TL;DR Continuità operativa, perdita di esclusività dei dati riservati, compromissione dei sistemi, danno reputazione, perdita di confidenzialità delle informazioni. Sono questi i 5 elementi di preoccupazione per i quali è bene preparasi adeguatamente, poiché un attacco ransomware non è questione di “se” ma di “quando“.
“Sprigionare l’atomo non ha creato un nuovo problema.
Ha semplicemente reso più urgente la necessità di risolverne uno esistente.”
Albert Einstein
Non è un caso se il ransomware è stato definito “il flagello digitale di questi anni”: il settore del cybercrime, capeggiato dallo strumento del riscatto digitale, è in vetta alle classifiche degli attacchi ai danni delle infrastrutture informatiche.
Su questo blog abbiamo parlato spesso del ransomware e delle vittime cadute nelle grinfie delle ransomware gang, che si arricchiscono grazie all’incasso dei riscatti e alla compravendita delle informazioni esfiltrate alle vittime.
È una realtà, quella del ransomware, dinamica e in continuo mutamento, che si contraddistingue per lo spiccato senso commerciale dei cybercriminali, continuamente alla ricerca di nuove vittime e strategie per colpirne i sistemi.
Si va dalle classiche campagne di pesca attraverso la diffusione di malware, soprattutto via mail con allegati malevoli (dropper), che con l’offerta di laute ricompense a dipendenti disposti a vendere le proprie credenziali per l’accesso alle reti aziendali. Il tutto passando per il RAAS, Ransomware As A Service, che punta più a offrire il servizio (e gli strumenti) che a sporcarsi le mani con l’attacco vero e proprio.
Quotidianamente nuove vittime dei ransomware (in testa alle classifiche, Conti e Lockbit) si trovano a dover affrontare le conseguenze di attacchi ai loro sistemi, attraverso un impegno sia tecnico che comunicativo: non c’è solo il ripristino dell’operatività e il recupero dei dati ma anche, e questo è forse l’elemento più complesso da gestire, la diffusione dei dati esfiltrati.
Vediamo in dettaglio i 5 aspetti più preoccupanti di un attacco ransomware.
1) Interruzione della continuità operativa
La frequente cifratura dei dati, al termine delle operazioni di esfiltrazione o, comunque, come fase conclusiva dell’attacco, compromette in modo più o meno completo la continuità operativa del business.
Che sia una azienda, con un blocco alle linee di produzione, che una società di servizi, con l’impossibilità di erogare prestazioni ai clienti, che una pubblica amministrazione, la fase finale di un attacco ransomware è il momento più critico che la vittima si trova ad affrontare.
La velocità con cui si riesce a ristabilire l’operatività dipende almeno dall’efficacia dei piani di business impact analysis (BIA), di risk management (RM) e disaster recovery (DR): non solo deve esserci un backup, ma i dati devono essere integri e accessibili (capita, purtroppo, di scoprire troppo tardi che un backup è corrotto e i dati non recuperabili). Inoltre, è fortemente consigliato il ripristino totale e completo dei sistemi, poiché non è inusuale che possano essere impiantate backdoor su server e client.
Non esistono soluzioni adatte per tutti: i piani di disaster recovery vanno progettati, realizzati e periodicamente verificati, secondo le caratteristiche del contesto operativo.
I parametri di riferimento per un recupero completo sono:
- RTO (recovery time objective) – periodo di tempo dopo un incidente, entro cui deve essere ripristinato un prodotto, un servizio o un’attività o entro cui le risorse devono essere recuperate, ossia qual è il tempo desiderato di ripristino;
- RPO (recovery point objective) – il punto in cui i dati utilizzati da un’attività devono essere ripristinati per consentire all’attività di operare sul recupero, ossia qual è l’intervallo di tempo massimo dall’ultima copia dei dati valida (back-up);
che, ovviamente, comportano vi sia stata una preparazione preliminare per essere in grado di reagire in modo adeguato in seguito a un incidente.
Non avere una strategia di backup valida e adeguata può comportare il fallimento dell’intero piano di recupero: per questo la messa in sicurezza periodica dei dati deve essere un elemento fondamentale e imprescindibile di ogni azienda e istituzione.
2) Perdita di esclusività per le informazioni confidenziali
L’esfiltrazione dei dati aziendali o istituzionali rappresenta un elemento critico da tenere seriamente in considerazione. Una delle leve più efficaci che il cybercrimine ha nei confronti delle vittime è proprio la compravendita o, peggio, la divulgazione pubblica dei preziosi dati aziendali, tra cui si possono trovare piani strategici, report finanziari, dati personali particolari (perso alle realtà sanitarie e ospedaliere), credenziali per l’accesso ad altri servizi e molto altro.
Anche questa imbarazzante situazione può essere minimizzata attraverso una gestione attenta dei dati aziendali, ricorrendo alla cifratura degli stessi con algoritmi sicuri e gestione attenta delle credenziali: lo stesso Regolamento Europeo 2016/679 “GDPR” sottolinea l’importanza della cifratura dei dati per ridurre gli effetti di un data breach.
Chiaramente, cifrare i documenti e conservare le password in un file “password.doc” non ha molto senso.
È fortemente consigliabile l’uso di un password manager, anche centralizzato (es. PassBolt), così che sia possibile controllare sia l’accesso alle credenziali da parte dei collaboratori che la sicurezza delle stesse attraverso algoritmi di cifratura sicuri.
3) Compromissione dei sistemi informatici
Già accennata al punto 1, quando si subisce un attacco ai propri sistemi è difficile capire se c’è stata una compromissione degli stessi oppure no, e a quale livello.
Per sicurezza, si assume che tutti i sistemi siano stati compromessi e, quindi, sia necessario un totale ripristino degli stessi, spesso da zero. Anche il recupero da un backup non garantisce che lo stesso non possa essere già stato, all’epoca della realizzazione, violato e quindi consentire agli attaccanti di beneficiare di qualche backdoor per l’accesso ai sistemi della vittima.
In questi casi è consigliabile cercare un buon compromesso tra ciò che si riesce a recuperare e le esigenze di ripristino dell’operatività, concentrandosi sulla verifica attenta e puntuale del traffico, sia in entrata che in uscita, per individuare eventuali backdoor e reverse shell.
4) Danno reputazionale
Secondo alcune fonti, ovviamente non ufficiali, una cospicua fetta delle vittime paga i cybercriminali anche per evitare il danno reputazionale dovuto alla pubblicazione, sul sito web delle ransomware gang, della propria azienda.
Il danno reputazionale, difficile da quantificare e forse proprio per questo il più preoccupante, può danneggiare così tanto una azienda da causarne il fallimento (alcune stime, sempre non ufficiali, parlano di un 60% d’imprese costrette a chiudere in seguito a un attacco ransomware).
In questo caso la capacità di saper comunicare correttamente l’incidente assume un ruolo centrale nella gestione dello stesso: minimizzare, nascondere o ignorare rischia di essere un pericoloso boomerang, danneggiando ancor più l’azienda di quanto lo sarebbe stata con una comunicazione precisa, puntuale e realistica.
Deve essere chiaro, infatti, che è diventato ormai impossibile nascondere un incidente del genere, se non cedendo (e non sempre è comunque sufficiente) al costoso ricatto dei cybercriminali, rischiando però –in questo caso– di incappare in qualche problemino con la Giustizia.
Negli ultimi anni abbiamo visto aziende uscirne bene, “reputazionalmente parlando“, e altre molto male: in caso di attacco ai propri sistemi, con la potenziale compromissione dei dati personali e riservati anche dei clienti e dei partner commerciali, la fiducia di una azienda dipende anche da come l’incidente viene adeguatamente “minimizzato“, compresa la strategia di comunicazione agli interessanti.
5) Perdita di confidenzialità dei dati
L’art. 32 “Sicurezza del trattamento” del GDPR è un importante cambio di paradigma nell’intero scenario di gestione delle informazioni: la normativa europea, infatti, ribalta sul Titolare dei dati l’onere di proteggerli adeguatamente, mettendo “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“.
È poi nei successivi articoli, 33 “Notifica di una violazione dei dati personali all’autorità di controllo” e 34 “Comunicazione di una violazione dei dati personali all’interessato“, che la normativa definisce le modalità di comunicazione di una violazione sia all’autorità di controllo che, se opportuno, agli interessati. Soprattutto se la violazione “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche“.
La stima e la gestione del rischio, sia in ambito cyber che privacy, sono oggetto di numerose pubblicazioni e guide, rappresentando elementi importanti per definire le strategie di sicurezza all’interno di un ecosistema. All’interno del Regolamento Europeo, ad esempio, per i trattamenti critici è necessaria la redazione di una DPIA (Data Protection Impact Assesment) che definisca sia il livello di rischio che le misure di sicurezza e protezione adottate o previste.
Sulla gestione del rischio consiglio la recente pubblicazione del CLUSIT “Rischio digitale Innovazione e Resilienza”.
Conclusioni
Non è facile riuscire a riepilogare argomento così densi di contenuti come questi 5 punti, relativi non solo agli attacchi ransomware ma comuni (in tutto o in parte) a gran parte degli incidenti informatici.
È difficile comprendere correttamente l’argomento, e quindi averne una corretta percezione, per chi non è un “addetto ai lavori”: non è un mistero se anche il 1° rapporto Censis -DeepCyber “Il valore della Cybersecurity“, presentato in pompa magna direttamente dalle stanze del Senato della Repubblica Italiana, punta il dito sulla necessità di far comprendere i temi di sicurezza cyber a chiunque abbia a che fare, sia per svago che per lavoro, con un sistema informatico. Che oggi, banalmente, è anche il semplice smartphone da poche decine di euro che teniamo in tasca.