Un grande attacco ransomware – si parla di “attacco di portata globale” – ha nuovamente colpito, mettendo in crisi la più grande compagnia petrolifera russa, ma anche banche e società pubbliche e private in Europa, India e Stati Uniti.
I numeri sono, ancora una volta, drammatici e fanno certamente “notizia”, ma credo varrebbe la pena affrontare la questione anche sotto un altro punto di vista: perché questa vittoria schiacciante di “non Petya”, un ransomware nuovo, ma che di fatto si è imposto con la stessa identica metodologia del suo predecessore “Wannacry”?
Paradossalmente, i sistemi attaccati in questi giorni sono gli stessi, evidentemente non aggiornati, che erano già stati vittime in passato. Fa riflettere che, nonostante gli effetti disastrosi sulle procedure aziendali e l’allarmismo sulla paura di una nuova infezione, di fatto aziende e utenti finali abbiano completamente ignorato il problema senza apporre alcuna patch di aggiornamento al sistema o alcun livello di protezione.
Attacchi troppo complessi affinché vengano adottate le misure necessarie alla prevenzione o ancora troppa resistenza nell’adottarle? Dal mio punto di vista, anche per quanto concerne il mercato italiano, manca ancora una cultura che sensibilizzi a dovere sulla sicurezza del dato, prima ancora dell’adozione di strumenti informatici di prevenzione.
Le infrastrutture e le tecnologie esistono, ma il concetto di sicurezza dovrebbe probabilmente essere affrontato in maniera ben più ampia, partendo da una vera e propria cultura aziendale che riguardi non solo il proprio sistema informatico ma anche, e forse ancor prima, quello informativo.
Le aziende dovrebbero cioè concentrarsi non solo sul mettere in sicurezza le tecnologie e gli apparati elettronici, ma anche sull’educare a un atteggiamento “sicuro” tutte le risorse umane all’interno dell’azienda finalizzate alla gestione dei dati prodotti durante l’esecuzione dei processi aziendali. Le stesse aziende oggi hanno sicuramente colto l’importanza di installare antivirus, non più ritenuta una spesa inutile, ma difficilmente comprendono l’importanza di diffondere una cultura della sicurezza all’interno dell’azienda. Il che significa, ad esempio, fare attenzione ai device esterni che vengono collegati ai PC aziendali, proteggere documenti sensibili e password di accesso, etc.
Negli ultimi anni i service provider come Retelit si sono evoluti fornendo pacchetti di sicurezza sempre più completi perché, se i primi attacchi di massa erano facilmente gestibili con un comune antivirus, quelli vissuti negli ultimi tempi sono attacchi più specifici e mirati e richiedono soglie di sicurezza molto più elevate. Si è passati dal MSSP (Manager Security Server Provider) che prevede la sola vendita del firewall al Security Operation Center che, oltre al firewall, include anche la sua configurazione e gestione, alla più recente Security Control Room.
Quest’ultima è una piattaforma che permette alle aziende di avere un’infrastruttura a supporto che effettui un monitoraggio costante e proattivo del proprio network, permettendo di affidare all’esterno la gestione della propria sicurezza con la garanzia di mantenerla al sicuro da minacce, prevenendo e monitorando possibili attacchi informatici.
La Security Control Room lavora in maniera proattiva, puntando alla prevenzione, piuttosto che alla cura, del rischio. Le informazioni raccolte da tutti gli elementi della rete vengono processate da un correlatore e, ove ci fosse ad esempio un reiterato collegamento a un indirizzo IP sconosciuto al sistema, questi lancia immediatamente un allarme che viene poi gestito concretamente da specialisti all’interno della Security Control Room, in modo da capire cosa stia accadendo nel caso specifico.
Una sorta di intelligenza artificiale in grado di intervenire in caso di pericolo sospetto – rallentando o impedendo la navigazione in rete per poi riattivarla nel caso di conferma da parte del cliente dell’attività indagata – che andrà però sempre supportata da un atteggiamento finalizzato alla sicurezza anche da parte del singolo utente.
