purtroppo devo anche aggiungere che, secondo il report Attacks from All Angels di Trend Micro, nel primo semestre del 2021 l’Italia si attesta il quarto Paese più colpito al mondo da attacchi informatici, soprattutto per quanto riguarda i settori che trattano informazioni sensibili come le telecomunicazioni, il settore bancario e finanziario e la distribuzione. Addirittura, siamo il secondo Paese dopo l’India per la media settimanale di attacchi nel settore dell’istruzione e della ricerca.
Chi sono i criminali informatici che si celano dietro questi attacchi?
Nell’immaginario collettivo i criminali informatici sono individui singoli, circondati da un’aura di mistero e onniscienza che li rende quasi oggetto di invidia per l’intelligenza e la scaltrezza che mettono in campo nel “bucare” i sistemi informatici senza essere scoperti e nello scappare indisturbati con un bel bottino. In realtà, l’idea del tenebroso Lupin è quanto di più fuorviante ci sia. Oggigiorno i criminali informatici sono gruppi di persone organizzati in vere e proprie aziende che hanno come unico obiettivo il profitto, proprio come un’azienda “tradizionale”. Le principali fonti di guadagno di queste organizzazioni sono sicuramente il furto diretto di soldi tramite phishing o l’appropriazione di credenziali e la rivendita di dati sottratti ad aziende terze; si aggiunge a questo elenco anche la rivendita di codice o porzioni di codice per permettere ad altri criminali di perpetrare nuovi attacchi.
Gli attacchi hacker con finalità politiche o etiche sembrano un lontano ricordo. Sono del tutto scomparsi?
Nel gran numero di attacchi informatici che vengono lanciati tutti i giorni, può capitare che alcuni attivisti, i cosiddetti Hacktivist, si facciano promotori di attività che hanno come obiettivo minare la reputazione o bloccare le attività di aziende per cause politiche e sociali. È difficile, considerando le numeriche e le mancate rivendicazioni, discernere in maniera precisa tra i gruppi che vogliono solo lucrare dagli attacchi e quelli che hanno altre finalità. Bisogna però essere coscienti del fatto che, seppur mossi da motivazioni che qualcuno potrebbe condividere, anche gli Hacktivist sono a tutti gli effetti criminali informatici e le loro azioni devono essere condannate in quanto non legali. Per concludere, penso che la maggior parte degli attacchi abbia come finalità il profitto, anche se può a volte essere nascosto dietro ad una parvenza di moralità.
Quali sono gli strumenti tecnologici ed organizzativi che oggi è possibile mettere in campo per reagire ad un contesto così preoccupante? Se si entra nel mirino di queste bande davvero non c’è scampo come sembra?
Metto subito le mani avanti: non è mai possibile essere protetti al 100%. È tuttavia possibile costruire una strategia di difesa che tocchi processi, tecnologie e risorse in modo da mitigare quanto più possibile il rischio e, soprattutto, in modo da produrre una reazione immediata e ben strutturata in caso di attacco. Dotarsi di un antivirus con antimalware è un primo passo imprescindibile per costruire una buona difesa. Il passo necessario successivo è attivare anche un sistema di protezione dei terminali (EDR, Endpoint Detection and Response) che identifichi comportamenti anomali e sia in grado di prevedere l’impatto di tali comportamenti, assegnando quindi un punteggio in base alla gravità del comportamento individuato. Nonostante questo primo passo, la tecnologia da sola non basta. Bisogna anche interrogarsi sulle competenze necessarie per controllare e gestire i risultati delle analisi, in considerazione anche della copertura oraria che, per quanto riguarda la sicurezza informatica, deve necessariamente essere 24 ore su 24, 7 giorni su 7. Al momento, le risorse specializzate sulla sicurezza informatica scarseggiano e le figure senior, con competenze verticali in materia, sono così rare da essere considerate quasi delle leggende. Considerando i vincoli di risorse, copertura oraria e competenza, non è raro che le aziende decidano di affidarsi ad un fornitore esterno per la gestione della sicurezza. In questi casi, è importante definire una vera e propria strategia di disaster recovery, in modo da poter gestire prontamente gli attacchi informatici e le possibili conseguenze.
Per saperne di più leggi anche: