Cybercrime e PA: non bastano le tecnologie, serve una cultura della sicurezza

È ormai evidente a tutti quanto in quest’ultimo anno, a fronte di un esponenziale utilizzo dello smart working, siano aumentati vertiginosamente gli attacchi hacker sia verso soggetti privati che pubblici. Nel Cybercrime è prassi consolidata tentare la “doppia estorsione”: da un lato la richiesta “pagami il riscatto in cripto valuta, se vuoi ritornare in possesso dei tuoi dati”, dall’altro “se non mi paghi, i dati personali sottratti verranno pubblicati così avrai qualche guaio con il Garante della Privacy”.

I nuovi “modelli” di business del Cybercrime

A complicare ulteriormente la situazione è emersa anche l’attività di “Cybercrime Wholesale”, ovvero la vendita all’ingrosso in modalità ransomware-as-a-service (RaaS) da parte degli sviluppatori a bande interessate, a fronte del pagamento di una percentuale dei guadagni illegalmente estorti alle vittime di turno. In pratica i criminali informatici utilizzano un modello di business RaaS che coinvolge uno sviluppatore (il quale crea il malware ransomware e imposta l’infrastruttura) e soggetti affiliati reclutati per violare e crittografare le vittime. I proventi vengono divisi tra le due parti, con gli affiliati che prendono il taglio più grande (in genere 70-80%). Ciò ha causato la moltiplicazione delle “cyber criminal crews”, attive nell’accaparrarsi il mercato del cyber crimine sia in competizione che in accordo. Al fine di acquisire consistenti fette di mercato, esiste una sorta di graduatoria dei cyber criminali, secondo la logica per cui all’aumentare delle “vittime” e conseguentemente della fama, aumentano anche i guadagni diretti e indiretti.

Come si può immaginare in un contesto criminale di iperattivismo dove conta solo individuare e colpire potenziali vittime (non importa chi, l’importante è colpire), risulta molto difficile attuare delle politiche attive di difesa che possano permettere di prevenire e proteggere totalmente dai possibili rischi.

PA e Cybercrime: manca una cultura della sicurezza

Nell’attività di “pesca a strascico” effettuata per individuare vulnerabilità, e conseguenti vittime da parte delle bande criminali attive, spesso vengono catturate Pubbliche Amministrazioni che, per la loro natura di erogatori di servizi, sono tra i soggetti che espongono il maggior numero di istanze online. Infatti, a partire dal 2001 ed in particolare con il primo piano di E-GOV della PA sono aumentati i servizi online esposti dagli Enti e conseguentemente i pericoli. E qui inizia il vero problema, ovvero la sottovalutazione del rischio, ma soprattutto la mancanza di una cultura della sicurezza informatica.

Mentre si è spinto molto sulla cultura della digitalizzazione, della dematerializzazione, della gestione documentale, fino ad arrivare oggi alla cultura del Cloud, poco è stato fatto per accrescere il livello di consapevolezza sui rischi che ciò avrebbe comportato. La sicurezza informatica è sempre stata affrontata con un approccio “tecnico”, con l’introduzione di apparati e software di sicurezza e non tramite azioni culturali finalizzate, appunto, ad insegnare i rischi e conseguenti azioni per prevenirli.

Facendo un paragone, è stata data la patente di guida senza insegnare il rispetto dei limiti di velocità e degli stop, affidandosi solo alla tecnologia a bordo della vettura.

La tecnologia sicuramente aiuta ed è necessaria per prevenire possibili rischi ma da sola non basta. Assieme all’evoluzione degli attuali strumenti EDR, NDR, AV, autenticazione a più fattori, ecc. è assolutamente indispensabile insegnare al personale come gestire le email, le password, gli accessi allo smart working, ovvero tutti quei canali che possono essere utilizzati dai criminali per introdursi nei sistemi e sferrare attacchi.

Dai piccoli ai grandi Enti, nessuno è al sicuro dal Cybercrime

Potenziare la cultura del rischio legato al Cybercrime è a mio avviso la principale attività che deve essere fatta per prevenire incidenti informatici e deve assolutamente essere diffusa a tutti i livelli amministrativi, dall’Ente più grande a quello più piccolo. Esiste infatti una sottovalutazione degli impatti che un incidente informatico può causare anche ai piccoli Enti e soprattutto ai piccoli Comuni.

Va innanzitutto evidenziato che tutti i Comuni hanno le stesse funzioni “primarie” da erogare ai propri cittadini, ovvero ai propri clienti e non possono permettersi di fermare l’attività per troppo tempo. Subire un attacco hacker, se non strutturati, comporta per l’Ente il ritornare drammaticamente e violentemente all’età della “carta, penna e calamaio” per diversi giorni, con relativi disagi per i servizi erogati ai propri cittadini. Senza poi contare le perdite economiche che tale evento può causare.

Altro aspetto che viene sottovalutato è l’impatto che un incidente informatico può causare alle postazioni di lavoro e sulla rete locale. Le attuali politiche di sicurezza e di continuità di servizio tendono ad incentrarsi soprattutto sulla continuità di erogazione degli applicativi e mantenimento in sicurezza dei dati (Disaster Recovery , Business Continuity, Backup, ecc.), attività assolutamente indispensabili ma che da sole non servono a garantire la continuità dell’operatività degli Enti senza garantire il corretto funzionamento anche delle postazioni di lavoro e della rete dati (declinata nelle varie tipologie , WAN, MAN, LAN, INTERNET, VPN , ecc.).

Anzi con il passaggio al “paradigma cloud” diventerà assolutamente indispensabile per ogni Struttura Operativa avere il pieno controllo della sicurezza di PdL e Rete e di tutte le componenti locali necessarie alle funzionalità tecniche (Domain Controller, DNS, DHCP, AD, FILE SYSTEM). Immaginate infatti cosa potrebbe succedere (ed è successo) se un ransom dovesse colpire tutte le postazioni di lavoro di un ente medio grande (con un range dalle 500 alle 1500 PdL) rendendole tutte non operative contemporaneamente. Decisamente un incubo ad occhi aperti. Occorrerebbero risorse in termini di tempo, soldi e personale per intervenire su ogni singola postazione per rispristinarla dovendola necessariamente riformattare reinstallando Sistema Operativo e programmi; settimane se non mesi di inoperatività, durante i quali l’Ente risulterebbe completamente bloccato nell’erogazione dei propri servizi con conseguente danno enorme per la collettività.

Come rispondere a un attacco con ransomware

Per capire a grandi linee l’impatto che un attacco con ransom può causare ad un Ente, elenco di seguito le macro-azioni necessarie al ripristino dell’operatività (ovviamente la sequenza delle azioni da attuare ed i tempi di ripristino dipendono sia dalla grandezza dell’Ente sia in termini di complessità tecnica e di numero di postazioni oltre che dalle forze in campo):

• la prima azione da attuare in assoluto è quella di spegnere tutti i sistemi (SERVER, PdL, STORAGE, SAN, NAS, ecc) anche se apparentemente integri; una volta colpiti da un ransom nulla va considerato integro in quanto possono esserci processi dormienti piuttosto che apparati utilizzati come cavalli di troia lasciati appositamente indenni per garantire successivi accessi;
• in contemporanea è necessario bloccare connettività INTERNET per inibire qualsiasi furto di dati e attività remote ancora in corso;
• attivare segnalazione alle Forze dell’Ordine preposte ed in caso di dati rubati al Garante della Privacy;
• attivare una “bolla” isolata dove iniziare ad accendere dispositivi con lo scopo di capire il tipo di attacco subito e conseguente azioni di remediation necessarie;
• attività di riaccensione graduale dei dispositivi più critici (e potenzialmente utilizzati per lanciare attacco) partendo dai server utilizzati per Domain Controller , server di posta (se in house) , server applicativi , backup, ecc. con conseguente analisi dei danni;
• attivazione dei siti di DR (sempre che non compromessi) e/o ripristino applicativi e dati da backup (sempre che non compromessi);
• revisione completa dell’infrastruttura di sicurezza , delle policy di sicurezza , delle password utenti al fine di evitare “ritorni di fiamma” ovvero successive incursioni;
• verifica totale di tutte le PdL con appositi tool di verifica EDR e successiva riformattazione completa con ripristino dei sistemi;
• revisione completa dell’infrastruttura di rete (modifica indirizzamenti server, scoop DHCP, se possibile cambio IP pubblici e DNS) finalizzata a creare una rete separata pulita;
• analisi dei dati ed applicativi compromessi e non recuperabili al fine di comprendere la reale entità del danno subito;
• ripristino graduale e selettivo dei sistemi nella nuova rete pulita creata.

Come si può immaginare per attuare una azione di “difesa” è necessario innanzitutto capire cosa è successo e soprattutto agire velocemente; ma non è affatto semplice avere lucidità immediata a fronte di un avvenimento violento come un attacco hacker strutturato può essere.

Altro esempio, in molti Enti viene assolutamente trascurato l’aspetto della sicurezza della rete Lan/ WAN/MAN, lasciando apparati incustoditi, non gestiti, con credenziali di fabbrica, ovvero esponendoli al rischio di violazione con conseguenti ricadute operative. La non gestione degli armadi di rete, inoltre, aumenta anche il rischio di manomissioni e danneggiamenti con conseguenti ripercussioni sul servizio.

Concludo questo mio breve articolo che non ha lo scopo di “terrorizzare” rispetto al Cybercrime, ma vuole fornire una consapevolezza assoluta: la mitigazione del rischio di Cyber Security può essere realizzata solo a fronte di un percorso parallelo tra gli aspetti Tecnici e di Cultura di Sicurezza, che vada ad interessare tutti gli addetti coinvolti nel processo produttivo ed operativo, per metterli nelle condizioni di individuare ed affrontare possibili rischi e pericoli.

Alla stregua del vivere civile anche nella Sicurezza Informatica la sola tecnologia non basta, ma occorre insegnare alle persone come comportarsi.