Ascolta l’articolo
L’Italia ha raggiunto un altro primato. Siamo ai vertici europei dei paesi più attaccati dai cybercriminali. Lo confermano gli ultimi studi e i report, come il “Defending the Expanding Attack Surface”, sulle minacce informatiche, a cura di Trend Micro Research. E come analizzano gli autori dello stesso report, a livello globale siamo “solo” terzi per attacchi macro-malware, dopo Giappone e Stati Uniti.
Idealmente anche da noi, nonostante dati poco rassicuranti, le aziende dispongono di solidi programma di sicurezza. Sono misure organizzate di resilienza la cui ultima sicura linea di difesa è il processo di backup e ripristino.
Idealmente le organizzazioni dispongono di backup efficaci dei dati critici, con cui ripristinare il sistema crittografato e contenere i danni.
Idealmente.
Ma se diventasse proprio l’ultima difesa, il server di backup, il principale obiettivo degli attacchi?
Oggi il ransomware e i criminali informatici sono più sofisticati. Adesso prendono attivamente di mira gli archivi di backup. Lo fanno essenzialmente con due tipologie di attacchi ransomware: crittografia ed esfiltrazione.
E la maggior parte dei server di backup locali può soccombere a entrambi. Per questo meritano un’attenzione speciale.
Ma restiamo in Italia e andiamo con ordine.
I settori presi di mira
A questo proposito, tra i settori più colpiti in Italia, c’è la Pubblica Amministrazione. Poi il settore manifatturiero e tutto il comparto della sanità.
Negli ultimi mesi, abbiamo assistito a una lunga scia di attacchi contro infrastrutture informatiche pubbliche. Aggrediti importanti comuni, singoli uffici, enti locali, associazioni. E gli attacchi sono stati condotti anche in maniera trasversale.
Ad esempio, lo stesso gruppo autore dell’attacco al Comune di Palermo, Vice Society, aveva colpito precedentemente l’ABI (Associazione Bancaria Italiana), pubblicandone poi dei dati sensibili. Stessa tecnica in entrambi i casi: ransomware.
Una raffica di attacchi è stata diretta anche verso le organizzazioni sanitarie, più esposte ai rischi di sicurezza informatica, ora che dipendono sempre più dalle tecnologie al servizio dei loro pazienti.
Tu chiamale, se vuoi, Cyber-estorsioni
I ransomware rappresentano quindi una minaccia persistente per le imprese italiane (e nel mondo), con attacchi che si verificano periodicamente. II problema è in continua crescita e sta assumendo sempre più rapidamente le vesti di un’impresa criminale estremamente redditizia.
Con piglio da uomini d’onore, gli hacker utilizzano il ransomware per crittografare dati e bloccare sistemi. E quando trovano e crittografano file importanti o sensibili, chiedono un riscatto per sbloccarli.
Siamo in presenza di cyber-estorisioni.
Tra le minacce più comuni, l’esfiltrazione dei dati è diventata primaria negli attacchi ransomware. I server di backup compromessi possono vanificare tutti gli sforzi fatti per ripristinare i danni. E le aziende spesso non hanno altra scelta che pagare il riscatto e sperare:
Per fortuna in Italia, nella maggior parte dei casi, le amministrazioni si sono rifiutate di cedere ai ricatti. Anche se poi, il ripristino dei servizi ha richiesto diversi giorni e particolare impegno da parte dei responsabili ITC.
Attacchi ransomware: strategie per la prevenzione e il ripristino
Molto è stato scritto sul rafforzamento delle imprese contro la minaccia del ransomware. Ora che gli hacker stanno prendendo di mira i server di backup, le aziende hanno il dovere di difendersi vigorosamente.
Computer World, in un suo recente articolo, afferma che gli hacker sanno benissimo che i server di backup sono spesso sottoprotetti e amministrati da personale meno esperto nella sicurezza delle informazioni. Dovrebbe essere l’opposto. Ogni server di backup dovrebbe essere costruito per essere il sistema più aggiornato e sicuro nel data center, inaccessibile e con il personale più qualificato.
Altro aspetto importante su cui si potrà lavorare sono le limitazioni. Limitare l’accesso ai server di backup in loco. E limitare la loro capacità di comunicazione in uscita, per proteggere i dati aziendali.
Seguendo questa logica, c’è bisogno anche un vulnerability management ben strutturato e tempestivo, per ridurre l’esposizione al rischio complessiva e tenere il passo con le minacce nuove e sempre più emergenti.
E poi, anche se richiede un grosso lavoro, l’adozione di un modello zero trust.
Il futuro inizia da zero. Zero Trust
Le PMI italiane stanno investendo in protezione, con la sicurezza della rete e del cloud in cima alla lista. In generale, tutto il settore della sicurezza informatica assume sempre più un ruolo strategico, sia nelle istituzioni, sia nelle aziende.
A dimostrazione della raggiunta consapevolezza, ci sono gli investimenti previsti dal PNNR (Piano Nazionale di Ripresa e Resilienza), così come l’aumento dei budget nelle organizzazioni private.
Per il futuro però occorre allargare lo sguardo.
Per tutelare il know-how e la produttività delle imprese occorre guardare al modello zero trust.
Ci sta lavorando un intero paese come gli Stati Uniti, che prevede il completo passaggio per la fine del 2024. Una strategia informatica che guiderà le capacità, i processi e gli investimenti informatici per rendere più facile per aziende e utenti lavorare in modo produttivo e sicuro su qualsiasi dispositivo, da qualsiasi luogo.
Un approccio prima culturale che strategico, che porti a una protezione completa dagli attacchi informatici interni ed esterni e che copra tutti i livelli contemporaneamente, dal livello operativo a quello sul campo e dalla protezione dei dati alla comunicazione, come descritto nel report di Gartner, How to Decipher Zero Trust for Your Business.
E forse sarebbe il caso di prenderlo seriamente in considerazione anche da noi, specie a livello di infrastrutture pubbliche.
