Vincenzo Costantino, EMEA STS Services Director di Commvault, commenta per noi i recenti attacchi WannaCry, con un occhio di riguardo alla compliance delle aziende.
– Come ha agito il malware WannaCry? Quali sono state le possibili cause scatenanti?
Più che sulle cause specifiche di WannaCry, mi concentrerei sul motivo per cui questi attacchi hanno successo. Nello specifico, non sempre gli utenti – in questo caso non fa differenza che si tratti di individui singoli o organizzazioni – hanno una copia di backup aggiornata di tutti i propri sistemi. Se così fosse, tali attacchi sarebbero quasi completamente indolori, perché le realtà colpite potrebbero in pochi passaggi recuperare l’ultima versione integra in loro possesso dei dati.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
L’attacco ha sfruttato alcune vulnerabilità critiche di Windows che la stessa Microsoft aveva già evidenziato qualche mese fa. Il problema è stato che molti utenti non si sono preoccupati di aggiornare i loro sistemi, finendo così vittime dell’attacco. La grande portata di questo ha poi fatto notizia, perché il numero delle realtà coinvolte è stato particolarmente significativo, ma con due semplici accorgimenti come l’aggiornamento costante dei sistemi e l’adozione di una soluzione efficace di backup, l’attacco sarebbe risultato del tutto innocuo:
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Escludendo il pagamento del riscatto, vedo come unica via per poter recuperare i propri dati quella di accedere alla copia di backup e fare un ripristino veloce subito dopo aver bonificato l’ambiente.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
Le attività che possono essere intraprese si dividono in due macrotipologie:
Tecniche, ovvero dotarsi di processi e tecnologie per evitare di avere nuovi problemi nel futuro. Questo per ridurre la probabilità di infezioni, anche se non si ha la certezza matematica di aver eliminato tutte le vulnerabilità, gestito i comportamenti umani ed adottato tutte le tecnologie esistenti per evitare che ci sia una nuova infezione.
Introdurre una precisa e sofisticata strategia e tecnologia di protezione dei dati (soprattutto quelli critici) che permetta di ripristinare velocemente i dati a seguito di un’eventuale nuova infezione evitando qualunque impatto sul business.
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
In ottica GDPR e compliance in genere, occorre avere processi e tecnologie che permettano di classificare i dati in modo automatico in base al valore intrinseco che hanno per il business. Quindi, serve adottare soluzioni di data management che permettano di proteggere questi dati mantenendoli in più copie salvate in diversi siti. Infine, occorre avere soluzioni che permettano in modo veloce ed automatico di ripristinare e/o esportare i dati critici/personali. In tale ambito diventa importantissimo avere soluzioni di indicizzazione che permettano di classificare i dati in modo automatico anche in base al loro contenuto e forniscano strumenti efficaci di e-discovery. Infine, un aspetto troppe volte sottovalutato: quando si parla di dati aziendali occorre considerarli tutti, anche quelli presenti sui PC/desktop/laptop e/o sul cloud.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
Da quanto mi capita di vedere ogni giorno, in genere in Italia si pensa spesso a proteggere i dati aziendali che risiedono su sistemi storage centralizzati trascurando quasi completamente tutti i dati che sono presenti sui dispositivi mobili e postazioni di lavoro e tutte le soluzioni cloud in genere, commettendo così l’errore di considerare i dati presenti nel cloud, o come non critici a priori senza una adeguata analisi e classificazione, o ancora peggio come protetti dal cloud provider.
Occorre quindi formare i dipendenti nell’utilizzo corretto di soluzioni cloud di collaborazione e condivisione, ed avere strumenti che permettano di avere sempre il controllo, la gestione e la protezione tutti i dati, compresi quelli in mobilità. Occorre fornire ai propri dipendenti strumenti ufficiali, protetti e gestiti di collaborazione e condivisione anche su mobile/cloud, inibendo e scoraggiando l’uso di qualunque altra soluzione esterna. Solo in questo modo il CIO può sapere dove sono i davvero i suoi dati e come sono protetti.