Ransomware: come difendere i dati sensibili

La categoria di malware chiamata ransomware (ransom vuol dire “riscatto” in inglese) è in grado di rendere indisponibili i dati di aziende o privati (le “vittime”), generalmente cifrandoli con una chiave sconosciuta, al fine di chiedere un riscatto (spesso in crypto-moneta) che ne permetta, teoricamente, la decifratura ed il ripristino.

Le aziende più colpite: quelle sanitarie e quelle finanziarie

Il danno derivante dalla indisponibilità, temporanea o permanente, di dati può avere conseguenze e costi più o meno significativi in base alla tipologia di vittima.

Le aziende pubbliche si troveranno praticamente bloccate nell’operatività quotidiana, specie se il virus andrà a colpire infrastrutture critiche come trasporti o energia.

Numerose statistiche confermano che, insieme alle aziende sanitarie, sono quelle finanziarie, le più colpite, proprio a causa della particolare sensibilità dei loro dati e delle loro procedure, a sorpresa, non sempre adeguatamente protette.

Proteggersi dal ransomeware

I ransomware utilizzano lo stesso meccanismo di diffusione dei virus/malware e quindi tutte le misure di sicurezza già previste si applicano anche in questo caso:

  • aggiornamento continuo della protezione dei sistemi (è indispensabile conoscere profondamente hardware e software in essere nello specifico contesto per mettere in campo il più adeguato monitoraggio/controllo);
  • procedure di backup e, soprattutto, di restore testate ed affidabili, sempre partendo dalla piena conoscenza dei processi gestiti (questa condizione è particolarmente difficile da ottenere e mantenere al crescere delle dimensioni dell’organizzazione);
  • formazione e informazione agli utenti affinché non cadano nelle trappole del “phishing”, il vettore più usato per questo tipo di minaccia: il fattore umano è troppo spesso sottovalutato in ambito tecnologico, ma potrebbe costituire lo strumento migliore per prevenire il problema.

A questo scopo, anche l’entrata in vigore del GDPR, inizialmente molto criticato, ha aiutato a sviluppare la consapevolezza dei bug e dei “vuoti” aziendali che diventano ambienti ideali per gli hacker.

Cybersecurity negli USA

Come sovente accade in materia di sicurezza il Governo americano è tra i primi a reagire e a fornire indicazioni concrete per la prevenzione e la gestione del danno informatico.

Diverse agenzie e organizzazioni (NSA, NIST, Homeland Security) sono preposte allo studio e alla definizione di modalità di approccio ed intervento (anche se non sempre in modo coeso).

Nello specifico, proprio il NIST ha rilasciato il draft SP-1800-11a/b/c (di cui è prevista a breve la versione definitiva) che contiene le linee guida e gli how-to per il recupero di eventi “distruttivi” come il ransomware.

Tra le indicazioni di massima fornite rientra quella di non pagare il riscatto così da contenere la diffusione del fenomeno ed informare prontamente gli organi di legge, FBI in primis, affinché possano intervenire tempestivamente.

Ovviamente, tale indicazione, ineccepibile dal punto di vista logico e del diritto, si scontra con la realtà delle aziende che, anche negli USA, dimostrano livelli di maturità fluttuanti.

Secondo un report di CyberEdge Group, nonostante quasi il 70% delle vittime abbia pagato, meno del 20% ha poi ottenuto che i propri dati fossero resi di nuovo disponibili (come è effettivamente successo ad una struttura sanitaria privata che, dopo aver sborsato ben 17.000 dollari, non ha mai ricevuto la chiave per la decrittazione).

Fa riflettere, però, anche il caso del ransomeware che nel 2018 ha colpito i sistemi di 5 dei 13 dipartimenti locali della Capitale dello Stato della Georgia, Atlanta, causandone la messa fuori servizio per almeno una settimana, con ripercussioni sui procedimenti di tribunale, sulle procedure elettroniche della polizia e le richieste di intervento sulle infrastrutture pubbliche.

Pur di non pagare i 51.000 dollari richiesti, la città ha speso oltre 3 milioni per contratti stipulati in emergenza con aziende specializzate, senza aver ottenuto, dopo circa 10 gg, il pieno recupero dell’operatività.

Cybersecurity in Italia

In Italia la disciplina del Risk Management è ancora applicata in misura insufficiente e a macchia di leopardo, al punto da rendere il nostro Paese uno dei più vulnerabili da parte del ransomeware.

Secondo uno studio di Trend Micro, l’Italia è settima al mondo come obiettivo di attacchi e una ricerca del CLUSIT conferma che oltre il 90% delle PMI nostrane è già stato colpito dal virus nel 2016.

C’è ancora molto lavoro da fare, ma siamo sulla buona strada: proprio nel 2016 il CERT nazionale ha rilasciato un documento di linee guida sul ransomware, impegnandosi a mantenere costantemente aggiornato il bollettino di varianti malware in circolazione e nella “Relazione sulla politica della informazione per la sicurezza 2017” il virus è stato definito come un fenomeno allarmante, tanto che il nuovo Nucleo per la Sicurezza Cibernetica (NSC) si è riunito proprio in occasione di WannaCry per valutarne la portata e l’impatto.

Quindi, cosa fare?

Naturalmente si tratta di valutare caso per caso la convenienza di cedere o meno alle richieste di denaro, ma, al di là di questa intuitiva considerazione, l’unico vero modo per non incappare nel problema è quello di affidarsi a esperti in grado di effettuare un check up serio della cybersecurity organizzativa e di porre correttivi su tutti gli elementi di vulnerabilità che, nel tempo, potrebbero costare molto più caro di un intervento preventivo.

 

 

Email