Avatar di Redazione Diritto dell’Informatica

a cura di Redazione Diritto dell’Informatica

Tra le tipologie di attacco, negli ultimi anni è divenuta sempre più diffusa quella del ransomware; una modalità particolarmente insidiosa e capace di mettere in ginocchio la business continuity di un’azienda, nonché la sua reputazione, paralizzando l’attività aziendale e la perdita dei dati, o della riservatezza degli stessi.

L’ENISA (Agenzia dell’Unione Europea per la cybersicurezza) ha da tempo, in numerosi report di cui di seguito si accennerà, messo in guardia contro questa tipologia di attacco informatico, che può colpire trasversalmente pubbliche amministrazioni, piccole e medie imprese, come multinazionali (ad esempio Twitch, che lo scorso ottobre ha subìto un pesante data breach di cui abbiamo parlato in questo articolo).

Cerchiamo di capire innanzitutto quale sia il funzionamento di un attacco ransomware e perché sia così pernicioso.

Cos’è e come funziona un ransomware?

Un ransomware è un malware (dall’inglese malicious software, software malevolo) il quale una volta inserito con successo in un dispositivo informatico, ne cripta i dati contenuti all’interno, mediante una chiave privata in possesso del solo attaccante. A quel punto, l’attaccante chiede un riscatto, in mancanza del quale il blocco del sistema e l’impossibilità di accedere ai dati permangono.

Il primo ransomware conosciuto risale al 1989 ed è noto come trojan AIDS. Questo virus criptava i file dell’hard disk e mostrava all’utente un messaggio in cui gli veniva segnalata la scadenza della licenza di un qualche programma installato sul suo computer, obbligandolo a corrispondere 189 dollari per sbloccare il sistema.

Una volta che l’attaccante è nel sistema, la vittima è costretta a scegliere se pagare il riscatto e riavere accesso ai sistemi ed ai dati, o non cedere al ricatto correndo il rischio di perdere per sempre i dati aziendali, oltre a non sapere per quanto tempo i sistemi saranno bloccati.

Spesso, per mettere pressione alla vittima, l’attaccante intima un termine allo spirare del quale parte dei dati verranno esfiltrati e pubblicati nel dark web (tecnica, questa, della cd. doppia estorsione). Per aumentare ulteriormente la pressione sull’azienda o sulla pubblica amministrazione attaccata, si può poi abbinare all’attacco ransomware già in corso uno di tipo DoS (Denial of Service), mediante cui si sovraccarica il server del sito convogliando una grande quantità di richieste che il sito stesso non è in grado di sopportare, impedendo dunque alle richieste di utenti legittimi di poter essere gestite. È capitato anche che l’attaccante inviasse mail ai clienti dell’azienda sotto attacco, per “notificargli” che i loro dati erano a rischio “a causa” dell’azienda vittima. Tutte tecniche, queste, con il fine ultimo di mettere la vittima con le spalle al muro, e costringerla al pagamento del riscatto.

Perché interessarsene?

In primo luogo, vi è un grosso scoglio di consapevolezza nella guerra contro questo insidioso strumento di attacco informatico: questo può infatti essere percepito molto lontano dalla realtà aziendale o dalla pubblica amministrazione in cui si lavora, e la tentazione di chiedersi quando potrebbe mai avvenire un evento del genere è comprensibile, ma da affrontare.

L’attacco può peraltro essere portato alle infrastrutture aziendali a prescindere da dove siano conservati i dati: ciò che conta non è tanto la posizione dove siano conservati, quanto più le modalità di accesso (da questo punto di vista, si segnala questo articolo di approfondimento sulle domande da porsi per scegliere se conservare i dati in cloud o in azienda, alleghiamo anche la video guida dell’Avv. Croari)

https://www.youtube.com/watch?v=A_IRYHw9a3g

Secondo il report dell’ENISA “Threat Landscape” del 2020, il ransomware era la seconda minaccia più comune, ed era collegato ad un terzo degli incidenti avvenuti (28%), solo dietro il problema delle password deboli (56%). Nelle parole dell’Agenzia, “Stiamo assistendo alla golden era del ransomware” (ENISA Threat Landscape, 2021).

Occorre prendere consapevolezza del fatto che le minacce informatiche raramente riguardano una realtà isolata, proprio perché il flusso di dati ad oggi è talmente continuo da rendere interconnesse una serie di realtà solo apparentemente “autonome”.

Cosa si intende per Zero day e perché sono pericolosi

In informatica si conosce come “zero day” una vulnerabilità di sistema sino a quel giorno sconosciuta: chi per primo la scopre acquisisce un vantaggio comparato enorme rispetto al proprietario del sistema a cui si riferisce. Il mercato del dark web conosce un gran numero di zero day venduti, con prezzi variabili in proporzione al sistema che la vulnerabilità è in grado di “bucare”. Si pensi ad uno zero day di Windows, che potenzialmente permetta di accedere a milioni di dispositivi, rispetto a quello di software molto meno noti, meno usati, e pertanto meno appetibili. Con questo si vuol porre l’accento sulla circostanza che un virus come il ransomware, può avere effetti a cascata non prevedibili ex ante.

A fare scuola da questo punto di vista è stato il caso del ransomware “WannaCry”, lanciato nel 2017, il quale ha sfruttato una vulnerabilità di Windows prima che gli sviluppatori del sistema potessero aggiornarlo, colpendo 230.000 organizzazioni in 150 paesi del mondo, soprattutto tra le piccole e medie imprese, con una perdita stimata tra i 4 e gli 8 miliardi di dollari.

Gli attacchi alla supply chain

Altra categoria di attacco molto frequente è quella dei cd. attacchi alla supply chain, come testimoniato dal fatto che la stessa ENISA dedica al fenomeno un report annuale (il “Threat Landscape for Supply Chain Attacks”). Con ciò, l’attaccante vuole colpire il fornitore di beni e servizi informatici di una platea indiscriminata di soggetti, aumentando di molto il suo raggio d’azione.

Nel report si legge che nel 58% degli incidenti al fornitore analizzati, i beni dei clienti presi di mira sono stati per lo più i dati dei clienti stessi, compresi quelli relativi alle informazioni di identificazione personale e alla proprietà intellettuale. L’Agenzia stimava nel report del 2020 che nel 2021 ci sarebbero stati attacchi alle catene di fornitura quattro volte più frequenti che nell’anno precedente, e non è impensabile che ci si sia di molto avvicinati, se il report dell’anno successivo registrava un aumento del 150% dei soli attacchi di tipo ransomware.

Dal report ENISA 2021 sullo scenario delle minacce, invece, si evince come laddove nel recente passato i gruppi dediti ad attacchi di tipo ransomware individuavano come principali piccole e medie imprese, con sistemi di sicurezza poco appropriati, ora sembrerebbero rivolgersi ad aziende più strutturate e dunque economicamente più capienti, alle quali dunque poter chiedere riscatti ancora più alti. Ciò non può tuttavia far abbassare la guardia alle PMI, posto il rischio sistemico che, come detto, attacchi del genere possono causare.

Lo stesso report indicava che nel 2019, il riscatto medio ammontava ad 80.000 dollari; nel 2020 era più che raddoppiato, sino ad una media di 170.000 dollari, e nei primi due trimestri del 2021 era intorno ai 180.000 dollari.

Le criticità delle Cyber Assicurazioni per il contrasto dei ransomware

Spesso una soluzione individuata da diverse organizzazioni, non tanto al fine di difendersi direttamente dagli attacchi informatici, quanto più per esternalizzarne i rischi, è quella di stipulare quelle che vengono definite cyber assicurazioni.

A lungo le compagnie assicurative si sono dimostrate riluttanti ad assicurare questo genere di rischio e ciò, soprattutto, a causa della esiguità di dati ed informazioni affidabili sulla base dei quali stabilire una politica dei prezzi delle polizze. Ad oggi, tale base di dati non manca affatto, e questo costituisce uno dei motivi della floridità di tale mercato.

Alcuni esperti, tuttavia, non mancano di rilevare criticità in questo genere di assicurazioni: è stato osservato infatti come ciò potrebbe addirittura risultare controproducente, specialmente riguardo i ransomware. Ci si riferisce soprattutto alla possibilità che gli attaccanti vedano nell’assicurazione un incentivo volto ad alimentare, naturalmente in maniera indiretta, gli attacchi a cui facesse seguito un pagamento dall’assicurazione.

Un ulteriore rischio potrebbe essere quello di far confidare coloro che abbiano ruoli di responsabilità e sicurezza nell’azienda che abbia stipulato un’assicurazione di questo tipo, sul fatto che la polizza in qualche modo coprirà i costi, rinunciando a mettere in atto ogni misura che invece si dovrebbe tentare di porre a difesa dei propri sistemi informatici. Ciò, oltre a porsi in contrasto con la normativa europea e nazionale (GDPR in primis, ad esempio con il suo noto art. 32), potrebbe ridursi ad una mera analisi costi/benefici: se si dovesse ritenere il pagamento del riscatto la soluzione migliore per le compagnie assicurative e per i clienti, rispetto all’onere che viene da una potenziale perdita di dati, o dai costi collaterali del ripristino degli stessi e della contestuale interruzione delle attività, questo potrebbe costituire un pericoloso motivo per aumentare ulteriormente gli attacchi.

La strategia di rischio, dal punto di vista aziendale, è in questo caso il semplice trasferimento dello stesso ad una terza parte, in una logica di esternalizzazione. A quel punto, è ben più probabile che un’azienda ceda al ricatto e paghi quanto chiesto dall’attaccante, sapendo di avere la copertura dell’assicurazione. Al momento, a giudizio dell’ENISA le compagnie assicurative non impongono procedure che siano sufficienti a svolgere un adeguato risk assesment preventivo che includa validi test di sicurezza.

Un requisito comune, in molti casi, è invece quello di effettuare un’analisi delle vulnerabilità del perimetro esterno dell’infrastruttura IT dell’organizzazione. Per quanto meritorio, l’ENISA fa notare come i risultati di questo tipo di analisi possano tuttavia rappresentare la sicurezza aziendale e del rischio associato solo in maniera parziale.

Cosa fare in caso di data breach o ransomware

Per data breach si intende una violazione informatica di natura volontaria, come nel caso di un attacco ransomware, o accidentale, ma che determina in ogni caso la perdita, l’acceso abusivo, la compromissione e altre numerose ipotesi che vedono coinvolti i dati personali.

Si pensi all’incendio dei data center di OVH, o al recentissimo data breach ai danni del Comune di Palermo di cui si accennava in apertura. La casistica sta diventando purtroppo sconfinata: per questo, la legge sulla protezione dei dati personali, il regolamento UE 679/2916 (c.d. GDPR), detta precisi obblighi da rispettare al verificarsi di una violazione.

Nell’eventualità di un data breach ransomware, il titolare del trattamento deve effettuare una valutazione del caso concreto, individuando effetti potenzialmente lesivi dei diritti e delle libertà degli interessati. Se questa valutazione dovesse avere esito positivo, e la violazione per diritti e libertà degli interessati venga qualificata di grave entità, dev’essere data notifica al Garante per la protezione dei dati personali entro 72 ore, o si dovrà dare adeguata spiegazione del ritardo, con possibilità di essere sanzionati.

Riguardo le comunicazioni agli interessati coinvolti dal data breach, dev’essere data adeguata e tempestiva comunicazione anche a questi soggetti, singolarmente o tramite opportune modalità, come ad esempio comunicati stampa, annunci sui siti istituzionali ecc., direttamente dal titolare o per il tramite del DPO – Data Protection Officer, laddove questo sia stato nominato.

Per maggiori approfondimenti si suggerisce questa lettura “Data breach e attacchi informatici: come comportarsi”.

Linee guida da ENISA per prevenire i Ransomware

Evitare i ransomware, così come altri malware, non è facile. Tuttavia, per scongiurare o quanto meno limitare attacchi di questo genere e tutelare i propri dati è utile ed opportuno essere prudenti e adottare alcuni accorgimenti.

L’ENISA ha elaborato una serie di raccomandazioni, parte delle quali si riporta di seguito, a titolo esemplificativo e non esaustivo, come punto di partenza per una buona strategia di difesa:

  • Implementazione di strategie di backup;

  • Implementazione di audit della gestione delle identità e degli accessi (secondo il principio del least privilege e della compartimentazione);

  • Formazione e crescita della consapevolezza in azienda;

  • Recovery plan testati adeguatamente e periodicamente;

  • Monitoraggio costante dei sistemi per una veloce identificazione di possibili infezioni;

  • Formazione continua e controllo dei trend delle più recenti modalità di penetrazione ransomware, con ipotesi e proposte di prevenzione.

Prevenire o agire tempestivamente in caso di Data Breach

La sicurezza dei dati e delle infrastrutture informatiche passa soprattutto per una approfondita conoscenza dello specifico sistema che si intende proteggere: per questa ragione, è importante rivolgersi a soggetti qualificati e professionisti del settore, che possano assistere l’azienda o la pubblica amministrazione in ogni fase, preventiva o successiva, di data breach.

Se hai bisogno di una consulenza legale informatica per comprendere come tutelarti per un attacco informatico, oppure hai già subito una violazione e vuoi tutelare i tuoi diritti e soprattutto i tuoi dati, affidati a professionisti qualificati, come il nostro partner Studio Legale FCLEX.

Leggi altri articoli