Tempo di lettura stimato: 5'
Gli attacchi informatici sono in aumento. E visto che, quando prendi un CryptoLocker, è già tardi, è bene sapere che esistono procedure e misure organizzative che ci possono aiutare. Quali? Le misure consigliate da esperti veri. Perché tanti si riempiono la bocca di cybersecurity, sicurezza informatica, gestione dell'incident… ma poi, all’atto pratico, serve l’esperienza per gestire queste cose.
E per me è fondamentale confrontarsi sempre con persone che portino la propria esperienza e possano dare indicazioni operative e intelligenti – come quelle che abbiamo già visto a proposito di phishing, sicurezza delle App e Social Engineering -, senza fare una lectio magistralis sull'importanza della sicurezza informatica e spaccare il bit in quattro…
Quindi ho deciso di intervistare in un LIVE di Raise Academy chi veramente sa cosa sia la cybersicurezza e come si contrastano gli attacchi hacker: Marco Ramilli, CEO e co-fondatore di Yoroi, azienda specializzata in sicurezza informatica.
Attacchi informatici: c’è un prima, un durante e un dopo
Andrea Chiozzi: Parliamo di cybersicurezza per capire, con degli esempi pratici, come un’azienda specializzata in questo campo gestisce situazioni più o meno complicate, ma che impattano, da una parte, sul trattamento dati e dall'altra sulla sicurezza informatica in generale. Perché è vero che il bit in quattro prima o poi va spaccato, però partiamo anche dal capire quando, come, dove muoversi…
Quinti ti chiedo: come devo affrontare mentalmente e operativamente situazioni di stress? E come poi, ex post - cioè quando ormai abbiamo preso il virus –, come dobbiamo gestire le cose? E quando possiamo pian pianino, nel tempo, migliorare ed essere meno stressati possibile dal rischio di subire un attacco?
Marco Ramilli: Se consideriamo un attacco, possiamo distinguere tre fasi principali: tutto ciò che avviene prima di un attacco, tutto ciò che avviene durante l'attacco e tutto ciò che viene dopo l'attacco. In Yoroi, per ognuna di queste fasi abbiamo una risposta. Nella prima fase abbiamo una risposta, per esempio, con consulenze di Penetration Test, di Vulnerability Assessment o comunque di assessment generale.
Queste consulenze prendono il nome di Offensive Security, ovvero provare a offendere l'organizzazione che ce lo chiede, provare ad attaccare quell'organizzazione per trarne conclusioni, mostrare all'organizzazione quali sono i punti di debolezza e andarli a mitigare.
Durante un attacco, interveniamo attraverso i servizi di difesa, quindi i servizi di Security Operation Center avanzati (SOC avanzati), che nel nostro campo prendono il nome di Security Defence Center, perché parliamo di difesa e non più di protezione.
Infine, tutto ciò che avviene post incidente. Ovvero parliamo di organizzazioni che non si difendono da noi ma che hanno avuto degli incidenti e chiedono a noi la gestione di quell'incidente. E quindi interveniamo per definire cosa fare nel momento dell'incidente e come ripristinare i servizi.
Chi c’è dietro agli attacchi informatici, oggi?
Andrea Chiozzi: Io ho una percezione che molto probabilmente è sbagliata, ma non è una percezione solo mia. Ce l’hanno in tanti. Mi sembra che la quantità degli attacchi informatici subiti dalle aziende stia non solo aumentando di numero, ma stia aumentando anche di qualità. O meglio, mi pare che sia più semplice - anche su aziende che hanno provato a fare un assesment, a metter su un piano di difesa - riuscire a bucare e bloccare le informazioni e quant'altro. È una mia percezione o è solo perché in giro per il mondo ci sono più ragazzini skillati e quindi era un’evoluzione naturale delle cose?
Marco Ramilli: È assolutamente come dici. Sfortunatamente non si tratta più di ragazzini. Si è vista una grandissima conversione della criminalità. Infatti, rispetto al passato, oggi, molte azioni criminali sono passate sul web e quindi sul digitale.
Da una parte, ci sono strumenti che permettono di realizzare degli attacchi informatici con successo e che hanno un costo molto basso. Anzi, ci sono alcuni affiliati che hanno zero costi: condividono solo i success fee. Quindi, nel momento in cui uno paga il riscatto, lo si condivide con il fornitore del malware o del servizio. Parliamo di strumenti as-a-services che danno la possibilità a un bacino molto più ampio di persone di attaccare e di aumentare anche il numero degli attacchi. Una volta, un attacco pro-capite era molto costoso e quindi se ne facevano pochi e selezionati. Oggi invece gli attacchi sono più semplici da fare, ma non perché le barriere di sicurezza siano più basse o più lasche, ma perché ci sono degli strumenti molto potenti, in mano a delle persone che non necessariamente sono tecniche.
Dall'altra parte, un ulteriore elemento fondamentale, è l'organizzazione. Inizialmente gli attacchi arrivavano da singoli gruppi – che erano piccoli – o da singole persone (chiamate attiviste e che all'epoca venivano confuse con gli Anonymous). Ma oggi questi sono irrisori rispetto ai grandi criminali. Ora ci sono vere e proprie organizzazioni criminali, che sono strutturate come aziende di centinaia di dipendenti.
Oggi gli hacker hanno gli sviluppatori, il reparto HR e l’ufficio stampa…
Marco Ramilli: Le organizzazioni criminali hanno al loro interno degli sviluppatori software, che sono quelli che sviluppano il malware. Hanno un ufficio stampa. Quindi comunicano e si fanno intervistare dai giornalisti per raccontare qual è il loro punto di vista e perché compiono certe attività (il più delle volte per depistare le indagini). Al loro interno hanno dei negoziatori professionisti.
Nel momento in cui devi iniziare a negoziare per un riscatto, infatti, dall'altra parte non hai una persona che prova a fare del best effort per massimizzare i profitti dell'attaccante, ma hai una persona educata e formata per fare questo tipo di intervento.
Queste organizzazioni hanno anche un ufficio di hiring molto sofisticato per assumere professionisti o comunque persone molto motivate.
Quindi stiamo parlando di vere e proprie organizzazioni criminali con un mercato che arriva a 2 miliardi di dollari, secondo un recente report delle agenzie statunitensi che monitorano questi fenomeni… E questi 2 miliardi di dollari sono testati su pochi gruppi criminali. Parliamo di qualche decina.
Sono pochi gruppi, grandi e molto ricchi dato che, tipicamente - anche se è illegale pagare un riscatto - molte organizzazioni lo pagano, perché non possono fare diversamente.
Occhio che pagare il riscatto è illegale…
Andrea Chiozzi: Vorrei sottolineare quello che hai appena detto. Sembra una banalità, ma non lo è: ricordiamoci che rimane illegale pagare un riscatto!
Marco Ramilli: È illegale sia per l’organizzazione che subisce il riscatto, sia per eventuali consulenti.
Andrea Chiozzi: Sì, occhio che non vale dire al proprio consulente “Ho ricevuto una richiesta di riscatto di 20.000 euro che devo pagare in bit coin. Facciamo così: ti compro una consulenza e tu paghi il riscatto la posto mio…”
E illegale vuol dire che c’è il penale, ricordiamocelo…
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.