Il ransomware rappresenta uno dei principali rischi per la business continuity delle aziende. E i più recenti report sulla cybersecurity approntati dai vendor, come quelli delle associazioni che collaborano per la sicurezza informatica, concordano nell’evidenziare la crescente importanza di questa minaccia, l’evoluzione della sua pericolosità nel tempo, le crescenti complessità in fase di rimozione. Certo non è possibile evitare di essere presi di mira ed attaccati, ma è possibile almeno seguire una serie di best practice per limitare i danni e fondamentale è rimanere aggiornati sul tema.
Aiuta a farlo Veeam che evidenzia la pericolosità delle ondate di ransomware che caratterizzano l’anno in corso, soprattutto per le aziende che non avranno saputo prepararsi. Anche perché il contesto, proprio in relazione alla frequenza e pericolosità degli attacchi, non è favorevole. Per esempio, come spiega Edwin Weijdema, global technologist di Veeam, “alcune compagnie assicurative hanno annunciato di voler chiudere la stipula di polizze di rimborso per le aziende vittime di estorsioni ransomware, in alcuni altri casi sono intervenuti direttamente i governi a vietare agli assicuratori di coprire il costo del pagamento dei riscatti (per esempio è così in Olanda)”, mentre si punta a rafforzare le polizze in modo da essere certi che i clienti soddisfino determinate condizioni – formazione ed investimenti in cybersicurezza – prima di chiudere i contratti.
La formazione… Appunto, ma non solo. Oltre il 60% delle violazioni dei dati e degli incidenti di cybersecurity sembra siano causati da minacce interne, dai dipendenti. Per motivi però anche del tutto differenti: a volte infatti, non sono in grado di riconoscere e rispettare le regole minime di sicurezza digitale, ma in altri casi, dipendenti scontenti sono spinti ad aprire le porte agli attaccanti anche solo per insoddisfazione nei confronti dell’azienda.
In entrambi i casi la limitazione degli accessi ai file solo a chi ne ha davvero bisogno e l’autenticazione multifattoriale possono giocare un ruolo importante almeno nel minimizzare i danni arrecati da un singolo utente “distratto” o “scontento” che sia.
La formazione e la sensibilizzazione dei dipendenti possono poi contribuire a generare una cultura della sicurezza digitale in tutta la struttura. “Una sorta di “firewall umano” combinato con la giusta tecnologia per aiutare le aziende a prepararsi per gli attacchi ransomware. Formazione e istruzione restano quindi vitali anche per assicurarsi che i dipendenti siano in grado di identificare e segnalare potenziali attacchi e possano collaborare con i team IT in modo proattivo.
Veeam evidenzia infatti i rischi legati agli attacchi Advanced Persistent Threat (Apt) in grado di “logorare” l’azienda senza che questa sia in grado di accorgersene. In questi casi, utenti non autorizzati riescono ad accedere a sistemi e reti e possono restare “silenti” fino al momento più favorevole così da massimizzare le possibilità di guadagno, compromettendo un’azienda quando è più vulnerabile o quando la posta in gioco è più alta. Per esempio in occasione di scadenze importanti, quando la disponibilità dei dati è effettivamente vitale in tempi brevi.
Per quanto riguarda invece l’evoluzione dei ransomware, Weijdema pone l’accento sul meccanismo “oltre” la doppia estorsione (richiesta di riscatto per decriptare i dati, ma anche per evitarne la pubblicazione) e cioè la tripla estorsione. In questo caso si parla di un’estensione dell’attacco a clienti e partner della vittima. La tripla estorsione quindi coinvolge un terzo elemento, indirizzando l’attacco oltre l’obiettivo iniziale e ricorrendo a più livelli di estorsione per danneggiare anche i clienti e i partner della vittima iniziale.
Se fosse ancora necessario è opportuno ricordare che la protezione del dato e dei sistemi, “prima” dell’incombere della minaccia, è prioritaria. “Le aziende – dettaglia Weijdma – devono consultarsi con i loro partner tecnologici per implementare soluzioni di protezione dei dati moderne in grado di rilevare, limitare e rimediare agli attacchi ransomware. I dati devono essere sottoposti a backup e recuperabili su sistemi fisici, virtuali, cloud, SaaS e Kubernetes in modo che, in caso di un attacco ransomware, le aziende possano rimediare e recuperare rapidamente piuttosto che essere costrette a pagare il riscatto”.
Un ultimo punto, ma non per questo meno importante. Le aziende sotto attacco ransomware di fatto si trovano di fronte a sole tre alternative: pagare (ma senza la sicurezza di risolvere il problema ed esponendosi ad ulteriori estorsioni); limitare i danni grazie ai sistemi software/hardware di protezione adottati; ricorrere a sistemi di backup efficaci in grado, anche a fronte di un attacco grave, di proseguire comunque l’attività senza importanti criticità. Pagare non dovrebbe essere una via percorribile, ma oltre che “impedire alle vittime di farlo” i governi dovrebbero concordare un quadro giuridico internazionale comune. Spiega Weijdma: “Molti governi stanno discutendo se rendere illegali i pagamenti dei riscatti, in modo che le aziende resistano alla tentazione di pagare – tagliando così la fonte di reddito dei cybercriminali. Ma le criptovalute come Bitcoin, comunemente viste come il sogno degli hacker, hanno in realtà anche il potenziale per aiutare le forze dell’ordine a consegnare i criminali alla giustizia. I libri mastri digitali come blockchain rendono più facile “seguire i soldi”, dato che le registrazioni non possono essere alterate o cancellate. Pertanto, una volta che i criminali trasformano le loro criptovalute in “soldi veri”, possono essere teoricamente smascherati”.
© RIPRODUZIONE RISERVATA