Nessuno è mai al riparo dagli attacchi cyber e, in particolare, dal ransomware. Sulla base di questa consapevolezza ogni azienda deve predisporre, da un lato, le tecnologie di protezione per diminuire la probabilità che i sistemi siano compromessi e, dall’altro, quelle necessarie per reagire il prima possibile e arginare l’eventuale impatto di un virus. La tavola rotonda organizzata da ZeroUno, in collaborazione con Pure Storage, dal titolo Come reagire a un attacco ransomware: strategie per un corretto ripristino dei dati si è focalizzata soprattutto sulle procedure di remediation.
“L’obiettivo ultimo delle aziende – ha ricordato Marco Schiaffino, giornalista di ZeroUno che ha fatto da moderatore dell’evento virtuale – è ripristinare nel più breve tempo possibile il proprio patrimonio di dati per ridurre al minimo l’interruzione delle attività e i danni reputazionali. E questo vale per tutte le organizzazioni, a qualsiasi comparto appartengano. Servono quindi strumenti di contrasto efficaci e tempestivi nel caso si verifichi un attacco”.
Gli ospiti della tavola rotonda (provenienti dai mondi manifatturiero, finance, farmaceutico e altri) hanno, infatti, confermato che le loro preoccupazioni sono simili.
Ransomware, in crescita continua
Il numero di incidenti è in crescita. Secondo i più recenti dati Clusit: aumentano sia i tentativi di attacco sia i cyber attack andati a buon fine.
“Nel 2021 – ha sottolineato Alessio Pennasilico, partner practice leader information & cyber security advisory team di P4I – le principali tecniche (73% del totale) usate dagli hacker consistono in malware, phishing, social engineering e vulnerabilità così come nella cattiva gestione delle password. Inoltre, la complessità dei sistemi IT è aumentata e parallelamente gli hacker si son evoluti secondo vere e proprie logiche di business”.
Il ransomware (che pesa per il 67% del totale dei malware) può essere di due tipi: consistere in un attacco generalizzato agli account mail oppure mirato, ovvero strategicamente organizzato per tappe (compromissione della rete per accedere all’azienda, disabilitazione dell’antivirus, cancellazione del back up e poi presa in ostaggio dei dati e richiesta di riscatto).
“350 dollari è il costo di un record compromesso – ha proseguito Pennasilico – considerando il numero di righe degli elenchi presenti in qualsiasi organizzazione (database dipendenti, fornitori, clienti, merce a magazzino eccetera) si intuisce l’entità del danno economico di un ransomware. D’altra parte, è evidente quanto il ransomware sia redditizio e questo è il motivo per cui le aziende criminali continuano a investirvi. Un altro segnale preoccupante riguarda il fatto che gli hacker approfittano delle tematiche che catalizzano l’attenzione generale. Sono stati rilevati tantissimi attacchi di phishing che facevano riferimento al Covid”.
Infine, il ricorso forzato allo smart working ha fatto detonare attacchi che nelle reti aziendali non avevano potuto scatenarsi. A fronte di ciò, le aziende che non avevano piani di remediation, in situazioni di emergenza hanno dovuto spendere di più di quelle che potevano disporre di strategie da porre in atto immediatamente.
Le preoccupazioni principali delle aziende
Una delle preoccupazioni principali delle aziende è il fattore tempo.
“I nostri clienti sono internazionali – ha affermato Nicola Businaro ICT Manager Danieli – e per noi non aver accesso ai dati significa non poter fatturare man mano che costruiamo i nostri impianti. Si tratta di grandi realizzazioni nel mondo per cui anche la logistica deve funzionare in modo perfetto, un intoppo di pochi giorni ha ripercussioni di settimane su un’attività come la nostra. Tra l’altro, i processi produttivi saranno sempre più coadiuvati da applicazioni che si basano sull’IT e non possiamo permetterci di subire interruzioni”.
Dello stesso avviso David Cecchi CyberSecurity Specialist Governance Montepaschi di Siena. “I moderni ransomware hanno capacità di propagazione inimmaginabile, contenere i danni in una zona limitata del network (considerando che abbiamo 5mila server e 23mila client) e l’intervallo di tempo che serve per ripararli è essenziale”.
“Per una organizzazione come Abaco – ha sottolineato Giuliano Rorato Responsabile Sistemi Informativi della società – che lavora a stretto contatto con la PA su dati che vengono forniti dagli enti locali, la compliance alle normative è prerequisito basilare. Abbiamo la certificazione ISO 27001 che prevede un piano di continuità operativa; per ciò che riguarda il disaster recovery facciamo periodicamente prove di back up e restore e disponiamo di un data center secondario. Eppure, sappiamo che le procedure di prevenzione in ambito cyber security non sono mai abbastanza, è necessario seguire un percorso che miri ad un miglioramento continuo…”
“Noi siamo costretti a tempi di evasione strettissimi degli ordini – ha detto Cesare Raoss CIO / Direttore Sistemi Informativi Unifarm – in quanto dobbiamo far arrivare i prodotti nelle farmacie nel giro di poche ore. Ciò che mi spaventa in seguito all’uso del back up è che tutto funzioni sulla macchina; non solo i dati, ma l’ambiente esattamente come era prima, senza l’infezione. Avere il backup sempre collegato in rete fa parte delle mie preoccupazioni…è quindi indispensabile avere una copia off-line”.
Contrastare il ransomware, gli ingredienti di una ricetta vincente
“I sistemi di gestione – ha spiegato Mauro Sartor, responsabile Compliance Ict Sinelec – non eliminano i rischi ma aiutano a farvi fronte e a imparare dai propri errori. Noi dobbiamo fare recovery anche per rispettare le normative vigenti. Il solo ripristino, però, non è detto che sia sufficiente; in caso di data breach bisogna, per esempio, sapere quali sono le parti del sistema che devono essere copiate per consentire le indagini e i controlli del caso. E questo seguendo iter precisi. Dimostrare di saper tutelare la proprietà intellettuale e il know how ingegneristico è sempre più importante anche per partecipare a gare d’appalto pubbliche e private”.
“La nostra strategia di recovery – ha spiegato Casto Cremonesi IT Infrastructure Architecture & Security Manager Sol – comprende anche l’esecuzione automatica e il vault offlline di immagini consistenti di federation dei dati e sistemi critici. I sistemi importanti sono tanti e per il futuro prevediamo l’adozione di soluzioni storage che garantiscano la salvaguardia automatica ad alta granularità di insiemi consistenti di dati e sistemi che non possano essere modificate, in modo da poter essere utilizzate come una delle alternative per consentire un rapido ripristino in caso di attacchi ransomware o altre perdite di dati”.
“Credo che ricorrere a SOC (Security operation center) soprattutto esterni che devono avere tempi di reazione standard – ha specificato Paolo Rivolta Head of Systems & Networking Team Groupama – sia molto vantaggioso. Sono convinto anche che in futuro queste realtà accresceranno il loro livello di automazione. Il fine è aumentare l’efficienza complessiva della strategia di prevenzione e reazione”.
“Serve – ha sintetizzato Pennasilico – governance corretta, saper disegnare l’organizzazione ad hoc con strumenti adatti alla propria organizzazione, così come avere più copie dei dati e accessibilità sicura anche in smart working. E ancora, encryption e preparare file non modificabili per proteggersi da attacchi ransomware avanzati. Avere sistemi protetti e resilienti e creare ecosistemi sicuri in cui operare rappresenta un valore anche per affermarsi rispetto alla concorrenza, soprattutto quando si lavora nel B2B”.
Il valore fondamentale della formazione
“Nessuno si deve deresponsabilizzare rispetto alla sicurezza – ha ribadito Luca Dozio Head of ICT Security Illimity Bank – sono anni che certi attacchi esistono, ogni utente però continua a sottovalutare. La sicurezza informatica deve diventare consuetudine di ognuno, trasformando, se necessario, abitudini consolidate che si siano rivelate sbagliate”.
“Un cambio di cultura è assolutamente necessario – ha continuato Riccardo Massari IT Manager Fedegari Autoclavi – anche presso titolari e manager, per arrivare ai consulenti, fornitori sino a tutti coloro che si collegano alla rete aziendale lungo la filiera. Serve anche formare in modo diverso, sfruttare l’online, lanciare campagne di phishing per verificare quali sono i comportamenti”.
“Noi puntiamo – ha raccontato Stefano Zanolla Responsabile IT BNP Paribas Cardif Vita – su training distribuito e interattivo; si lavora su simulazioni, giochi di ruolo, per capire qual è la consapevolezza e come sono le reazioni. Parallelamente, un certo sforzo è indirizzato a far si che il business capisca l’importanza della sicurezza informatica e quindi supporti iniziative e investimenti”.
“Superficialità e distrazioni degli utenti sono indiscutibilmente fattori di rischio. D’altra parte, potrebbe essere molto utile che gli strumenti guidino al loro stesso utilizzo in modo sicuro aiutando i meno esperti” è l’appello di Pennasilico.
I vantaggi della tecnologia Pure Storage
“Pure Storage – ha raccontato Vincenzo Lorusso, International Account Manager di Pure Storage – ha circa 9mila clienti a livello internazionale, per quasi 1,7 miliardi di dollari di revenue. Sempre più orientata a modelli di subscription, l’azienda si caratterizza per il fatto che da 8 anni è leader nel quadrante Gartner per lo storage enterprise all flash”.
L’infrastruttura storage basata sull’all flash (invece che su unità disco a rotazione) consente elevate velocità di lettura-scrittura, quindi, permette minori tempi di accesso e perciò migliori performance. Il vendor, più nello specifico, offre tecnologia per isolare i dati sensibili, renderli inaccessibili se non attraverso policy predefinite e avere la possibilità di tornare a essere operativi nel giro di ore.
“Con i nostri partner tecnologici di Data Protection – ha concluso Luca Rossetti Systems Engineer Enterprise Pure Storage, ci posizioniamo nel mondo dell’offerta di soluzioni di remediation di qualsiasi evento che abbia compromesso l’integrità del dato aziendale. Le nostre soluzioni di fast recovery, in configurazioni ottimali, arrivano ad erogare fino a 250/270 terabyte per ora. Grazie alla tecnologia flash, è inoltre possibile effettuare snapshot rapide del dato/metadato di backup dalle quali ripartire in caso di failure. Abbiamo poi progettato la modalità SafeMode che estende il periodo di ‘eradication’ delle snapshot e, a garanzia di ulteriore sicurezza, ne impedisce la cancellazione anche da parte di utenze amministrative.”
