Ransomware, ransomworm, furti di credenziali, spearfishing avanzato. Il cybercrime evolve raffinando le armi. Ma qualcosa forse sta cambiando. La moltiplicazione degli attacchi e il prossimo regolamento Gdpr (General Data Protection Regulation) potrebbe trasformare la cybersicurezza aziendale in una priorità per i consigli d’amministrazione di tutte le imprese.
Ma perché il mondo non riesce a far fronte agli attacchi? Le ragioni sono molteplici e di vario tipo. Secondo l’analista di Camden Associates Alan Zeichick sono sempre di più le aziende messe in ginocchio da ransomware: non solo per la compromissione delle attività di business, ma anche per le ricadute su trimestrali e nel valore delle azioni. “Il furto di credenziali – dice Zeichick – fornisce agli hacker le ‘chiavi del regno’, dal momento che consente l’accesso ai server di rete e ai database senza attivare gli allarmi”. Il ransomworm si propaga attraverso le reti, rubando risorse ed è complicato sradicarlo. Lo spearfishing riesce a ingannare tutti, da funzionari del governo agli addetti alla finanza aziendale.
Effetto sorpresa
Tutti sanno che può succedere, ma nessuno se l’aspetta davvero, l’attacco. “La più grande sorpresa sull’attacco di Wannacry – dice Duncan Brown, vice associato della European Security Practice di IDC – era rappresentato proprio dal fatto che è risultato una sorpresa per molti. Sì va bene, la maggior parte di chi lavora nell’industria era perfettamente consapevole dell’esistenza di questo tipo di minaccia. Ma la valutazione del rischio è stata toppata del tutto”. Risultato: la risposta è stata lenta e inefficace. In un film del 2016, “Equity”, uno dei personaggi dice: “Metà del mondo è paranoico e l’altra metà usa come password la parola ‘password’. Ecco, la sfida è trovare il giusto equilibrio tra paranoia e dabbenaggine” dice Brown.
Ma se la password più utilizzata nel mondo è “password”, “come facciamo a educare i dipendenti ingenui”, si chiede Eduard Meelhuysen, vice presidente di Bitglass – per scongiurare o mitigare i rischi? Più che investire in tecnologia – spiega Meelhuysen – serve educare le persone. Dobbiamo istruire i dipendenti, mostrare loro nuovi modi di autenticazione o nuovi modi di accedere a un nuovo sistema. Questo vale anche per il cloud computing: dobbiamo assicurarci di avere più controllo”.
Se però la formazione può assicurare dei vantaggi, “è anche un fatto che hacker, phisher o costruttori di ransomware sono sempre un passo avanti”. Dunque?
Non tutti gli attacchi iniziano con un’email di phishing o con un sito web hackato o con l’errore sconsiderato di un dipendente. Secondo Jason Steer solution architect a Menlo Securi, sono le strutture del web e le stesse tecnologie di security a tradire le imprese. Anche se un dipendente riuscirà sempre a fare “la cosa giusta”, prima o poi un guaio si presenterà. “Non possiamo essere ‘dipendenti dai dipendenti’ per distinguere il bene dal male – dice Steer -. Perché la ‘colpa’ non è tanto del dipendente, quanto di chi ha costruito le soluzioni utilizzate dal dipendente“.
Tecnologia di 23 anni fa
“Stai utilizzando un browser, qualunque browser? – dice Steer -. Allora stai utilizzando un’architettura vecchia di 23 anni. Non si dà mai il caso, all’interno di qualunque organizzazione, che si importi e renda esecutivo un comando, un documento, non autenticato e anonimo. Cosa che invece facciamo qotidianamente ogni volta andiamo su un sito. Inaccettabile”. Ecco perché, dice Steer, serve riflettere su come i dipendenti usano e accedono a Internet: “Perché i controlli e le tecnologie che usiamo per proteggerci non sono efficaci, oggi”.
E’ l’industria della security che non funziona, dice Carl Gottlieb, Consulting Director di Cognition Secure. “Questo perché i prodotti per la sicurezza vengono costruiti in laboratorio, ma non sappiamo come funzioneranno nel mondo reale. Dobbiamo costruire prodotti che sopravvivano all’ambiente reale”.
Secondo Laurance Dine, Managing Principal per l’Investigative Response Team di Verizon, l’altro vero “buco” è rappresentato dall’incapacità di saper ripristinare le informazioni che potrebbero andare distrutte con ransomware o altri tipi di attacco”. Le grandi organizzazioni possiedono sistemi per affrontare la corruzione o la distruzione dei dati, ma “la stragrande maggioranza delle aziende non ha idea di come ripristinare i dati”. E’ qui che sta una delle chiavi, “eliminare la redditività degli ‘attaccanti’. Se si dispone di backup efficaci è possibile ripristinare dati nella stessa quantità di tempo necessaria per pagare il riscatto. In questo modo l’hacker non ottiene nulla“.
L’efficacia della Gdpr
C’è però un elemento che potrebbe rivelarsi una leva per la sicurezza, il prossimo Gdpr (attivo in Europa da maggio 2018). “Possiamo dire che la privacy diventerà uno strumento per ottenere vantaggio competitivo – dice Gottlieb -. Se ci concentriamo sulla valutazione dei rischi business critical nel’IT, potremo evitare incidenti come Wannacry”. La Gdpr mette in primo piano la privacy e la data protection: se una compagnia rimane vittima di un attacco senza essersi attenuta a quanto previsto dal regolamento, potrebbe essere colpita con notevoli sanzioni.
“Il Gdpr è ottimo, sul fronte sicurezza informatica – dice Gottlieb -. Sì, avremo massicce multe, ma le multe saranno più alte del prezzo che l’azienda potrebbe dover pagare per una class action o per la distruzione dell’immagine. Dunque: investimenti in sicurezza obbligatori. Finora era difficile pensare a una giustificazione di business davvero buona per acquistare un firewall, ora la giustificazione ce l’abbiamo”.
