Ransomware, la cara omertà
Non ci sono dati né numeri precisi: gli attacchi aumentano, ma le denunce sono ancora un’eccezione. Nel 2018, secondo un rapporto del gruppo assicurativo Beazley, le Piccole e medie imprese (Pmi) sono diventate il bersaglio prediletto dai cyber-criminali. La minaccia più temuta oggi si chiama ransomware: software malevoli, capaci di sfruttare le più sofisticate tecniche crittografiche per impedire l’accesso a file, cartelle e dispositivi. Fino a bloccare l’intera produzione di un’azienda.
Alle vittime degli attacchi viene richiesto il pagamento di un riscatto (ransom) per rientrare in possesso dei propri dati, ma si stima che il costo dell’interruzione di servizio sia in media 23 volte superiore alla cifra richiesta. Ecco perché, sempre più spesso, le aziende cedono al ricatto e pagano.
Nessuna organizzazione è immune da rischi, qualunque sia il settore o la dimensione del suo business. Nel 2018, però, il 71% degli attacchi ransomware ha colpito le piccole attività, considerate più vulnerabili perché meno inclini a spendere in sicurezza informatica. I maggiori vettori di attacco restano l’assenza di password sicure, adottate in sostituzione di quelle di default, e l’email phishing, che spesso sfrutta la cosiddetta “sextortion” per indurre la vittima a scaricare il malware.
Gli esperti parlano poi di “effetto farfalla”: gli attacchi hanno l’obiettivo di destabilizzare l’organizzazione che prendono di mira, con un bombardamento costante che può estendersi anche a intere città e centri abitati.
L’Italia è tra i Paesi più nel mirino
Secondo il rapporto Catturati nella rete: districare la matassa di minacce vecchie e nuove, pubblicato a febbraio da Trend Micro, nel 2018 il nostro Paese è stato quello più colpito da ransomware in tutta Europa, con il 12,92% del totale di attacchi registrati. È al decimo posto al mondo, dopo Stati Uniti, Brasile, India, Vietnam, Messico, Turchia, Indonesia, Cina e Bangladesh.
Nel mirino ci sono soprattutto le aziende. Datto, provider di tecnologie per Managed Service Provider (MSP), ha riscontrato una sempre crescente pervasività degli attacchi finalizzati a rendere inaccessibili i dati delle Pmi fino al pagamento di un riscatto.
L’85% dei responsabili e decision maker intervistati nel report Global State of the Channel Ransomware ha segnalato attacchi negli ultimi due anni. Coloro che gestiscono i sistemi IT di Piccole e medie imprese sono convinte che il ransomware dovrebbe mettere in allerta la loro impresa, eppure preoccupazione e consapevolezza del rischio sono condivise solo dal 28% dei rispondenti.
Poche denunce delle aziende colpite
Di fronte ad attacchi così dispendiosi per i bilanci di un’organizzazione, la reazione non sembra finora altrettanto incisiva. Pochissime sono ancora oggi le denunce degli attacchi da parte delle aziende vittime dei criminali informatici. Secondo un recente sondaggio di Kaspersky, due terzi delle organizzazioni industriali (67%) non avvisano gli enti di controllo in caso di incidenti di sicurezza informatica.
Molte aziende decidono di ignorare le linee guida relative alla segnalazione degli incidenti, sia per evitare le sanzioni normative, sia soprattutto per impedire la divulgazione pubblica dell’accaduto.
Oltre ai dati sensibili dell’azienda, la violazione potrebbe riguardare anche informazioni relative alle persone che vi lavorano. Il Gdpr, il Regolamento generale sulla protezione dei dati adottato nel 2018 dall’Unione europea, stabilisce che ogni violazione dei dati personali vada notificata all’autorità di controllo competente non oltre 72 ore dal momento in cui se ne è avuta conoscenza.
Secondo gli esperti del settore, nell’ultimo anno e mezzo i cyber-criminali hanno cambiato strategia d’attacco. Mettono in campo metodi meno eclatanti del passato e destinati a non far troppo rumore, ma l’obiettivo è sempre rubare denaro e impadronirsi delle risorse di calcolo di un’azienda.
Un grande fattore di rischio attiene proprio al comportamento delle aziende. Molte hanno fiducia nel fatto che soltanto una piccola percentuale verrà colpita e decidono di correre il rischio. E anche le organizzazioni che acquistano soluzioni di protezione di alto livello in molti casi non attivano tutte le funzionalità a disposizione: in una scala da 1 a 6, la protezione messa in campo è pari al livello 3.
Il boomerang delle assicurazioni
Eppure, le precauzioni ormai esistono. Al primo posto c’è la necessità di educare l’utente, insegnandogli a identificare potenziali rischi e ad agire di conseguenza. Occorre, poi, avere un piano strategico di backup allineato con tutti i sistemi dell’azienda e in grado di rispristinare lo stato precedente all’attacco.
Disporre degli strumenti giusti per poter affrontare un blocco e far ripartire i sistemi in tempi brevi è cruciale per la vita di un’azienda. Nella maggior parte dei casi, le infrastrutture IT colpite da un attacco non disponevano di adeguate procedure di ripristino dei dati e spesso non avevano neppure considerato il rischio di simili eventi.
Non è un caso, quindi, che si stiano moltiplicando le coperture assicurative per i danni da ransomware. Sebbene le indicazioni normative siano di non pagare il riscatto richiesto dai criminali informatici, sempre più organizzazioni stanno facendo ricorso a forme di assicurazione per proteggersi. Spesso sono le stesse compagnie assicurative a individuare nel pagamento del riscatto la scelta più conveniente per le casse dell’azienda.
Investire in protezione potrebbe, però, avere l’effetto contrario: se cresce la probabilità di essere pagati, è possibile che gli aggressori indirizzino i futuri colpi proprio verso le organizzazioni che dispongono di un’assicurazione informatica. Ciò avrebbe l’effetto di avvantaggiare i cyber criminali, dando loro maggior potere e alimentando con nuove risorse attacchi ancora più sofisticati. Accettare il pagamento per minimizzare l’impatto dei costi porterebbe così ad amplificare la portata degli attacchi.
Articolo a cura di
Giornalista professionista dal 2018, da 10 anni collabora con testate locali e nazionali, tra carta stampata, online e tivù. Ha scritto per il Giornale di Sicilia e la tivù locale Tgs, per Mediaset, CorCom – Corriere delle Comunicazioni e La Repubblica. Da marzo 2019 collabora con la casa editrice ESTE.
Negli anni si è occupata di cronaca, cultura, economia, digitale e innovazione. Nata a Palermo, è laureata in Giurisprudenza. Ha frequentato il Master in Giornalismo politico-economico e informazione multimediale alla Business School de Il Sole 24 Ore e la Scuola superiore di Giornalismo “Massimo Baldini” all’Università Luiss Guido Carli.
sicurezza Pmi, assicurazione informatica, attacchi ransomware, cybersecurity, sicurezza informatica