Axitea: la complessità dei ransomware, le sfide per le aziende

I ransomware sono considerati come una delle cyberminacce più insidiose per le aziende.

ransomware sicurezza nelle aziende videosorveglianza

Prevenzione e consapevolezza sono le basi per una difesa efficace. Marco Bavazzano, AD di Axitea mette in guardia le aziende sulle sfide lanciate dai ransomware.

Da tempo ormai si parla del ransomware come di una delle minacce più insidiose provenienti dal mondo cyber. Le cronache recenti non hanno fatto che portare il tema ancor più in primo piano, con il recente attacco a Ferrovie dello Stato. Gli hacker si sono introdotti nei sistemi con un malware cryptolocker attraverso uno degli account degli amministratori del sistema o di chi gestisce i servizi di Ferrovie, paralizzando le attività per diverse ore.

I ransomware crescono

Si tratta solo dell’ennesimo evento che evidenzia l’innalzamento del profilo di aggressione informatica operata da gruppi di hacking a livello internazionale e nazionale. Strategie mirate, attacchi targettizzati o con modalità più massive, automatizzate, cross industry, per aree geografiche, ma non per questo meno pericolose. L’Italia è sempre più spesso nel centro del mirino. Secondo un report di Trend Micro,  nel 2021 il nostro Paese è stato il quarto Paese più colpito dal malware al mondo. Il primo in Europa.

L’Italia sempre più nel mirino

In generale i criminali informatici stanno utilizzando come arma i dati sensibili per aumentare la pressione sulle vittime del ransomware. Inoltre, stanno utilizzando la minaccia di una divulgazione dell’avvenuto attacco facendo leva anche sull’obbligatorietà introdotta dal Garante per la privacy (GDPR) di notifica entro le 72 ore. A ciò si aggiunge evidentemente anche il danno di immagine e di reputazione. Il periodo di emergenza Covid-19 aveva già evidenziato l’intensificarsi di frodi informatiche, di sottrazione di identità.

La minaccia ransomware è cresciuta negli anni

Ma è la piaga dei ransomware che ha visto un inasprimento negli ultimi anni. Con l’attività dei criminali informatici che cercano di sfruttare la situazione in cui si trovano le aziende. Queste ultime hanno dovuto, talvolta senza un’infrastruttura preparata allo scopo, mettere in atto la “nuova normalità” del lavoro a distanza. In passato ad essere prese di mira erano soprattutto le aziende più grandi e visibili. Oppure quelle che per loro natura trattano dati sensibili e di maggior valore. Questo ormai non vale più. Ogni organizzazione può cadere vittima di un attacco perché i dati che tratta sono fondamentali per il proprio business. E i criminali lo sanno perfettamente.

I ransomware crescono, così come sfide e impegno per le aziende

Spesso la consapevolezza della potenzialità dei danni la si acquisisce in un momento successivo, a fatti avvenuti:

  • Quando non si riesce più ad accedere ai propri dati o applicazioni
  • Nel momento in cui i processi produttivi e distributivi si interrompono e si è già nelle mani del criminale che chiede un riscatto
  • Improvvisamente decadono le certezze relative anche al backup dei dati (di cui è comunque assolutamente fondamentale disporre sempre). Molto spesso oggetto dell’attività inibitoria del ransomware oppure della “panacea” universale del cloud.

Trovarsi in una situazione complessa

In situazioni sempre più numerose ambienti informatici ibridi, con server on premise e nel cloud – dove però il servizio provvisionato ha spesso registrato solamente funzionalità di servizio e di contratto relative all’uso dell’infrastruttura (Infrastructure as a Services) – hanno subìto la propagazione del ransomware. Non aiuta, inoltre, la mancanza di separazione tra le attività IT e quelle che devono essere focalizzate sulla gestione cyber. Come spesso avviene nelle aziende di più piccole dimensioni dove invece è necessaria una specializzazione verticale senza compromessi.

Reazione e trasparenza

Efficacia di reazione e trasparenza di analisi possono rappresentare un ulteriore limite. Situazione però superabile laddove vi è una proattiva collaborazione tra IT e cyber. Essa può risultare vincente congiuntamente alla terzietà e all’investimento di tempo, competenza e focalizzazione di ruolo che solo un Security Provider può assicurare.

Per le aziende sfide e impegno crescono come i ransomware

Una sola cura. La soluzione risiede nell’attività preventiva per limitare il rischio dell’attacco attraverso vulnerability assessment e azioni combinate per l’innalzamento della consapevolezza da parte di tutti gli utenti. Oltre alla disponibilità di tecnologie innovative di Threat Intelligence e di “deception” operate dagli specialisti di Security Operation Center con modalità di monitoraggio continuativo e proattivo, la disponibilità di competenze specialistiche di “pronto intervento” post evento per una rapida ed efficace mitigazione del danno e una successiva normalizzazione.