AUSED – Ransomware:

è solo un problema di cybersecurity?

L’elevata estensione della superficie di attacco rappresenta un problema crescente.

Dopo il grande evento del CIOsumm.it di Lazise, a cavallo tra fine settembre e i primi di ottobre, l’AUSED ha organizzato lo scorso 13 ottobre l’evento virtuale dal titolo “AUSED: Ransomware: è solo un problema di cybersecurity?”. All’incontro hanno partecipato attivamente Stefano Lombardi (consigliere AUSED), Gabriele Faggioli (presidente Clusit e responsabile scientifico dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano), Sergio Feliziani (Country Manager Commvault) e Vincenzo Costantino (senior director Sales Engineer Western EMEA & Israel di Commvault). Ha contribuito anche Giovanni Daconto, CIO Ariston Group e consigliere AUSED.

Il webinar ha fatto emergere come all’interno del percorso di Digital Transformation che ogni azienda sta indirizzando, un problema crescente sia rappresentato dall’elevata estensione della superficie di attacco. Le tecnologie di cybersecurity vengono certamente in soccorso, sebbene potrebbero però non essere sufficienti. Infatti l’argomento trattato ha portato alla luce oltre all’attuale scenario anche gli aspetti legali relativi, dando delle indicazioni interessanti su come fare per ridurre l’efficacia dei Ransomware, citando anche esperienze vissute, l’evoluzione dell’infrastruttura Cloud e consigli di tipo pratico.

Per prima cosa, attraverso l’intervento di Gabriele Faggioli, si è affrontato lo scenario attraverso alcuni dati provenienti da una survey dell’Osservatorio Digital Transformation che ha visto coinvolte 116 grandi imprese. Sicuramente l’attenzione al fenomeno della cybersecurity è aumentata nel tempo, vuoi per una attenzione mediatica sempre più elevata, vuoi anche perché l’introduzione del GDPR ha effettivamente fatto la differenza al centro del percorso sulla sicurezza. Tuttavia i dati mostrati fanno molto riflettere così come è stato accennato che la normativa in essere dovrebbe fare ancora un salto di qualità. Ma vediamo un po’ di dati: tra il 2020 e il 2021 le priorità di investimento digitale (anche spinte dall’effetto pandemia) hanno fatto balzare dal secondo al primo posto il tema della sicurezza informatica. Addirittura in ambito PMI, per le 500 aziende intervistate, nel 2020 l’information security non risultava nemmeno tra le prime sei priorità. Nel 2021, invece, l’argomento è divenuto molto caldo e si trova al secondo posto, poco sotto il tema dello smart working, di cui conosciamo bene l’importanza in questi ultimi periodi.

A partire dal 2015 – e finanziate dal 2018 – sono state fondate 254 start up dedicate alla cybersecurity, di cui quasi il 60% in America e il 20% in Asia. L’Europa pesa anch’essa per un 20%, ma l’Italia purtroppo è solo un fanalino di coda col 2%. Sostanzialmente, di 3,83 miliardi di dollari, dal 2018 a oggi, le startup hanno ottenuto in media 15 milioni di dollari a testa, anche se la media italiana risulta essere solo di 1 milione di dollari.

L’Osservatorio negli ultimi dieci anni ha analizzato e classificato circa 100 attacchi gravi al dominio pubblico. Nel quadriennio 2017-2020 gli attacchi gravi sono aumentati del 66% raggiungendo oltre 1800. In Europa sono passati dall’11 al 17%. Sempre basandoci sull’analisi in questione, nel 2020 la categoria Cybercrime ha fatto registrare il numero di attacchi più elevato degli ultimi 10 anni, pesando per l’81% nelle diverse tipologie.    

Tra le categorie più colpite risulta esserci quella “multi target” (20%) che ha superato per il terzo anno consecutivo il settore Government, che deteneva il primo posto tra il 2021 e il 2016. Al terzo posto troviamo il settore “”Healthcare” (12%), poi “Education e Research” (11%), “Online service/Cloud” (10%), “Others” (8%) e “Software e Hardware vendor” (6%).

Una ennesima survey, questa volta su un campione di 151 grandi aziende, ha portato alla luce le azioni di sicurezza svolte per far fronte all’emergenza. In larga parte sono state introdotte nuove policy (63%), sono state adottate soluzioni a protezione della rete (62%), svolte attività di formazione (60%), introdotte soluzioni di sicurezza dei device personali (49%) e introdotte soluzioni per identificare e rispondere agli attacchi (33%). Per un 19% vi è stata anche una riformulazione delle stime di valutazione del rischio cyber e per il 18% si è introdotta una revisione dei rapporti con le terze parti.

Come rischio medio/alto sulla cybersecurity i trend di maggior impatto attuali riguardano i temi Cloud e smart working. Dal punto di vista tecnico i rischi cyber tradizionali (es. phishing, email compromesse, botnet, DDoS) sfruttano l’anello debole della filiera per far breccia a cascata nell’organizzazione. Il 24% delle organizzazioni dichiara di aver subito un incidente di sicurezza legato alle terze parti negli ultimi 12 mesi.

Tra le tecnologie adottate in ambito supply chain security fanno breccia il monitoraggio della postura cyber della terza parte, la mappatura delle relazioni con i fornitori in tutta la catena di approvvigionamento, la verifica del comportamento degli utenti lungo la supply chain, con valutazione dei rischi informatici, e l’utilizzo di strumenti di autentificazione multi fattore e di connessioni sicure. Tuttavia l’utilizzo di soluzioni tecnologiche specifiche avviene solo per il 59% delle 151 grandi imprese intervistate, mentre il 20% è in fase di introduzione. Ciò lascia attualmente scoperto un 21% che ancora non ha previsto di adottare nessun tipo di tecnologia di questo tipo.

Un ulteriore dato che fa pensare è relativo all’attività di valutazione della compliance alla normativa sui dati personali. In un campione di 76 aziende, l’80% ha dichiarato che questa valutazione non avviene mai, il 17% a volte e solo il 3% sempre. Questo dato riguarda la valutazione dei fornitori, mentre per i subfornitori le percentuali cambiano in 49% mai, 46% a volte e 5% sempre. Inoltre l’attività di valutazione del livello di sicurezza viene praticata in maniera minore rispetto all’attività di valutazione della compliance alla normativa sui dati personali, sia sui fornitori, sia sui subfornitori.

La ricerca ha portato in evidenza come in un perimetro di analisi fatto da 3787 imprese con almeno 250 addetti, vi sia un valore che oscilla ogni anno tra 31000 e 34000 giornate/uomo destinate ad attività di valutazione della compliance e della sicurezza di fornitori e subfornitori. La responsabilità della sicurezza informatica è solo nel 41% dei casi delegata al CISO formalizzato, mentre per il 25% troviamo a occuparsi di questa responsabilità la figura del CIO, per il 13% è invece il CSO o Security Manager, per il 19% un’altra figura aziendale e per il 2% non esiste nessuna figura aziendale delegata a questo ruolo.

Gli interventi successivi di Sergio Feliziani e Vincenzo Costantino hanno contribuito a offrire la visione di Commvault, azienda nata a metà degli anni ’90 da una costola dei laboratori AT&T. Una azienda che oggi vanta 3000 addetti in tutto il mondo e tre miliardi di dollari di capitalizzazione. In Italia vi sono oltre 50 professionisti impegnati a perseguire la mission aziendale, che propone soluzioni che permettono di pianificare, proteggere e recuperare i dati ovunque essi si trovino. La solidità tecnologica è sottolineata dal risultare leader da diversi anni per le soluzioni di backup e disaster recovery all’interno del Magic Quadrant di Gartner. La protezione e la gestione dei dati non sono più aspetti da trascurare ma imperativi organizzativi e la tecnologia che propone questa azienda è di tipo sofisticato, che sfrutta automazione e customizzazione e che presenta una security dashboard molto evoluta.

Sul tema della vision e delle soluzioni di Commvault il prossimo 28 ottobre, alle ore 15.00 vi sarà un evento internazionale intitolato CONNECTIONS21 a cui è possibile partecipare iscrivendosi a questo link:

https://www.commvaultconnections21.com/?utm_source=social-media&utm_campaign=western

Il gap che l’Italia sconta per problematiche di vario genere è riscontrabile dai dati emersi dalle varie survey sopra menzionate. Oggi la proliferazione dei dati multigenerazionali, con carichi di lavoro ovunque, mette sempre di più al centro la sicurezza. Occorre quindi intervenire e definire come gestire e proteggere i nuovi ambienti. Serve in sostanza definire una serie di punti qualificanti che possano nel loro insieme diminuire l’efficacia dei ransomware. Per prima cosa occorre identificare le problematiche di risk assesment. Successivamente vi è una fase di protezione con un disegno che Commvault definisce “immutabile”. Poi si interviene sulle infrastrutture e sul controllo dei flussi e dei workload. La parte finale riguarda il monitoring, anche da remoto, che può includere meccanismi di automazione).

Il ragionamento di fondo è che il ransomware non potrà mai essere sconfitto completamente ma è fondamentale sapere che in azienda un attacco del genere potrebbe accadere in qualsiasi momento e quindi occorre essere preparati agendo a monte per tempo.

Il ransomware nasce nel 2000 e attualmente lo si può suddividere in tre tipologie: Phishing, Zero-Day Attack e Targeted Account.

L’incontro ha messo in evidenza come un semplice backup non sia sufficiente per essere al sicuro da questi attacchi. Vi sono infatti svariati problemi di Data Management che vanno analizzati. Vi è un impatto anche dal punto di vista del processo, che parte dall’online fino al backup stesso. Negli esempi portati in evidenza da Commvault durante il webinar è emerso che non basta scoprire l’attacco ma è fondamentale capire anche da quado questo è partito. Le soluzioni da loro proposte prevedono la memorizzazione del database anche in un cloud gratuito messo a disposizione dei propri clienti, così come – anche se ci si trova in una situazione di dati cancellati manualmente da figure aziendali compromesse dagli attacchi – in realtà i dati non vengono realmente cancellati in tempo reale ma solo dopo alcune ore. Questo ha permesso in un caso specifico, raccontato durante l’evento, di poter ripristinare quanto causato dall’attacco in tempi brevissimi .

La discussione si è infine spostata su alcune domande che hanno portato ad affermare che nonostante durante gli attacchi ci si senta avviliti e sconfitti il pagare il riscatto non è la risposta giusta. In primis non si ha nessuna garanzia da parte di chi ci attacca, e quindi non è detto che dopo qualche mese si rifaccia vivo chiedendo altri soldi e sferrando altri attacchi. Poi è possibile che i malviventi abbiano visionato i nostri dati di tipo finanziario e li abbiano messi a disposizione del Deep web. Non esistendo nessun tipo di garanzia che pagando, il problema venga definitivamente risolto, non occorre fare nessun tipo di compromesso con i criminali. Anzi, cedendo al ricatto non si fa altro che alimentare le loro attività illegali permettendogli di continuare a svolgerle verso altre aziende.

Tra i punti emersi in conclusione si è accennato a come per ridurre i rischi d’attacco non sia propriamente utile frammentare le soluzioni che si occupano di sicurezza e diversificare quelle di backup: molto meglio un’unica strategia con una dashboard in grado di “vedere” tutta l’azienda; un’unica interfaccia in grado di garantire disponibilità dei dati e continuità di business negli ambienti on-premise e nel cloud.