Rischio di attacco informatico: che fare?

L’impresa altoatesina Rothoblaas di Cortaccia è stata recentemente oggetto di un attacco informatico “da manuale”. Una mattina di settembre, i dipendenti hanno notato che alcuni sistemi funzionavano in modo strano e sempre più spie di controllo passavano dal solito verde a un inquietante rosso. Ben presto si è capito che, attraverso una falla nella sicurezza, alcuni criminali si erano infiltrati nel firewall, paralizzando tutti i processi produttivi. Ma non si tratta affatto di un caso isolato: nel 2022, solo in Alto Adige sono stati registrati oltre 800 attacchi di questo genere, anche se il numero di casi non denunciati è presumibilmente ancora più elevato e, da allora, le cifre sono in continuo aumento. “Il tema della cybersicurezza sta acquisendo un’importanza sempre maggiore”, ci rivela Stefan Laimer di Konverto, azienda IT, “in quanto, nella nostra era iperdigitalizzata,

facciamo sempre più affidamento sulla tecnologia e la maggior parte dei lavori non può più essere svolta senza un computer. Il nostro mondo si basa su reti funzionanti, una connessione internet stabile e sistemi affidabili, il che si traduce in un aumento di obiettivi potenziali e, pertanto, di vittime. È relativamente semplice individuare un’azienda con vulnerabilità, che è quindi facilmente ricattabile, e sempre più gruppi criminali sfruttano queste lacune, trasformandole in un business redditizio”. Per contrastare tale fenomeno, nel 2023 è entrata in vigore la direttiva europea NIS2, che aggiorna le norme sulla sicurezza informatica del 2016, migliorando la resilienza e la reattività di enti pubblici e organizzazioni private

Uso problematico di dispositivi privati

Durante la pandemia di COVID, il telelavoro ha registrato un aumento significativo. Nei casi in cui l’operatività in home office non era possibile, l’attività rischiava la paralisi e, per questo, era necessario creare rapidamente un accesso ai server aziendali. “Il problema era che, improvvisamente, tutti potevano entrare nei sistemi aziendali dai propri computer privati”, spiega Laimer. “Questo passaggio cela naturalmente dei rischi, perché la società non ha alcun controllo sui dispositivi personali”. Sui computer di un’impresa, ad esempio, spesso non è possibile memorizzare le password nei browser e sono installati dei programmi di protezione contro i keylogger, che rilevano i tasti premuti sulla tastiera per carpire tali dati. “I computer privati dovrebbero essere integrati il meno possibile nell’ambiente aziendale, poiché rappresentano un rischio difficilmente controllabile”, sottolinea Laimer. “Nel settore bancario, sono un tabù”. Gli smartphone, invece, non rappresentano una minaccia così grave, sempre secondo Laimer, ma anche in questo caso sono necessarie linee guida e procedure di crittografia.

Vulnerabilità in aumento

Per i criminali informatici, la digitalizzazione schiude costantemente nuovi scenari. Un esempio è la posta elettronica: se in passato il personale poteva accedere al proprio server solo dall’ufficio, oggi può farlo da qualsiasi parte del mondo. Inoltre, un tempo, una semplice password era considerata una protezione sufficiente perché l’aggressore doveva prima penetrare nella rete aziendale per ottenerne l’accesso, mentre oggi il servizio di posta elettronica è accessibile ovunque e pertanto sono necessari ulteriori accorgimenti.

Prendiamo ad esempio il phishing:

le credenziali vengono spesso spiate tramite e-mail fasulle o malware (software malevoli), tra cui i ransomware che s’insinuano nella rete aziendale. Questi ultimi sono programmi maligni che criptano i dati e trasmettono ai criminali password, segreti commerciali, proprietà intellettuali o informazioni relative a clienti e fornitori. In taluni casi, i dipendenti sono addirittura esortati a eseguire rapidi trasferimenti di denaro.

Un altro esempio riguarda il cloud:

un pratico strumento che permette di lavorare all’insegna della flessibilità e rapidità con accesso illimitato, consentendo all’impresa di svilupparsi più facilmente senza necessità di acquistare nuovi server, ma esternalizzando l’archiviazione dei dati. “Tuttavia, se il cloud non è configurato correttamente”, ci svela ancora Laimer, “può trasformarsi in un fattore di insicurezza, perché permette l’accesso da ogni angolo del mondo”.

Professionalizzazione del crimine

Il cliché dell’hacker solitario con felpa e cappuccio è superato: oggi sono all’opera società di servizi specializzate in attacchi informatici. “In passato, gli aggressori dovevano fare tutto da soli, dalla programmazione del malware al furto dei dati”, spiega Laimer. “Attualmente esistono sul mercato dei ‘professionisti’ che offrono il pacchetto completo: uno sottrae le informazioni di accesso, un altro sviluppa il ransomware e un terzo ingaggia questi servizi per compiere un attacco mirato alle aziende che non hanno configurato correttamente i propri server”. Un singolo dipendente IT non può occuparsi di questioni così complesse e in rapida evoluzione: ecco perché anche le realtà più piccole vengono sempre più spesso prese di mira dai criminali attraverso software maligni a basso costo.

Molti dubbi

Se è vero che non esiste una soluzione perfetta per tutelarsi dagli attacchi informatici, grazie a un sistema sofisticato di misure mirate è possibile affrontarli passo dopo passo. Laimer consiglia di cominciare ponendosi le seguenti domande: il mio personale è formato in materia di sicurezza? Quali linee guida ho adottato? Conosco la mia infrastruttura e le sue vulnerabilità? I miei sistemi si aggiornano automaticamente? Quali sono i dati più importanti che non posso assolutamente rischiare di perdere? Dispongo di mezzi per segnalare eventuali attività sospette? I miei processi sono tutti tracciabili? E, infine, come mi comporto in caso di emergenza? Chi chiamo e dove sono allocati i backup per riprendere l’operatività in tempi brevi? “Più si riesce a essere efficaci in queste aree, minore è la probabilità di essere oggetto di un attacco dagli esiti negativi”, conclude Laimer. Se l’iniziativa criminale va a buon fine, l’operatività aziendale solitamente si arresta: il potenziale di ricatto è notevole e le richieste si aggirano solitamente tra il 3 e il 4% del fatturato annuale. A essere colpite non sono solo le imprese private, ma anche le istituzioni pubbliche come sanità, finanza, infrastrutture e società energetiche. Rothoblaas disponeva di un piano ben strutturato per affrontare un attacco, che aveva precedentemente simulato in uno scenario di emergenza e, dopo soli tre giorni di inattività, è stata in grado di rimuovere con successo l’aggressore, ripristinare i dati e riprendere l’operatività. Questo dimostra che la minaccia è sempre presente, ma che è possibile proteggersi efficacemente.

L’importanza di un’adeguata preparazione

Stefan Laimer, esperto di cybersecurity, ci svela i trucchi sempre più sofisticati messi in atto dai criminali, spiegando com’è possibile proteggersi con mezzi semplici.

Sig. Laimer, qual è il livello di consapevolezza delle aziende in materia di sicurezza informatica?

Stefan Laimer. Dipende essenzialmente dalle dimensioni: le realtà più grandi, di solito, dispongono di esperti che si occupano esclusivamente di questa materia, mentre in quelle più piccole la questione è demandata ad alcuni collaboratori con conoscenze informatiche, che devono spesso cavarsela da soli. La sicurezza, quindi, non è sempre una priorità assoluta, anche se gli eventi più recenti hanno dimostrato l’importanza di stare sempre in guardia.

Supponiamo che io sia un piccolo imprenditore senza un dipartimento di cybersecurity e che improvvisamente i miei dati vengano criptati: come devo comportarmi?

In questo caso, un’azienda specializzata in servizi di sicurezza, un cosiddetto “incident response provider”, può essere d’aiuto per liberare i sistemi dagli “aggressori”, ripulirli e rimetterli in funzione. Questo per quanto riguarda gli aspetti tecnici. Se però vengono colpiti dati sensibili, l’incidente deve essere segnalato all’autorità di protezione dei dati. In ogni caso, è necessario essere preparati agli attacchi e sapere esattamente quali misure adottare e chi contattare, internamente o esternamente.

Per le piccole aziende, la sicurezza informatica è naturalmente anche una questione di risorse finanziarie…

Non necessariamente. Negli ultimi anni, molto è cambiato e oggi numerose tecnologie sono disponibili a basso costo o addirittura già integrate nelle infrastrutture esistenti, il che significa che basta solo usarle correttamente.

Il fattore umano è considerato un punto vulnerabile. A quali aspetti bisogna prestare maggiore attenzione?

Gli attacchi vengono spesso sferrati via e-mail. Per fare un esempio, a livello tecnico è praticamente impossibile impedire che qualcuno modifichi un codice IBAN, solo un dipendente può farlo. Pertanto, più il personale è formato e addestrato, più sa a cosa prestare attenzione e come muoversi. Tuttavia, alcuni attacchi sono talmente ben congegnati da ingannare anche la persona più attenta e preparata, senza dimenticare che gli errori possono capitare a chiunque.

Quali sono le tre regole d’oro per impedire gli attacchi?

Prepararsi bene per sapere esattamente cosa fare in caso di emergenza, utilizzare l’autenticazione a due fattori per accedere ai dati via internet e mantenere aggiornati i sistemi informatici. Chi fa questo, è già a un ottimo punto.

Stefan Laimer è SOC analyst per Konverto, provider di servizi internet: il centro operativo di sicurezza (Security Operations Center, SOC) risponde del monitoraggio degli ambienti IT, del rilevamento degli attacchi informatici e della risposta.