Le indagini sono in corso, ancora non è chiaro come il virus sia partito dal computer del dipendente pubblico da cui sembra che tutto abbia avuto origine. Tuttavia già ora il caso di manomissione della sicurezza informatica della Regione Lazio che ha smosso l’estate italiana sta facendo in qualche modo scuola e verrà ricordato per aver introdotto un argomento nuovo fra le cosiddette chiacchiere da bar.
Nonostante le intrusioni nei sistemi informatici delle aziende – siano esse pubbliche o private – esistano da tantissimi anni, nell’ultimo periodo c’è un palpabile aumento di attenzione verso questi casi e, certamente, un aumento esponenziale degli attacchi realizzati. Basta sfogliare la cronaca degli ultimi giorni per rendersene conto.
Poco dopo Ferragosto, infatti, la compagnia telefonica statunitense T - Mobile ha dovuto confermate il furto di dati sensibili (nomi, date di compleanni, numeri di previdenza sociale) di 40 milioni di clienti. Il 22 agosto il Dipartimento di Stato americano è stato oggetto di un attacco che, a quanto riporta l’agenzia Agi “non ha causato interruzioni significative e le sue operazioni non sono state in alcun modo ostacolate. In particolare non avrebbe subito conseguenze l’attività del Dipartimento, impegnato nelle evacuazioni in Afghanistan”. Ultima in ordine cronologico ad essere colpita dai delinquenti informatici è stata TIM che ha avvisato alcuni utenti di aver rivelato “attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle credenziali di accesso a MyTIM”.
Prima ancora era stato preso di mira il gruppo energetico ERG, il social network Linkedin, un oleodotto americano e la divisione pos e stampanti di Toshiba e, in ogni caso, si parla di una piccola parte della miriade di tentativi di forzare la sicurezza informatica messi in atto quotidianamente da gruppi più o meno organizzati.
Il clima sta cambiando e ce lo ha confermato Cesare Pizzi, analista e ricercatore in sicurezza informatica di Sorint lab, multinazionale del settore IT con sede a Bergamo. Se già durante l’ultima edizione di BergamoScienza avevamo intervistato Gynvael Coldwind, esperto della sicurezza di Google, che ci aveva parlato della figura dell’hacker, ora la questione diventa terribilmente seria e concreta, riguardando sempre più i nostri dati sensibili.
Ogni dato sottratto ha un valore
La sicurezza informatica o cyber security è un argomento dal quale le aziende non possono più sfuggire, ormai esperti e pubblicazioni di settore lo ribadiscono con costanza. “Ogni dato sottratto, infatti, ha un costo e un valore, non solo per i criminali che se ne impossessano, ma anche in termini di visibilità e fiducia della realtà imprenditoriale colpita” spiega Cesare Pizzi.
Chi pensa che ad avere un interesse commerciale siano solo i dati finanziari o i grandi progetti imprenditoriali si sbaglia di grosso. Qualsiasi cosa può avere un costo se venduto al compratore giusto, compresi indirizzi fisici, dati sanitari, elenchi di indirizzi e-mail, che possono essere rivenduti, di passaggio in passaggio, tra mercato ufficiale e nero a compagnie che li utilizzano per le loro azioni di marketing.
A questo si somma, come detto, il danno in termini di reputazione per l’azienda colpita. Sapere che la realtà a cui ho affidato le mie informazioni se l’è fatte sottrarre costituisce una perdita di credibilità altissima sul mercato.
Le aziende lo sanno, anche se non l’hanno ancora compreso appieno, soprattutto quando si tratta di realtà medie e piccole che vedono nella sicurezza informatica una voce ulteriore di costo da aggiungere al proprio budget, come spiega l’esperto: “Gli attacchi informatici non sono una novità per gli operatori It, quella che ora è aumentata è la superficie di attacco, visto che la digitalizzazione sta portando tutti di più ad utilizzare i servizi informatici”.
Non chiamateli hacker
Una nota importante, prima di proseguire, riguarda i termini corretti con cui riferirsi a questi fenomeni. Agli informatici e agli operatori del settore, infatti, definire il termine hacker per chi sottrae dati in maniera illecita non piace. “L’hacker non è un criminale – sottolinea Pizzi – ma colui che conosce l’informatica. Questi sono veri e propri criminali informatici”.
La differenza può suonare irrilevante ai non addetti, ma non lo è nel momento in cui un ladro diventa un “pirata informatico” o un gruppo che mette sotto scacco una compagnia chiedendo un ingente riscatto è semplicemente “un hacker”. “Questi termini tendono ad addolcire una realtà dei fatti molto differente e ad evitare di definire queste persone come ciò che sono, dei delinquenti” conclude Pizzi.
Come funziona un attacco informatico e perché aumentano
Occorrerà portare a termine le indagini per capire esattamente cosa sia successo alla Regione Lazio, ma è già certo che quello che è balzato alle cronache è un attacco di tipo ransomware, durante il quale il criminale informatico entra nel sistema dell’azienda e cripta tutti i dati bloccando l’accesso e l’attività ai legittimi proprietari.
Le notizie degli ultimi giorni spiegano che i malviventi informatici hanno raggiunto il sistema regionale entrando nel computer di un operatore in smart working, ma non è questo il vero punto debole del sistema, come spiega Pizzi: “L’accesso di esterni ai sistemi remoti di un’azienda non è una novità e non è un punto di maggiore o minore vulnerabilità perché l’architettura di sicurezza del sistema deve essere incorporata direttamente alla sua nascita, solo così si ha una protezione reale”.
È plausibile, invece, che la possibilità di chiedere un riscatto in criptovaluta influisca rispetto all’aumento di azioni di questo tipo. Infatti, se modalità di lavoro a distanza e tentativi di forzare la sicurezza sono sempre esistiti, la possibilità di richiedere denaro in un modo che riesce a eludere la tracciabilità del pagamento è una realtà relativamente nuova, che si sta sviluppando in maniera esponenziale.
Nei fatti, la tempestività di reazione durante questi furti di dati è elemento fondamentale: “Ogni attacco può avere storia a sé, ma una tipologia classica è che l’attaccante arriva sul sistema informatico dell’attaccato e prima di palesarsi inizia a muoversi al suo interno, capendo quali siano i dati di interesse, dove sono i database, il backup e decidere da quale punto sensibile far partire la propria offensiva. Soltanto in seguito realizza l’attacco vero e proprio”.
Come difendersi
“Fino ad adesso la sicurezza informatica delle applicazioni era vissuta come un accessorio, una questione secondaria, invece per funzionare bene deve essere concepita come parte integrante dell’applicazione fin dalla sua progettazione. Non siamo inermi, esistono metodi e mezzi per proteggersi bene, dai più comuni come l’autenticazione a due fattori, ai monitoraggi con sistemi di intelligenza artificiali, fino a blocchi del sistema e creazione di backup esterni per citare alcuni esempi”.
Ciò che è evidente, invece, è che non possiamo più permetterci sistemi fragili e punti deboli all’interno di filiere aziendali, perché se la cronaca in questi giorni accende l’attenzione su un nuovo tipo di azione criminale è vero anche che il problema è già entrato a far parte della nostra quotidianità e va considerato il prima possibile.