Come perdere decine di migliaia di euro per un errore di sottovalutazione (che forse stai facendo anche tu)

Come perdere decine di migliaia di euro per un errore di sottovalutazione (che forse stai facendo anche tu)

29 Giugno 2017: Un attacco virus Ramsomware paralizza gli stabilimenti del Gruppo Maschio Gaspardo con un devastante risultato: a casa 650 operai, tra i 400 delle fabbriche di Campodarsego e Cadoneghe (Padova) e i 250 di Morsano al Tagliamento (Pordenone). I tecnici informatici del Gruppo si sono messi subito al lavoro per fronteggiare l’aggressione ma il gruppo è ripartito solo dopo 7 giorni dal blocco dei computer.

26 giugno 2017:Bloccato un magazzino del colosso dei trasporti TNT. Da ieri infatti, a causa del mancato funzionamento dei sistemi informatici, sono rimasti fermi 70 autisti, 15 operatrici, 30 addetti all’assistenza e circa 80 operatori della logistica. Computer bloccati, impossibilità di accedere a file e cartelle e richiesta di riscatto di 300 dollari in bitcoin, la moneta elettronica che non lascia tracce rendendo impossibile risalire ai destinatari del pagamento.

Un attacco virus all’interno della rete aziendale è diventato quasi una certezza: ci si pone di più la domanda “QUANDO avverrà” piuttosto che “SE..”

E molte aziende in italia sembrano non considerare adeguatamente la gravità della situazione.

Le maggiori società di sicurezza si stanno muovendo per fronteggiare questo nuovo fronte, che apre a nuove competenze di sicurezza che i servizi IT dovranno sempre più inglobare.

Ad esempio, Dimension Data e Cisco hanno da poco reso disponibile un nuovo White paper per aiutare le aziende a contrastare le minacce ransomware.

Il documento, molto interessante, esamina le tendenze e gli impatti dei ransomware e pone 5 domande che ogni azienda dovrebbe farsi con la massima urgenza.

  1. Quando la tua azienda ha fatto l’ultimo controllo di vulnerabilità o della sicurezza informatica interna? Conosci i tuoi asset IT e le tue vulnerabilità?
  2. Hai esaminato le soluzioni di sicurezza della tua azienda e la loro capacità di fermare attacchi di virus ramsomware;
  3. La tua infrastruttura di rete è in grado di aumentare il livello di sicurezza interna?
  4. Hai un approccio su più fronti al problema, cioè hai valutato la combinazione di differenti soluzioni di sicurezza e servizi per fermare e arginare un eventuale attacco ramsomware?
  5. Hai delle politiche di backup e di restore e queste fanno parte della strategia per proteggere le informazioni aziendali dai virus?

Ma vediamo prima di cosa parla il documento:

Sulla base di quanto scaturito dal Report Cisco 2017 Mid-Year Cyber Security, il ransomware costituisce una delle principali minacce per i sistemi informativi di tutte le aziende.

A livello globale, circa il 49% delle aziende hanno sperimentato almeno un attacco ransomware nel 2016: Solamente negli Stati Uniti, il numero di attacchi è aumentato del 300% nell’ ultimo anno.

Questo trend può essere imputato alla crescita dei ransomware-as-a-service (RaaS) registrata nella prima metà del 2017, per i quali i criminali informatici ingaggiano gli operatori di piattaforme RaaS per lanciare attacchi.

Matthew Gyde, di Dimension Data scrive: “Il rischio è aumentato da quando la criptovaluta e il bitcoin sono diventati un metodo comune per il pagamento di riscatti. Tale rischio si aggrava ulteriormente in virtù dell’aumento del numero di dipendenti che lavorano in remoto attraverso i propri dispositivi personali.”

I controlli sulla sicurezza da soli non sono sufficienti per arginare le minacce ransomware” spiega Gyde “e le aziende dovrebbero adottare un approccio multi-livello per bloccare la catena dei cyber attacchi. Questo significa identificare le minacce emergenti prima di un attacco, una veloce identificazione, una risposta rapida a un attacco, fino al processo di backup e di ripristino.

Il white paper include i sei punti del framework che le aziende dovrebbe implementare nel più breve tempo possibile:

  1. Prevedere ed essere aggiornati prima che un attacco si verifichi: ricerca proattiva di quanto accade nel web, delle vulnerabilità software che potrebbero essere utilizzate;
  2. Proteggere: gli strumenti per la gestione delle identità e degli accessi (IAM) sono essenziali per la protezione dei dispositivi e degli asset IT aziendali. Il controllo di accesso alla rete garantisce che solamente i dispositivi dotati di impostazioni di sicurezza appropriate e aderenti alle policy di sicurezza IT siano autorizzati ad accedere ai sistemi corporate;
  3. Rilevare: implementazione di tecnologie in grado di rilevare anomalie nell’infrastruttura nel caso in cui si siano infiltrati malware nella rete. La rete deve essere monitorata per verificare gli indicatori di compromissione. Optare per la rilevazione di traffico malevolo potrebbe aiutare ad automatizzare un’individuazione repentina prima che l’attacco si aggravi;
  4. Rispondere: nel momento in cui un incidente ransomware viene identificato il personale IT deve agire velocemente per bloccare i canali di comunicazione critici a livello di firewall o IPS e mettere in quarantena le macchine infette;
  5. Ripristinare: il backup è una parte critica all’interno di una strategia di ripristino veloce. Inoltre, i sistemi di backup devono impedire la replica di file malevoli crittografati da ransomware. Questo è possibile grazie a una segmentazione dinamica e funzionalità di sicurezza intrinseche.
Francesco Racchelli