La sicurezza informatica è un tema sempre più centrale per le imprese. Anche tra quelle varesine aumentano i casi di ransomware, ossia di intrusioni ostili nei sistemi digitali. Quella del ragazzo nerd col cappuccio è un’immagine collettiva da sfatare. La posta in gioco è più alta. Dietro ci sono vere e proprie organizzazioni criminali strutturate per chiedere riscatti con la minaccia di mandare in tilt le aree amministrative, marketing e di progettazione. Fino ai reparti produttivi, cavalcando il diffondersi dell’industria 4.0. La prima arma è la prevenzione
All’inizio è solo un sospetto, una diceria. Poi iniziano ad arrivare le conferme più o meno dettagliate. “Tutto fermo, tutto bloccato da una settimana e chissà per quanto tempo ancora. Un disastro”. Un’altra azienda, l’ennesima, è rimasta vittima di un incidente di sicurezza informatica, con gravi ripercussioni sulla continuità dell’attività che si estendono anche a clienti e fornitori. E quando i clienti sono “pazienti” di una struttura sanitaria, quello che potrebbe essere normalmente un disagio, inizia ad assomigliare ad un dramma. Per non parlare delle conseguenze sull’immagine, anche e soprattutto a causa di una comunicazione della crisi spesso gestita malissimo.
Molti non addetti ai lavori, anche con una malcelata punta di scetticismo, si fanno delle domande e si chiedono perché da qualche mese a questa parte questo tipo di incidenti sia sempre più frequente, diventando oggetto di cronaca nei media. “I processi aziendali sono sempre più digitalizzati: dall’amministrazione alla fabbrica 4.0 passando per la progettazione, il marketing, le comunicazioni; e non si tratta solo di adottare nuove tecnologie, ma di ripensare anche ai processi proteggendosi adeguatamente dai rischi”, avverte Andrea Rinaldi, Presidente del Gruppo merceologico “Terziario Avanzato” dell’Unione degli Industriali della Provincia di Varese. “L’azienda digitalizzata è spesso più efficiente e competitiva rispetto alle imprese tradizionali, ma deve saper individuare per tempo i vecchi e nuovi rischi informatici a cui si espone e attuare le contromisure necessarie in una logica di prevenzione. Non è certo una cosa semplice”, continua Rinaldi. “Nelle nostre imprese siamo sempre impegnati su mille fronti ed è difficile trovare anche solo il tempo per fermarsi a ragionare in modo strutturato sui temi della sicurezza informatica. Spesso, oltretutto, oltre al tempo e alla sensibilità verso il problema, mancano anche le competenze interne”. Per comprendere l’incidenza del tema del rischio informatico, sul territorio varesino, l’Ufficio Studi dell’Unione Industriali ha recentemente lanciato un breve sondaggio che ha evidenziato un numero preoccupante di incidenti di una certa rilevanza tra le imprese intervistate. La maggior parte di questi ha comportato un’interruzione significativa dell’attività aziendale con un conseguente danno economico non certo trascurabile. Numerose le segnalazioni di attacchi ransomware (attacco hacker con richiesta di riscatto) e truffe finanziarie derivanti da intrusioni (man-in-the-mail / man-in-the-middle).
“È purtroppo l’ennesima conferma di quanto già sapevamo”, commenta Andrea Rinaldi. “Il nostro territorio, con il suo tessuto industriale costituito prevalentemente da piccole e medie imprese, non è certo immune a problematiche di rischio informatico, ma è soprattutto preoccupante l’incidenza degli attacchi ransomware, cioè quel tipo di attacchi strutturati ed organizzati con finalità estorsive. Rappresentano un pericolo molto grave perché generano costi elevatissimi e prolungate interruzioni dell’attività aziendale. Proprio alla luce di questa preoccupante evoluzione, il Gruppo merceologico ‘Terziario Avanzato’ di Univa ha deciso di lanciare un progetto, un percorso di avvicinamento alla tematica della Sicurezza Informatica. In questi giorni vedrà la luce il primo risultato di questa nostra attività: il Decalogo per la Sicurezza, una guida concreta che dedica ampio spazio a consigli pratici su dieci temi critici per la protezione dei dati nelle imprese”.
Andrea Rinaldi, Presidente del Gruppo Merceologico “Terziario Avanzato” Univa: “Il nostro territorio, con il suo tessuto industriale costituito prevalentemente da piccole e medie imprese non è certo immune a problematiche di rischio informatico, ma è soprattutto preoccupante l’incidenza degli attacchi ransomware. Proprio alla luce di questa evoluzione come Univa abbiamo deciso di lanciare un progetto, un percorso di avvicinamento alla tematica della sicurezza informatica. In questi giorni vedrà la luce il primo risultato di questa nostra attività: il Decalogo per la Sicurezza”
Ma cosa sono i ransomware e perché sono così temuti dagli esperti? Andiamo ad analizzare per sommi capi le fasi di un attacco. L’esordio è quello classico a cui siamo ormai abituati: quello di un virus informatico come tanti altri. Lo si può incontrare per caso, navigando sul web. Diversamente, in alcune organizzazioni nel mirino dei criminali da tempo, il malware viene abilmente “somministrato” ancorché con i soliti metodi: tramite mail di phishing, sfruttando vulnerabilità della rete aziendale o password compromesse. In alcuni casi l’attacco parte dall’interno, mediante stratagemmi anche fantasiosi come, ad esempio, una chiavetta usb infetta opportunamente recapitata in azienda o fatta trovare per caso. In qualche caso il fattore scatenante può anche essere un dipendente infedele. Una volta che il malware (il virus) si è installato all’interno della rete aziendale, inizia ad eseguire una serie di attività di scansione e analisi di ciò che riesce a raggiungere.
Ottenuta una prima analisi, avvisa il suo “creatore” di essere pronto ad agire, consegnandogli di fatto un terminale “interno” alla rete oggetto dell’attacco. Il “creatore” o meglio “mandante” probabilmente non è un singolo hacker che segue lo stereotipo “felpa e cappuccio”. Quasi certamente si tratta di una articolata e potente organizzazione criminale che opera sul web e che per il tramite di questo malware inizia a compiere alcune azioni con l’obiettivo di trarre il massimo profitto dall’operazione. Vediamo alcune delle più comuni. Sfruttando vulnerabilità note, l’attaccante cerca di “scalare” i privilegi nella rete aziendale fino ad ottenere ruolo pari all’amministratore. Vengono copiati all’esterno (tecnicamente si dice esfiltrati) tutti i dati critici dell’organizzazione ma soprattutto quelli che possono essere venduti nel dark web (soprattutto dati di persone, credenziali, dati sanitari, bancari, progetti...). Viene attuato un piano di compromissione di tutti i backup e di tutti i server raggiungibili. Quando tutto è pronto e ogni archivio utile è stato copiato, i dati vengono infine crittografati e i sistemi bloccati. La richiesta di riscatto viene presentata con ultimatum piuttosto stringenti, inclusa la minaccia di pubblicare i dati o di proseguire con attacchi diversificati in grado di interdire la normale attività aziendale.
A questo punto l’organizzazione vittima si trova davanti ad un primo bivio: pagare il riscatto e tentare di chiudere la questione oppure provare a rimediare basandosi sui backup e attuando un piano di emergenza. Diciamolo subito: il pagamento del riscatto non è mai una buona idea, per una serie di motivi. Potrebbe essere oltre che inopportuno anche illegale. Non c’è inoltre alcuna certezza che a seguito del pagamento vengano rispettati i patti e i criminali consegnino la chiave di decrittazione e non vendano i dati di cui sono in possesso. Un ulteriore motivo è che non ci si potrà più assolutamente fidare della propria rete e quindi ogni singolo server Pc o oggetto interconnesso dovrà essere oggetto di reinstallazione o bonifica, con i costi che ne conseguono. Il riscatto sarebbe solo un costo aggiuntivo. “Ogni azienda dovrebbe avere pronto un piano per fronteggiare l’eventualità di un blocco dei sistemi informatici, quale che sia la causa scatenante”, commenta il Presidente Rinaldi. “In ogni caso la presenza di una copertura assicurativa adeguata, insieme al supporto tempestivo di personale esperto per la gestione di un attacco ransomware, può ridurre significativamente il tempo di risoluzione di un incidente e quindi limitare anche di molto il conseguente danno economico”.
Per saperne di più leggi anche: