A seguito dell’attacco ransomware che ha messo in ginocchio uno tra i più importanti oleodotti americani, la Colonial Pipeline, riteniamo un dovere da parte nostra fornire gli strumenti utili per comprendere meglio quanto sia critico questo momento e quanto la faccenda coinvolga tutti noi, più di quanto pensiamo.
Se avete dubbi sul perché dovremmo prendere seriamente in considerazione il pericolo, ecco una semplice risposta:
Essere vittime di un attacco informatico non dipende dalla grandezza dell’azienda né dal settore in cui opera.
Certamente, più l’azienda in questione gioca un ruolo importante nell’economia e nella società, più diventa un bersaglio appetibile per i criminali, che possono orchestrare degli attacchi imponenti.
Il settore energetico, ad esempio, è uno di quelli tra i più colpiti. Inutile sottolineare come la fornitura di energia elettrica sia di fondamentale importanza per una moderna economia. La digitalizzazione sempre più accelerata del settore e le fitte interconnessioni create tra software e hardware di cui si servono le aziende rendono il terreno fertile per gli attacchi informatici, soprattutto ransomware.
Cos’è un ransomware
Un virus di tipo ransomware non è altro che un codice che, nel momento in cui riesce a entrare in un computer, agisce criptando tutti i contenuti che incontra sulla sua strada e, spesso, esfiltrandoli; file, cartelle e documenti non solo di quel determinato computer ma di tutti quelli collegati, ad esempio, alla rete aziendale.
Un ransomware agisce come un cavallo di troia e a portarlo all’interno di un’organizzazione sono spesso i dipendenti aziendali. Esistono molti modi subdoli per rendere un ignaro utente portatore di virus: il ransomware viaggia di solito per email, nascosto in improbabili file allegati. Il metodo più efficace è anche, per certi versi, il più antico: una classica email con un testo che invita a scaricare e poi aprire l’allegato.
Il termine ransomware viene dall’inglese ransom, che vuol dire riscatto e, difatti, per rientrare in possesso dei propri file e dei propri dati viene richiesto il pagamento di un riscatto, solitamente espresso in bitcoin. Un attacco ransomware è sempre indice di un data breach, ovvero di una sottrazione indebita di dati e, in caso di mancato pagamento, la minaccia è quella di rendere pubblici documenti potenzialmente riservati o di condividerli con aziende concorrenti.
Recenti attacchi ransomware
Sicuramente, l’evento più popolare degli ultimi giorni è l’attacco alla Colonial Pipeline, più grande rete di condutture degli Stati Uniti, capace di trasportare fino a 2.5 milioni di barili di prodotti petroliferi. La lista, però, è ancora lunga.
Ad aprile 2020 si è verificato un attacco nei confronti di Energias de Portugal (EDP), utility energetica portoghese e quarto fornitore mondiale di energia eolica, presente in 19 nazioni con 11 mila dipendenti. Nel caso di EDP sarebbe stato chiesto un riscatto di 1.580 bitcoin che corrisponde circa a 10 milioni di euro di allora (corrispondenti oggi a 73 milioni).
Anche ENEL è stata oggetto di un attacco ransomware nel 2020 che ha compromesso i sistemi ed esfiltrato 4 Terabyte di dati, pubblicati in seguito sul dark web.
Attacchi informatici sono stati rivolti anche a centrali idroelettriche, molto spesso gestite da aziende nate in un mondo pre-digitale e catapultate nell’online senza adeguate metodologie e dove non è infrequente trovare sottosistemi gestiti da applicazioni SCADA manovrate in remote desktop, spesso non compliant ai minimi livelli di sicurezza IEC (International Electrotechnical Commision). In queste circostanze, per un hacker dei nostri giorni penetrare la sicurezza di queste applicazioni quasi obsolete è davvero uno sforzo minimo.
Come evitare un attacco ransomware
La cybersecurity si rivela una lotta costante tra hackers e difensori. Gli hacker scoprono le falle di sicurezza, sia hardware che software, di un’azienda e si servono di tecniche di social engineering per ingannare gli utenti e indurli a compiere azioni che finiscono per installare software malevoli (malware) all’interno dei sistemi aziendali. I difensori, dalla parte opposta, corrono a chiudere le falle aperte dagli hacker.
Un rafforzamento generalizzato delle misure di sicurezza – come l’installazione di patch (aggiornamenti) software e hardware – l’implementazione di strumenti di monitoraggio e l’aumento della consapevolezza di comportamenti potenzialmente a rischio, sono delle buone pratiche da intraprendere per affermare di avere sotto controllo la sicurezza del proprio business.
Bisognerebbe adottare un approccio zero-trust e implementare progressivamente misure di protezione delle email sempre più stringenti e sofisticate di modo che si possano portare al grado zero gli attacchi ransomware.
Come difendersi da un attacco ransomware
Nel momento in cui si verificano situazioni di pericolo, l’infrastruttura IT deve essere in grado di reggere l’urto, cosicché gli esperti informatici possano applicare con prontezza le adeguate procedure di rimedio.
Il personale IT può provare a decrittare i file rimasti nei computer aziendali, pur sapendo di correre il rischio di renderli irrecuperabili. Tuttavia, la realtà dei fatti è che molto spesso l’unica strada percorribile per tornare alla piena operatività è quella di ripristinare ex-novo i computer come se l’intero parco macchine fosse stato azzerato o distrutto da un evento fisico. Una tale azione, ovviamente, è anche risolutiva nei confronti del virus che in quanto agente digitale non è altro che un file eseguibile, ovvero un programma software come un altro.
Ed ecco qui un punto fondamentale: i backup. Per poter ripristinare il sistema ad uno stato il più possibile vicino a quello catturato dagli hacker è necessario disporre di backup sicuri e recenti. In assenza di una politica di backup aggressiva, un attacco hacker può davvero portare alla perdita irreversibile di dati.
Un’ architettura predisposta rende possibile la difesa
Vuoi evitare i pericoli?
La sicurezza informatica è un problema aziendale
Negli ultimi giorni, diversi titoli legati al mondo della sicurezza informatica sono in rialzo a Wall Street. Lisa Donnan, esperta di sicurezza informatica, ha affermato che l’attacco ransomware alla Colonial Pipeline è la dimostrazione pratica di come IT e tecnologia operativa (OT) si intersechino. “L’attacco sembra essere un attacco IT, ma ha chiuso la pipeline che è un sistema OT. I sistemi OT sono molto più massicci dei sistemi IT e rappresentano un ambiente ideale per chi vuole interrompere i sistemi infrastrutturali critici del nostro paese”, ha detto Donnan. “È necessario comprendere come la sicurezza informatica sia un problema aziendale, non un problema IT” .
