AgendaDigitale.Eu: Cyber armageddon, perché la sicurezza informatica ci riguarda tutti

La sveglia non è suonata e la lampada accanto al comodino non si accende. Andate in bagno e l’acqua calda non arriva. Provate a farvi un caffè con la macchinetta che sembra morta e poi vi rendete conto che la casa è fredda e che il televisore rimane muto. Cosa è successo? Non c’è la corrente elettrica. Quello che scoprirete qualche ora dopo è che la rete elettrica nazionale è stata colpita da un attacco cibernetico che ha letteralmente spento li paese. Il telefono intanto si è scaricato e nelle ore successive scoprirete il caos nelle strade, peggio che durante un temporale.

Cyber attacchi alle reti elettriche

Non è uno scenario improbabile. Negli ultimi mesi le aziende di cyber security hanno rilevato pattern di attacco alla reti elettriche nazionali di diversi paesi europei. Alcuni sono andati a vuoto, e non ne abbiamo saputo niente, ma di quest’ultimo ce ne siamo accorti eccome.

È già successo, in Ucraina e in Estonia. A portare questo tipo di attacchi sono attori organizzati noti come APT, Advanced Persistent Threat, minacce informatiche persistenti, che mutuano il loro nome dalla tecnica che utilizzano: si intrufolano nei sistemi informatici del bersaglio, anche per anni, e solo dopo avere acquisito i dati e le informazioni che gli servono sferrano il loro devastante attacco.

Poiché sono gruppi ben organizzati e finanziati, si parla spesso di Nation state actors, sponsorizzati da stati canaglia, e le loro azioni sembrano avere più a che fare con la cyber-guerra, quella combattuta dagli Stati nel cyberspace, piuttosto che con la quotidianità della nostra vita connessa.

Eppure metodi e strumenti sono gli stessi di gruppi di cybercriminali interessati più al profitto che alla politica. Anzi, spesso gli stessi gruppi si dedicano al cybercrime solo per finanziare lo sviluppo di nuove cyber-armi.

Anche di questo parleremo all’IBM Think Milano – Sessione Security l’11 giugno.

Perché la cyber security riguarda tutti

Ad ogni modo un normale cittadino non dovrebbe preoccuparsene visto che si tratta di cose più grandi lui, e poi, in fondo ci sono gli specialisti che se ne occupano. O no? Il punto è che è spesso il semplice cittadino ad aprire la porta principale a questi attaccanti, nel suo ruolo di lavoratore, consumatore, volontario o attivista. Forse ha solo fatto l’errore di aprire una email infetta; magari avrà lasciato usare ai bambini il telefono con cui accede alla rete aziendale; dal computer ha cliccato uno strano pop-up; oppure ha usato una password banale per proteggere l’account social che usa per lavorare e chattare. I criminali spesso pescano a casaccio, ma a volte anche questa è una tecnica per colpire proprio te, che fai il giornalista, sei consulente del governo, presiedi una commissione parlamentare o vai a trattare fusioni e acquisizioni per un cliente di alto livello. O più semplicemente sei uno che lavora per una grande azienda ma non ti hanno insegnato niente sulla sicurezza informatica.

Ma a un attaccante cyber basta violare l’accesso personale alla rete aziendale per mettere in crisi un’intera organizzazione: il fattore umano è sempre l’anello debole della cybersecurity.

Eppure di cybe rsecurity si parla solo quando succede qualcosa. Ricordate il caso Meltdown e Spectre? Il 2018 si è aperto con l’allarme del baco nei processori hardware di Intel e AMD, vicenda conclusa coi sospetti di insider trading del CEO di Intel che sapendo anzitempo della falla sarebbe riuscito a liberarsi delle azioni aziendali prima che la falla venisse divulgata.

Poi è venuto il caso di Cambridge Analytica che ci ha fatto scoprire che qualcuno era in grado di utilizzare la profilazione di gusti e tendenze personali non per venderci libri, shampoo e viaggi, ma perfino i candidati alle elezioni.

L’anno prima, nel 2017, il ransomware Wannacry, aveva bloccato 300 mila computer in 150 paesi e messo in ginocchio per qualche giorno aziende di logistica come Maersk e l’intera Sanità del Regno Unito. Quello precedente, il 2016, aveva portato alla ribalta delle cronache un attacco ai server Dyn che aveva messo in ginocchio Internet nell’intera costa orientale americana rendendo impossibile accedere a Twitter, Amazon, Netflix e il New York Times. Era stato realizzato sfruttando una esercito di 100mila smart objects connessi in rete dalla botnet Mirai. Una sua variante era stata poi usata per attaccare la rete Deutsche Telekom impedendo a diversi milioni di tedeschi di usare telefoni e computer.

Potremmo continuare con gli esempio, questi attacchi sono all’ordine del giorno, ma sono solo le cose grosse che vengono raccontate dai telegiornali.

Il prezzo dell’insicurezza

Secondo gli ultimi rapporti le aziende e le istituzioni non sono preparate ad affrontare le minacce cibernetiche sotto forma di attacchi DDoS, malware, phishing, zero-day, backdoor e altri exploit.

McAfee sostiene che i danni all’economia portati dal cybercrime sono pari a 600 miliardi di dollari annui, lo 0,8% del PIL globale. Altri rapporti parlano di cifre diverse, ma è solo perché hanno un modo diverso di valutare i danni.

Secondo il rapporto dell’associazione CLUSIT il crimine informatico in Italia vale almeno 10 miliardi e secondo Fastweb un cittadino italiano è colpito da un attacco informatico ogni cinque minuti. La Confcommercio ha stimato che nel 2017 gli esercizi commerciali italiani abbiano subito danni per 2 miliardi di euro a causa degli attacchi cibernetici.

Quello che va capito è che ogni settore industriale è a rischio e che per questo vanno adottate le necessarie misure di sicurezza. A partire da una consapevolezza: la sicurezza è un investimento e non è un costo.

Eppure secondo un report della Banca d’Italia nel 2016 per prevenire gli attacchi informatici l’impresa mediana ha speso una somma modesta, pari a 4.530 euro: il 15% della retribuzione annuale lorda di un lavoratore rappresentativo. I valori medi però variano dai 3.120 euro delle piccole imprese ai 19.080 euro di quelle del settore ICT e ai 44.590 euro delle grandi imprese.

Piuttosto poco, non credete?

Prepararsi a difendere il perimetro

Un attacco informatico di successo potrebbe rappresentare il punto di non ritorno per la credibilità di un’azienda o fare così tanti danni da metterla prima in ginocchio e poi fuori dal mercato. La strada non è quella di negare l’attacco avvenuto con successo, ma essere preparati ad affrontarlo minimizzando i danni. La questione non è infatti se verremo attaccati ma quando e la migliore strategia di difesa è rendere costoso e complesso l’attacco, perché impedirlo non sarà sempre possibile.

Alcune aziende hanno incominciato a capirlo e sanno che la prima linea di difesa rispetto agli attacchi cyber è costituita da personale preparato e da una buona organizzazione in grado di valutare e mettere al sicuro gli asset informatici aziendali, predisporre gli strumenti per una corretta gestione del rischio, e avere un piano di disaster recovery.

Per valutare la sicurezza informatica è necessario individuare le minacce, le vulnerabilità e i rischi associati agli asset informatici, per proteggerli da possibili perdite o attacchi. La cosiddetta analisi del rischio parte dall’identificazione dei beni da proteggere, per poi valutare le possibili minacce in termini di probabilità, occorrenza, e gravità del danno. In base alla stima del rischio si decide se, come e quali contromisure di sicurezza adottare (Risk management).

Questi processi sono importanti perché l’obiettivo dell’attaccante non è rappresentato dai sistemi informatici in sé, ma dai dati in essi contenuti. La sicurezza informatica deve quindi preoccuparsi di impedire l’accesso sia agli utenti non autorizzati che ai soggetti con privilegi limitati, per evitare che i dati appartenenti al sistema informatico vengano copiati, modificati, cancellati o “esfiltrati”.

Le violazioni possono essere molteplici: vi possono essere tentativi non autorizzati di accesso a zone riservate, furto di identità digitale o di file riservati; utilizzo di risorse che l’utente non dovrebbe potere utilizzare. La sicurezza informatica si occupa anche di prevenire eventuali situazioni di Denial of service con l’obiettivo di rendere inutilizzabili alcune risorse in modo da danneggiare gli utenti del sistema: clienti, fornitori, utenti.

I danni sono spesso causati accidentalmente dall’utente stesso a causa di una cattiva implementazione di hardware e software, oppure da interruzioni di servizio o guasti imprevisti.

Per evitare gli eventi accidentali non esistono soluzioni uniche: un primo rimedio è il backup del sistema, dei dati e delle applicazioni, procedura cruciale per il cosiddetto “disaster recovery”.

Gli attacchi intenzionali invece appartengono alla categoria dei furti, dei danneggiamenti, e dei sabotaggi, e includono l’accesso non autorizzato a dati, sistemi, informazioni. Sono i più pericolosi. Per questo è importante essere preparati, scambiarsi costantemente informazioni e condividere conoscenze e competenze ai più alti livelli facendo parlare gli esperti di sicurezza col management aziendale e collaborare con gli enti e le Istituzioni preposte alla difesa e alla gestione delle infrastrutture critiche e dei servizi digitali dal cui funzionamento dipende la vita quotidiana.

Nella sicurezza informatica è bene ricordare che sono sempre coinvolti elementi tecnici, organizzativi, giuridici e umani. La direttiva europea sul trattamento dei dati GDPR e quella per la sicurezza delle reti e delle informazioni NIS costituiscono un passo avanti nello sviluppo di questa consapevolezza, ma, come è noto, le aziende sono in ritardo e il governo non è da meno.

È ora di occuparsene. Prima che sia troppo tardi.