Cresce anche negli Usa la sensibilità sul tema della protezione dei dati e della lotta al cybercrime a livello governativo, tanto che l’amministrazione Byden già a giugno ha approntato una serie di provvedimenti che nello spirito – ed in alcuni casi anche nella sostanza – sembra inseguire ed ispirarsi a quanto di buono ha già fatto l’Europa, che su questi temi ora vanta non pochi modelli di riferimento.
Il presidente Usa ha firmato stanziamenti per 1,5 mila miliardi di dollari per rafforzare la cybersicurezza e l’IT all’interno delle agenzie governative, ma il pacchetto completo di provvedimenti (non solo di spesa) mira a mitigare i fattori di successo dei cyberattacchi più dannosi, tra cui quelli ransomware anche attraverso una serie di indicazioni riguardo la condivisione dei dati e le notifiche di violazione informatica.
Fa da guida nell’analisi Rick Vanover, senior director of Produc Strategy di Veeam che spiega infatti come “incluso nel disegno di legge vi è il Cyber Incident Reporting for Critical Infrastructure Act, che richiede ai proprietari e agli operatori di infrastrutture critiche di segnalare alcuni incidenti informatici alla Cybersecurity and Infrastructure Security Agency (Cisa) e qualsiasi pagamento di ransomware entro 24 ore”.
Se pure si attendono ancora le linee attuative e le specifiche di applicazione di questo provvedimento è comunque già evidente come l’intento sia quello di “condividere” le informazioni relative ad eventuali attacchi informatici tra cui “dove le entità si sono rivelate vulnerabili, ciò che gli attaccanti sono stati in grado di accedere, come la minaccia è stata mitigata e altro ancora”.
L’obiettivo è di consentire l’attivazione dell’intelligence sulle minacce e prevenire i ransomware, ma evidenzia, per le aziende, il bisogno di attivarsi nell’adottare strumenti di gestione e recupero dei dati negli ambienti IT, sia per salvaguardare le informazioni che per preservarle in caso di attacco. Anche perché in un momento in cui gli ambienti IT stanno incrementando la loro complessità, per l’adozione di architetture multicloud e mix di cloud ibrido e tecnologie tradizionali on-prem, le soluzioni di gestione e protezione dei dati diventano a loro volta più importanti.
“Ora – dettaglia Vanover – ci si aspetta che i requisiti di segnalazione del Cyber Incident Reporting for Critical Infrastructure Act entrino pienamente in vigore una volta che la Cisa determina come definire le entità coperte dalla legge, ma è probabile che le politiche precedenti limitino l’applicazione alle industrie di infrastrutture critiche”.
A loro verrebbe richiesto in particolare di segnalare la scoperta di un incidente informatico non più di 72 ore dopo che uno “crede ragionevolmente” di essere stato attaccato, ma anche qualsiasi pagamento di ransomware effettuato entro 24 ore. Servirebbe inoltre conservare tutte le informazioni chiave relative al cyberattacco perché, con le nuove regole, qualsiasi entità, invece, dovrebbe fornire alla Cisa informazioni sui sistemi IT, le reti, i dispositivi colpiti, “le vulnerabilità sfruttate e le difese di sicurezza che erano in atto, così come le tattiche, le tecniche e le procedure pertinenti a tale incidente”, ed ovviamente quali informazioni siano finite nelle mani di individui non autorizzati a detenerle.
I nuovi indirizzi evidenziano ancora una volta l’importanza della condivisione delle informazioni e di quando accade per una migliore intelligenza sull’attività del cybercrime, ma allo stesso tempo rimane vitale per le aziende riuscire a proteggere il dato, e soprattutto poterlo ripristinare in caso di attacchi per preservare la business continuity.
Non una sfida di poco conto, dati Veeam, infatti, rivelano come l’89% dei responsabili IT, su un campione di oltre 3mila aziende a livello globale, riferiscano del divario tra i dati che “potrebbero permettersi di perdere in caso di interruzione delle attività” e l’effettiva frequenza di esecuzione dei backup.
Sono i numeri dell’ultimo Veeam Data Protection Trends Report che svela inoltre come in quasi un caso su cinque gli intervistati ammettono semplicemente che i dati non sono sottoposti a backup, praticamente una sfida alla sorte considerato come, con il crescere degli attacchi ransomware, non solo i backup sono indispensabili, ma è indispensabile anche essere effettivamente in grado di recuperare e ripristinare le informazioni. E invece il 64% degli intervistati dichiara di essere in grado di recuperare meno dell’80% dei propri dati dopo un attacco informatico, e di non riuscire del tutto a farlo per un terzo dei dati.
In caso di attacco ransomware, si dovrebbe sapere, la condizione ideale è quella di disporre di una copia completa dei dati, di fatto realtime ma isolata dai sistemi attacchi pronta da essere messa in linea. Non basta infatti fare affidamento sui backup esistenti o pensare di poter “riscattare” i dati presi in ostaggio.
Prosegue Vanover: “Bene quindi il Cyber Incident Reporting for Critical Infrastructure Act che fornirà ai leader tecnologici informazioni preziose su dove gli aggressori stanno colpendo e su cosa i loro obiettivi possono cercare, ma le entità avranno ancora bisogno di avere salvaguardie in atto per garantire che i loro dati siano protetti e recuperabili in caso di una violazione informatica“.
E tra le salvaguardie più conservative è sempre attuale la regola del 3-2-1-1-0. Si deve essere certi di disporre di tre copie dei dati importanti, completamente allineate, su almeno due diversi tipi di supporti, con almeno una di queste copie disponibile in un’altra sede, rispetto a quella operativa standard. Il backup dei dati fuori sede deve essere air-gapped, offline o immutabile, con la certezza di zero errori a seguito di test automatizzati di backup e verifica della recuperabilità. Non c’è delusione, e danno, peggiore di quando si scopre che la copia di backup puntuale non è di fatto utilizzabile o non si è in grado di ripristinarla.
© RIPRODUZIONE RISERVATA