Obiettivo cybersicurezza: cosa ci insegna il periodo pandemico

Che evoluzione hanno mostrato gli attacchi informatici nel periodo pandemico?

Pierluigi Paganini: Nel periodo pandemico abbiamo osservato un aumento dell’accesso ai servizi via web da parte di aziende e di cittadini privati, e di conseguenza una maggiore esposizione degli utenti ai cyberattacchi. Le tipologie di attacco più comuni sono state due: una matrice è legata ai crimini informatici a scopo di estorsione e dunque motivati da obiettivi di lucro economico. La seconda matrice è invece risultata legata alle attività “Nation-State”, cioè a gruppi che operano contro governi e istituzioni.

Significativo anche l’attacco ad organismi di ricerca e istituzioni coinvolti nella preparazione del vaccino: una tendenza molto importante, che ha fatto da trampolino a pericolose operazioni di spionaggio e disinformazione volte a screditare l’operato dei governi.

In questo i canali utilizzati variano a seconda del paese, coinvolgendo anche le reti sociali, la messaggeria istantanea, i mass media. Si è trattato di un fenomeno che ha interessato in particolar modo paesi come la Russia e la Cina, anche se con motivazioni differenti.
 
In generale, riscontriamo che queste minacce hanno mostrato l’abilità di adattarsi alle particolarità del periodo, utilizzando il Covid-19 come esca e occasione per colpire gli utenti. Le modalità offensive sono state non a caso plasmate sulla matrice dell’attacco.

Ad esempio, abbiamo osservato un consolidamento del doppio fattore di estorsione in cyberattacchi ransomware. Ovvero: dapprima i criminali rubano i dati alle vittime per cifrarne i sistemi; successivamente, minacciano le entità colpite di divulgare le informazioni trafugate nel caso in cui non si paghi un riscatto.

Per evitare la pubblicazione delle informazioni rubate, e anche nei casi in cui siano riuscite a recuperare i dati dai propri backup, le vittime di attacchi ransomware potrebbero essere così indotte al pagamento del riscatto.

Quali sono le più ricorrenti falle nella sicurezza aziendale in fatto di cybersecurity? Quali priorità è necessario mettere a fuoco?

Pierluigi Paganini: Per un’azienda l’esposizione agli attacchi informatici è data principalmente da due fattori: uno tecnologico e uno umano. Sul primo versante, è un dato di fatto che l’estensione del lavoro da remoto abbia portato a un’adozione massiva delle tecnologie, che si sono al contempo configurate come punti d’accesso all’azienda e appendici aziendali da monitorare e difendere.

I canali più utilizzati per i cyberattacchi sono stati gli accessi RDP, vale a dire accessi da remoto alle postazioni di lavoro, e i sistemi VPN (Virtual Private Network). In particolare questi ultimi, che consentono l’accesso da remoto alle risorse aziendali, hanno rappresentato il principale vulnus del periodo pandemico.
 
Stando a queste osservazioni, è possibile mettere a fuoco le priorità per la cybersicurezza: innanzi tutto avere ben chiari i contorni del perimetro aziendale ed essere consapevoli di quale sia la propria superficie d’attacco.

E poi: i sistemi e i server devono essere mantenuti protetti e aggiornati. Questo aspetto non deve mai essere sottovalutato, specie per quanto riguarda le VPN, altrimenti si corrono gli stessi rischi di quando si lasciano le chiavi fuori dalla porta di casa.

Per quanto riguarda invece il fattore umano, si è osservato un aumentato successo degli attacchi informatici dovuto al fatto che molte persone non erano abituate al contesto virtuale e da remoto.

L’inesperienza e la scarsa conoscenza delle caratteristiche del mutato contesto hanno fatto sì che si siano abbassate o sottovalutate difese di centrale importanza. Un dato, questo, da prendere seriamente in considerazione per comprendere quanto la formazione delle persone sia parte integrante di qualsiasi strategia difensiva.

Parliamo di tendenze in fatto di cybersicurezza: come vede il futuro di questa tematica in Italia e in Europa?

Pierluigi Paganini: Tra Italia ed Europa non si riscontrano differenze sostanziali: per sua natura il cyberspazio non ha frontiere. Senz’altro, come già accennato, abbiamo notato un aumento preoccupante degli attacchi ransomwere per quanto riguarda il sequestro dei documenti a scopo di estorsione, oltre ai già citati cyberattacchi a infrastrutture critiche da cui dipende il funzionamento delle attività essenziali degli Stati (infrastrutture sanitarie, trasporti, banche, reti di telecomunicazioni).

Va poi segnalato il continuo aumento dei malware (software malevoli), che da anni rappresentano le principali minacce dell’ecosistema informatico, e che continuano a evolversi per eludere i sistemi di difesa.

Sono tutte osservazioni che ci offrono indicazioni importanti per il futuro della cybersicurezza e per l’allestimento di difese opportune. Ma sarà anche cruciale imparare a gestire gli attacchi ai sistemi di criptovalute, che hanno raggiunto quotazioni importanti.

I crimini informatici si stanno infatti specializzando nel campo della DEFI (Finanza Decentralizzata), e negli ultimi giorni abbiamo osservato aggressioni anche eclatanti che hanno portato a perdite di diverse decine di milioni di Euro. Il periodo è cruciale, e questi attacchi continueranno. Bisogna stare in allerta.

Cybersicurezza e smart/hybrid working: quali sono le migliori pratiche per garantire sicurezza alle aziende e alle persone oggi?

Pierluigi Paganini: Una fondamentale buona pratica consiste nel limitare la superficie di attacco. Per questo è così importante individuare il perimetro delle aziende, e comprendere quali dei sistemi in uso sono davvero necessari e quali no.

Le componenti devono essere messe in sicurezza, perché spesso l’attacco passa da sistemi obsoleti o non aggiornati. Qualsiasi sistema VPN non necessario, quindi, deve essere prontamente eliminato.
 
L’altro centrale elemento di protezione è dato dal fattore umano: in fatto di cybersicurezza deve essere innalzato il livello di consapevolezza all’interno delle aziende. I dipendenti dovrebbero ricevere una formazione specifica sulle minacce e sulle loro modalità di inoculazione. Questa cautela potrebbe abbattere sensibilmente il numero dei cyberattacchi.

Per esperienza, alla base della quasi totalità degli attacchi di successo c’è un comportamento umano: apertura di email senza precauzioni, uso delle stesse credenziali usate in azienda su piattaforme private, condivisione delle password tra colleghi o utilizzo di password deboli. È un dato di fatto: sui fattori di protezione, le risorse aziendali devono essere istruite.

Quale è al momento lo stato e la consapevolezza sulle tematiche della cybersicurezza in Italia?

Pierluigi Paganini: I dati sulla situazione attuale ci dicono che stiamo facendo passi in avanti, ma se dovessimo dare un voto non sarebbe ancora sufficiente.

Una situazione, questa, che si verifica anche nelle aziende strutturate e di respiro internazionale. In generale manca la consapevolezza della minaccia e si riscontrano carenze anche nel personale IT.

Deve passare il messaggio che chi è responsabile dell’IT non è detto sia anche il più idoneo responsabile della cybersicurezza: sono due competenze diverse. Il livello non è ancora adeguato, ma c’è da dire che le istituzioni stanno spingendo per un miglioramento.

Il Governo italiano e l’agenzia per la cybersicurezza stanno dando segnali chiari. Ora questa consapevolezza va trasmessa alle aziende private, prendendo atto del fatto che piccole e medie imprese sono le più esposte, anche a causa di una minore percezione dei rischi.

Che ruolo ha la formazione delle figure executive e delle direzioni aziendali nelle strategie di difesa e prevenzione dagli attacchi informatici?

Pierluigi Paganini: La formazione di queste figure è essenziale. Il coinvolgimento degli executive rappresenta probabilmente il principale volano per l’implementazione della sicurezza informatica. Questi ruoli devono essere consapevoli della minaccia e comprendere come il rischio cyber si traduce in perdite economiche e di operatività, competitività ed efficienza.

Su questo piano, ricorre una diffusa mancanza di consapevolezza. Dovrebbero invece essere destinati investimenti ad hoc, e considerati imprescindibili opportunità di crescita.

Nel contesto internazionale, infatti, sono richiesti stringenti requisiti di sicurezza. Per questo gli executive devono saper mettere a fuoco i guadagni consentiti dagli investimenti, e la possibilità di accedere a mercati tradizionalmente preclusi.

Si tratta di una lezione che i settori bancario ed energetico sembrano aver intuito, mentre l’ambito sanitario si dimostra ancora molto vulnerabile.

Pierluigi Paganini

L'autore

L’Ing. Pierluigi Paganini è esperto di Cybersecurity e Intelligence e CEO di CYBHORUS. Collabora con il Ministero dell'Economia e delle Finanze italiano e organizzazioni governative. Insegna all’Università Luiss Guido Carli. È autore di numerosi libri e pubblicazioni e il suo blog Security Affairs è fra i primi 5 al mondo in materia di cybersicurezza.