La violazione dei dati è inevitabile. Ecco come ridurre i rischi.

La violazione dei dati è inevitabile. Ecco come ridurre i rischi.

E’ il terrore di aziende ed imprenditori, e nessuno -letteralmente nessuno- può dirsi al sicuro.

Un sondaggio di Carbon Black sugli ICT Manager del Regno Unito ha rilevato che molte organizzazioni temono che le violazioni siano inevitabili.

Il sondaggio, che fa parte dello studio sulle serie di minacce globali di Carbon Black , ha riferito che l’84% delle organizzazioni britanniche partecipanti allo studio ha dichiarato di aver subito una o più violazioni negli ultimi 12 mesi a causa di attacchi informatici esterni.

Questa opinione è condivisa da molti altri esperti del settore.. (https://www.securitymagazine.com/articles/89523-are-data-breaches-unavoidable)

( https://www.itproportal.com/news/data-breaches-are-inevitable-say-cisos/ ).

Questa è la nuova realtà: prima o poi le inviolabili misure di sicurezza che l’azienda ha messo in campo non saranno sufficienti. Ed è probabile che lo scoprirai nel peggiore dei modi.

Se sei un imprenditore di una piccola o media azienda, sai meglio di me che l’elenco di urgenze è talmente lungo che la voce “sicurezza informatica” non rientra nelle prime dieci; Spesso non c’è nemmeno, in quell’elenco.
Se mi concedi un attimo, facciamo una prova pratica.

Esercizi di visualizzazione…

Fai un bel respiro profondo ed immagina che il monitor del tuo pc si spenga improvvisamente mentre stai lavorando. Tiri qualche eresia ma capisci che c’è qualcosa di strano quando si spengono in sequenza anche i pc dell’amministrazione, dei progettisti, dell’ufficio commerciale…

In pochi minuti tutti i tuoi collaboratori sono in piedi a cercare di capire cosa sta sucecdendo: chiami la società di informatica che ti assiste e sbraiti che hai bisogno di un tecnico entro 3 minuti, ma con voce disperata la centralinista riesce solo a dirti che non può venire nessuno perché altre 5 aziende loro clienti sono bloccate a causa di un virus e hanno solo 4 tecnici.

Mentre un brivido ti corre sulla schiena, ti squilla il cellulare: è un cliente importante che vuole sapere se hai visto l’accredito del pagamento e se spedisci il suo ordine. Subito.

Ma non hai accesso all’ordine, non hai il dettaglio di cosa ha ordinato e non puoi produrre o spedire senza la distinta della commessa; non puoi nemmeno verificare se ha pagato perché tutte le password di accesso all’home banking erano salvate nel tuo pc e in quello dell’amministrazione e non te le ricordi.

Ti sfiora il pensiero che non puoi nemmeno pagare i fornitori….ma adesso le priorità sono altre.

Il magazzino, ad esempio…

Il magazzino è bloccato, nessuno può preparare documenti nè per le spedizioni in italia nè per l’estero. Vorresti avvisare i tuoi clienti che tarderai qualche giorno a consegnare ma non puoi, perché tutti i riferimenti telefonici sono nella anagrafica commerciale. Del gestionale. E per cercarli su internet devi farlo dal cellulare.

Decidi che si torna alla cara vecchia carta all’urlo di “non sarà un semplice virus a bloccarci!” Così produci, ricevi e spedisci gestendo a mano il magazzino, e sai meglio di me che impiegherai settimane (se non mesi) a riprendere il controllo delle giacenze. Ma non hai alternative migliori.

E la produzione?

Se hai dei macchinari gestiti da computer e collegati in rete, è probabile che siano infetti anche loro e potresti essere costretto a sborsare cifre non banali per farteli riprogrammare dalla ditta costruttrice.

Potresti anche scoprire che tutti i backup (su disco o NAS) sono stati cancellati e non hai più nessun disegno tecnico, oltre ad aver perso lo storico di quello che hai prodotto negli ultimi 5 anni.

Non li nemmeno fatti i backup?? Puoi iniziare leggendo questo mio articolo.

Eppure ti era piaciuto il tecnico che, per farti risparmiare, diceva “Perchè spendere soldi per cambiare gli hard disk periodicamente e tenerli in cassaforte? hai un mese di salvataggi sul disco, cosa vuoi che succeda?!”

Non riesci a saldare qualche scadenza fiscale? Se sei tentato di dire alla agenzia delle entrate che “sei bloccato a causa di un virus”, corri il rischio di un controllo da parte del garante della privacy (per legge c’è l’obbligo di notifica al garante in caso di data breach) che potrebbe chiederti come hai gestito la sicurezza sui dati di clienti /fornitori /dipendenti….. e magari prendi pure la multa.

In questo nuovo mondo la sfida è cambiata…e tu ci sei dentro!

E’ in uscita il nuovo libro di Andy Greenberg, articolista senior di WIRED, in cui viene raccontata la storia dietro uno dei più devastanti attacchi di virus della storia.

Siamo ai margini del quartiere alla moda di Podil nella capitale ucraina di Kiev.
Sotto un cavalcavia dell’autostrada, attraverso alcuni binari della ferrovia disseminati di rifiuti e attraverso un cancello di cemento si trova la sede a quattro piani del Linkos Group, una piccola azienda di software ucraina a conduzione familiare. Su tre rampe di scale in quell’edificio c’è una sala server, dove un rack di computer delle dimensioni di una scatola da pizza è collegato da un groviglio di fili e contrassegnato da etichette numerate e scritte a mano. In un giorno normale, questi server inviano aggiornamenti di routine (correzioni di bug, patch di sicurezza, nuove funzionalità) a un software di contabilità chiamato MEDoc, che è più o meno l’equivalente ucraino di TurboTax. È utilizzato da quasi tutti coloro che intendono presentare imposte o intrattenere rapporti commerciali nel paese.

Ma per un momento nel 2017, quelle macchine sono servite da ground zero per l’attacco informatico più devastante dall’invenzione di Internet, un attacco che è iniziato, almeno, come un assalto a una nazione da parte di un’altra.

Le tensioni geopolitiche non ti interessano? Io credo di sì….

Negli ultimi quattro anni e mezzo, l’Ucraina è stata bloccata in una guerra stridente e non dichiarata con la Russia che ha ucciso più di 10.000 ucraini e ne ha sfollati altri milioni. Il conflitto ha anche visto l’Ucraina diventare un banco di prova per le tattiche cibernetiche russe. Nel 2015 e nel 2016, gli hacker collegati al Cremlino noti come “Sandworm” stava violando decine di organizzazioni e compagnie governative ucraine. Hanno penetrato reti informatiche che vanno dai media alle imprese ferroviarie, facendo esplodere le bombe logiche che hanno distrutto terabyte di dati. Ma quegli attacchi non erano ancora il gran finale di Sandworm. Nella primavera del 2017, all’insaputa di chiunque nel gruppo Linkos, gli hacker militari russi hanno utilizzato quei server di aggiornamento creare una “porta di servizio” nascosta tra le migliaia di PC in tutto il paese e nel mondo che hanno installato MEDoc.

Quindi, nel giugno 2017, gli hacker hanno usato quella porta per rilasciare un pezzo di malware chiamato NotPetya, la loro arma cibernetica più malevola e distruttiva di sempre.

Il virus più rapido e distruttivo mai creato…

Il codice che quegli hacker avevano creato era stato affinato per diffondersi automaticamente, rapidamente e indiscriminatamente. Il centro operativo di sicurezza ISSP, che monitorava le reti dei clienti ucraini in tempo reale, avvertì il CEO che il virus “NotPetya” stava saturando i sistemi delle vittime con una velocità terrificante: ci sono voluti 45 secondi per far crollare la rete di una grande banca ucraina. Una parte di un importante hub di transito ucraino, dove ISSP aveva installato le sue apparecchiature come dimostrazione, è stata completamente infettata in 16 secondi. 

Su scala nazionale, NotPetya stava mangiando vivi i computer dell’Ucraina. Colpirà almeno quattro ospedali nella sola Kiev, sei compagnie elettriche, due aeroporti, oltre 22 banche ucraine, sportelli bancomat e sistemi di pagamento con carta nei rivenditori e nei trasporti e praticamente tutte le agenzie federali.

Le regole del gioco sono cambiate…

NotPetya è stato spinto da due potenti exploit di hacker che lavorano in tandem: uno era uno strumento di penetrazione noto come “EternalBlue”, che sfrutta una vulnerabilità in un particolare protocollo di Windows per consentire agli hacker di utilizzare liberamente il proprio codice su qualsiasi macchina senza patch. Gli architetti di NotPetya hanno combinato quella chiave digitale con una vecchia invenzione nota come Mimikatz, creata dal francese Benjamin Delpy per dimostrare che Windows lasciava le password degli utenti nella memoria dei computer. Una volta che gli hacker hanno ottenuto l’accesso iniziale a un computer, Mimikatz poteva estrarre quelle password dalla RAM e usarle per hackerare altre macchine accessibili con le stesse credenziali. Sulle reti con computer multiutente, potrebbe persino consentire un attacco automatico per passare da una macchina all’altra.

Prima del lancio di NotPetya, Microsoft aveva rilasciato una patch per la sua vulnerabilità EternalBlue. Ma EternalBlue e Mimikatz insieme hanno comunque creato una combinazione virulenta: E’ cioè possibile infettare i computer che non sono stati aggiornati, recuperare le password dalla RAM e usarle per infettarne altri aggiornati.

NotPetya ha preso il nome dalla sua somiglianza con il ransomware Petya, un pezzo di codice diffuso all’inizio del 2016 utilizzato per estorcere alle vittime soldi per avere indietro i loro file. Ma i messaggi di riscatto erano solo uno stratagemma: l’obiettivo del malware era puramente distruttivo. Ha crittografato in modo irreversibile i record di avvio principali dei computer e qualsiasi pagamento di riscatto che le vittime cercavano di effettuare era assolutamente inutile perché non c’era nessun modo per recuperare i loro file.

Il bersaglio era l’Ucraina, ma il suo raggio di diffusione era il mondo

Il bersaglio era l’Ucraina, ma il suo raggio di diffusione era il mondo: come usare una bomba nucleare per ottenere una piccola vittoria tattica.

Il rilascio di NotPetya fu un atto di guerra cibernetica per quasi tutte le definizioni. A poche ore dalla sua prima apparizione, il virus corse oltre l’Ucraina e verso innumerevoli macchine in tutto il mondo, dagli ospedali in Pennsylvania a una fabbrica di cioccolato in Tasmania.

Ha paralizzato le multinazionali tra cui Maersk, il colosso farmaceutico Merck, la controllata europea FedEx TNT Express, la società di costruzioni francese Saint-Gobain, il produttore alimentare Mondelēz e il produttore Reckitt Benckiser.

Questa è una guerra che non puoi vincere. Ma puoi ridurre i danni.

Senza scomodare complessi software di intelligenza artificiale, è interessante verificare quante aziende hanno un piano di backup aggiornato, fanno periodicamente dei test di restore e hanno identificato i tempi di recovery.

Purtroppo -proprio perché c’è poca coscienza dei rischi- le piccole aziende spesso non capiscono la necessità di pagare uno specialista (spesso molto costoso) per qualcosa percepito come “superfluo”… parole come Security Assessment e Vulnerability Assessment sono sconosciute alle piccole /medie imprese; eppure sono proprio attività di prevenzione e valutazione dei rischi le uniche cose che potrebbero salvarle. Proprio perché non possono permettersi un fermo aziendale eccessivamente lungo.

Da dove iniziare?

La gestione della sicurezza informatica non è una attività per principianti. Non basta “aggiungere” un pezzo alla tua rete per risolvere il problema…mi spiego meglio: non è sufficiente cambiare antivirus o inserire un firewall se queste attività non fanno parte di un piano complessivo che valuta tutti gli aspetti della sicurezza aziendale, a partire da quella perimetrale, valuti il flusso di informazioni interne per arrivare ad un piano di disaster recovery dettagliato ed aggiornato periodicamente.

Certo, antivirus e firewall sono elementi di protezione essenziali ma è necessario orchestrare la sicurezza in modo trasversale all’azienda.

Le società di informatica -in particolare quelle di piccola/media dimensione poco strutturate- non sempre sono in grado di aiutarti perché solitamente propongono soluzioni di cui hanno competenze interne (se hanno un tecnico specializzato su Cisco ti proporranno sempre e solamente Cisco anche se la soluzione è sproporzionata per le tue esigenze) o sui prodotti su cui hanno maggiore marginalità: di certo non possono valutare come gestisci le informazioni internamente all’azienda e nel modo in cui lavori per indicarti un metodo per migliorare la sicurezza interna…. per questo ci vuole un consulente specializzato o una figura interna.

Per iniziare a capire il proprio “stato” di sicurezza è utile provare a rispondere a poche e semplici domande:

#1 Dati da proteggere

Sai davvero quali sono i dati critici da proteggere e dove sono? Sei certo che i dati importanti siano dove te lo aspetti e solo lì? Non ci sono copie sul pc degli utenti, file modificati che devono ancora essere salvati in rete? Copie di intere cartelle da un server ad un altro, magari con autorizzazioni differenti tra il server di origine e quello di destinazione?

#2 Il fattore umano

Se hai dei collaboratori, come intendono l’applicazione della sicurezza informatica? La considerano una cosa seria da applicare con rigore o una perdita di tempo? Hanno attaccato sul monitor un post-it con le varie password? Aprono le mail di sconosciuti senza chiedersi nulla?

#3 Autorizzazioni

In azienda è disponibile un elenco di chi-può-accedere-a-cosa? E’ chiaro? E’ scritto nero su bianco i documenti e le informazioni a cui ogni singola persona è autorizzata ad accedere? Viene aggiornato periodicamente ? Corrisponde con un buon grado di approssimazione alla realtà?

#4 Protezione

Hai un firewall aziendale? L’ha configurato una persona esperta? Quanto tempo fa? Hai un antivirus aggiornato almeno ogni due ore e -nel caso di una rete con più di 10 pc- una gestione centralizzata degli antivirus dei pc?

#5 Backup

A quando risale il tuo ultimo backup completo di tutti i dati? Hai un sistema automatico che ti avvisa se il salvataggio periodico non è andato a buon fine? I salvataggi vengono fatti mantenuti solo online (su disco o NAS) o vengono anche storicizzati tenendone delle copie in cassaforte?

#6 Recovery

Hai mai fatto una prova di ripristino di un salvataggio? o il recovery di un intero server? Perché scoprire che il sistema di backup non funziona quando sei già nei guai forse è troppo tardi…

E se è troppo difficile?

Se vuoi una consulenza in merito puoi provare a contattarmi al mio indirizzo mail francesco.racchelli(at)gmail.com. Se è un argomento che ti interessa, ti suggerisco di iscriviti alla mia newsletter per avere sempre nuovi aggiornamenti ed informazioni.

Fonte: WIRED

Manteniamo i tuoi dati privati e li condividiamo solo con terze parti necessarie per l'erogazione dei servizi. Per maggiori informazioni, consulta la nostra Privacy Policy.

Francesco Racchelli

Da ragazzino saltavo il pranzo e stavo fino a sera sulla tastiera di un commodore 16 a programmare giochi che oggi apparirebbero ridicoli, ma che allora per me erano semplicemente magnifici; provo la stessa emozione ancora oggi quando -utilizzando la tecnologia- risolvo problemi concreti e miglioro il lavoro mio e dei miei colleghi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *